Sådan digitaliserer man hele rådhuset med NemID

... at hvis man har glemt sit nøglekort hjemme, så skal man køre hjem efter det, hvis man skal have lavet noget den dag? Og hvis man har et invalideret password (3 forsøg, eller nogen der driller), så må man vente et par dage på at komme på systemerne, til man får nyt password tilsendt?

Uanset hvad man ellers må mene om NemID, så virker ovenstående som noget helt unødvendigt bøvl. Hvis jeg ikke kan logge ind på min arbejdsplads, så går jeg ned til helpdesk, så griner vi lidt over at jeg ikke kan huske mit password, og så får jeg det ændret. 3 minutter.

Begynder vi så at nærme os en verden hvor en medarbejder i det offentlige bruger en digital signatur og at mails med videre bliver krypterede?

Det er måske lange skridt, men et eksempel jeg så nævnt et sted:
Jeg sender en krypteret forespørgsel til kommunen.
Modtageren af denne mail kan ikke hjælpe mig og ved ikke hvem der kan hjælpe, men sender den videre rundt i systemet (ukrypteret) før den ryger tilbage til mig igen.
Dette er jo egentlig et rædsels scenarie: Kommunen nedbryder min fortrolighed pga uvidenhed. Jeg vil dog ikke lægge den enkelte medarbejder til last for dette da det jo et teknisk kompliceret og ikke fair at forvente den stakkels gut kan finde ud af.
Jeg er dog sikker på at hvis jeg prikker ham på skulder og siger:
Fortroligt:
Bla bla bla.
Signeret Mig.

Ja så vil han forholde sig til fortroligheden og lade beskeden cirkulere:
1. Med sporbarhed.
2. Krypteret (fortroligt).
3. Begrænset.

Udover det tror jeg det vil have effekten at folk vil tage sin password etik op til overvejelse så den almindelige mand har en fornuftig etik, da bøvlet med password rod pludselig ender i en vent 3 dage på nyt fremfor vent 3 minutter.
Gid vide hvor lang tid det tager at skifte terminalen/desktoppen ud på kommunen?

En anden overvejelse kunne dog også være hvad gør man med folk der ikke vil have en NemID?
Er det landet på niveau med at have en bank, hvilket jeg også er begyndt at overveje om man ikke bare kunne lade være med, mener ikke jeg har set noget krav om at man skal have en bankkonto?

Sorry Sidetrack.

Buttomline:
Interressant udfordring, jeg ser muligheder for at mange brugere kan få et meget lettere liv.

Det vil jeg sandelig ikke håbe. Medarbejderne må da ikke bruge deres private login til arbejdsrelaterede opgaver. De skal have et separat virksomheds-ID til den slags opgaver.

Det kan så undre, at de har lavet løsningen allerede eftersom nemid ikke har rullet erhvervs-id'et ud endnu..

Ja, der står i teksten at:
"I den her løsning bruger man CPR-nummeret fra NemID til at afgøre, om det er en medarbejder i kommunen eller ej, som logger ind".

Det kan vel ikke betyde andet end at det er den personlige NEMID, der bruges.

Og med vanlig stil får man så tilføjet endnu en kilde til identitetstyveri :-(

Nu har jeg undret mig et par dage, og kikket et par gange i kalenderen, men nej det er ikke den 1. april.

Det er da skingrende vanvittigt at benytte NemID til login på en arbejdsplads, af flere grunde:

1. NemID er (burde være) personligt - hvad så i de tilfælde hvor medarbejderens computere befinder sig i et ikke aflukket kontor eller en institution, accepterer man der at medarbejderens personlige identitet er kompromitteret?

2. Hvad havde man forestillet sig med frokostpause, og andre situationer hvor der skal være en låsning?

3. Er det et ansaættelseskrav at medarbejderen skal tvinges til at have have NemID - hvad hvis medarbejderen ikke er tryg ved NemID, og ikke ønsker at spille hasard med egen identitet?

4. Hvorledes vil man håndtere hvis medarbejderen har glemt sit nøglekort hjemme, eller hvis NemID af den ene eller anden grund er blevet spærret?

5. Mener man seriøst at en person, karakteriseret ved et CPR nummer skal tegne en kommune, i stedet for at lave en rigtig signaturløsning, hvor det er kommunen der signerer (især i lyset af at NemID IKKE er en digital signatur)?

6. Hvordan vil man forholde sig til signering lavet af personer der er holdt op i kommunen?

Dette er desværre et eksempel på en fuldstændig misforstået digitalisering, hvor man dels laver overgreb mod medarbejderene, dels reelt sætter hele sikkerheden over styr.

Jeg nægter at tage stilling til hvad NemID er og kan idag og tænker udelukkende teoretisk. Med disse forbehold vil jeg gerne gennemgå Nobel's liste og udvide min horisont lidt. Sobert please...

1.NemID er (burde være) personligt - hvad så i de tilfælde hvor medarbejderens computere befinder sig i et ikke aflukket kontor eller en institution, accepterer man der at medarbejderens personlige identitet er kompromitteret?

Burde en almindelig bruger ikke opdrages til aldrig at forlade computeren i åben tilstand, og på den måde sørge for at arbejdet der bliver udført i den login session brugeren er ansvarlig for (her ved NemID) udelukkende er udført af brugeren, eller brugerens support.
Ja, jeg ved virkeligheden er en anden, men er det ikke god Credientials etik?

2.Hvad havde man forestillet sig med frokostpause, og andre situationer hvor der skal være en låsning?

Jeg forestiller mig at medmindre der står en aktiv bruger ved devicen, så er brugens login session låst (medmindre brugeren logger på et andet sted). Igen dette er ikke virkeligheden, men opdragelse kunne gøre det til virkelighed. Bare se sikkerhedsselens historie i danmark.

3.Er det et ansaættelseskrav at medarbejderen skal tvinges til at have have NemID - hvad hvis medarbejderen ikke er tryg ved NemID, og ikke ønsker at spille hasard med egen identitet?

Pas! lynhurtig ugennemtænkt tanke bliver: Hvad med de mennesker i danmark der ikke vil have dansk pas..... Men Seriøst pas! faktisk mit eget største problem...

4.Hvorledes vil man håndtere hvis medarbejderen har glemt sit nøglekort hjemme, eller hvis NemID af den ene eller anden grund er blevet spærret?

Hvad med at lade brugeren lave udelukkende anonymt arbejde til dette issue er væk?
At glemme sit nøglekort er på niveau med at glemme sit nøglekort til say PET :) Har du glemt nøglen kommer du bare ikke ind på pladsen, så må du enten hjem og hente hvad du har glemt eller undlade at komme ind på arbejdspladsen.
Med hensyn til at dit NemID bliver spærret f.eks. er det vil samme problematik som hvis du skal til forretningsmøde i london i morgen tidlig klokken 8, men dit pas og kørekort blev altså lige stjålet hertil morgen. Hvad så? Samme procedure????

5.Mener man seriøst at en person, karakteriseret ved et CPR nummer skal tegne en kommune, i stedet for at lave en rigtig signaturløsning, hvor det er kommunen der signerer (især i lyset af at NemID IKKE er en digital signatur)?

Det gør de vel. Måske den nye token løsning kan gøre det bedre / rigtigt.
Tror netop signaturløsningen er hvad flest vil have virker, men færrest forstår hvordan. Jeg kan også udføre mange opgaver med en hammer, få af dem er at banke søm i.....

6.Hvordan vil man forholde sig til signering lavet af personer der er holdt op i kommunen?

Det vil de vel egentlig ikke? Igen, jeg glæder mig til den dag hvor signaturløsningen rent faktisk virker i praksis og det er noget lige så naturligt som at tjekke navn, addresse og telefonnummer.

Som jeg skrev længere oppe. Jeg er glad for der er nogen der har nosserne til at presse nytænkning ned over systemet. Jeg er dog lige så glad for det ikke er mig det gør ud over.

"Jeg nægter at tage stilling til hvad NemID er og kan idag og tænker udelukkende teoretisk."

Desværre er man nødt til at forholde sig til den virkelige verden, og i den kontekst er det fatalt at bruge NemID til firmalogin.

"Burde en almindelig bruger ikke opdrages til aldrig at forlade computeren i åben tilstand, og på den måde sørge for at arbejdet der bliver udført i den login session brugeren er ansvarlig for (her ved NemID) udelukkende er udført af brugeren, eller brugerens support. Ja, jeg ved virkeligheden er en anden, men er det ikke god Credientials etik?"

Nu ser virkeligheden altså lidt anderledes ud, da der er mange der ikke lige sidder uforstyrret på deres flade foran en computer - f.eks. i en institution, hvor det er vigtigere at tage sig af det barn der slog sig end at logge ud, etc.
Der er i den virkelige verden mange distraktionsmomenter!

"Jeg forestiller mig at medmindre der står en aktiv bruger ved devicen, så er brugens login session låst (medmindre brugeren logger på et andet sted). Igen dette er ikke virkeligheden, men opdragelse kunne gøre det til virkelighed. Bare se sikkerhedsselens historie i danmark."

Ja men det vil så kræve et nøglepar hver gang der låses, ellers er sikkerheden en illusion - og på den måde, så drænes NemID kortet hurtigt, og managementguruerne kan sikkert også beregne et uhyrligt tidsspilde på den konto.

"Hvad med at lade brugeren lave udelukkende anonymt arbejde til dette issue er væk?"

Det nævnes ikke som en option.

"At glemme sit nøglekort er på niveau med at glemme sit nøglekort til say PET"

Hvis jeg glemmer nøglen hjemme [b]til mit eget hus[/b], så kan jeg stadig godt passe mit arbejde - at jeg så skal have fat i en låsesmed når jeg kommer hjem er mit eget problem.

"Har du glemt nøglen kommer du bare ikke ind på pladsen, så må du enten hjem og hente hvad du har glemt eller undlade at komme ind på arbejdspladsen."

Og hvad med lige at sætte tingene i rette perspektiv!
Det er jo helt til ude af proportion at en menig medarbejder skal sættes sådanne hindringer i vejen, plus det kommer til at koste kassen i tidsspilde.

"Med hensyn til at dit NemID bliver spærret f.eks. er det vil samme problematik som hvis du skal til forretningsmøde i london i morgen tidlig klokken 8, men dit pas og kørekort blev altså lige stjålet hertil morgen."

Nej.
Jeg har en gang været så kvajet at jeg glemte mit pas - jeg kunne så købe et nyt hos politiet i lufthaven, som skulle returnes da jeg kom hjem.
Det kostede mig godt nok fuld pris for et pas, men jeg kom afsted (og det var iøvrigt til London).

Herudover er det alstå ikke noget krav om at man skal have dansk pas, endsige medbringe det på arbejdet, for at arbejde i det offentlige.

"Måske den nye token løsning kan gøre det bedre / rigtigt."

Øh nej, det vil stadig være en løsning der har med individdets person at gøre, ikke arbejdspladsen.

"Det vil de vel egentlig ikke?"

Altså de vil ikke forholde sig til Epic Fail - hvordan skal f.eks. sagsstyring håndteres, hvis historiske dokumenter er bundet til en privat person?

"Jeg er glad for der er nogen der har nosserne til at presse nytænkning ned over systemet."

Jeg håber virkelig ikke du mener det seiøst - samme model har været prøvet f.eks. i Østtyskland, og det var ikke just nogen succes.
Husk på at "nytænkning" bare for nytænkningens skyld, ikke nødvendigvis er en gevinst - slet ikke når gevinsten ikke er til at få øje på!

der udstedes medarbejdersignatur i medarbejders cpr-nummer - så det er IKKE dden personlige der bruges.

Dokumentation/forklaring - tak.

Øh.
Der står:
"I den her løsning bruger man CPR-nummeret fra NemID til at afgøre, om det er en medarbejder i kommunen eller ej, som logger ind."

Så er vi vel ligevidt, eller hvad ?

Det indikerer vel bare at kommunen har er en (gud bedre det) mere eller mindre åben CPR database.

Det er ikke noget svar på Jettes one-liner.

Så hvordan "udstedes medarbejdersignatur i medarbejders cpr-nummer"?

Hvordan holdes dette adskildt fra medarbejderens private NemID?

Hvordan ageres hvis NemID spærres?

Osv, osv.

"Hvordan holdes dette adskildt fra medarbejderens private NemID?"

Det var netop min pointe.
Hvis man alligevel bare tjekker på CPR-nummer, så er det jo ligegyldigt om man bruger sin private eller medarbejder Nemid (som IKKE er nogen signatur).
Man har alligevel ikke styr på hvordan der logges på.

Her lidt input til dialogen.

Løsningen anvendes kun til fjernadgang til kommunens netværk.

For flertallet af medarbejdere forventes adgang til intranettet at være det eneste behov, og Intranettet omfatter primært informationer om medarbejderens arbejdsgiver og ansættelsesforhold, som så kan læses med medarbejderens personlig NemID.

For adgang til systemer der indeholder forvaltningsdata gennemføres der en yderligere autentifikation med almindelig netværkslogon, administreret af kommunen, ligesom forvaltningsdata beskyttes yderligere, typisk ved anvendelse af en terminal session.

Løsningen understøtter både anvendelse af personlig NemID og den kommende NemID erhverv (medarbejdersignatur med nøglekort), som kommunen kan stille til rådighed for medarbejdere, der ikke måtte ønske at anvende deres personlige NemID.

Så overskriften og under-overskriften (eller hvad det nu hedder) er helt misvisende. Helt ærligt, version2, det er simpelthen alt for dårligt! Ok, i artiklen kan man nok genkende hvad Morten Storm Petersen er så flink at fortælle os.

din personlige signatur/nemID som du bruger til private gøremål bruges selvfølgelig IKKE i arbejdsøjemed!
Enhver arbejdsgiver kan udstyre sine ansatte med en medarbejdersignatur, som er knyttet til brugerens cpr-nummer, således at man til hver en tid kan se hvem der har indbrettet/brugt virksomhedens signatur. En ikke uvæsentlig faktor i det offentlige hvor alt jo skal dokumenteres i hoved og ... Det der adskiller den private fra medarbejdersiganturen er at sidstnævnte er knyttet til virksomheden via CVR-nummer.