I 2012 får alle 11.000 ansatte i Aarhus Kommune mulighed for at logge på intranettet og de kommunale it-systemer via deres personlige NemID. Kommunen har nemlig planer om at skrotte den eksisterende logon-løsning med RSA-tokens og dermed spare omkring 500.000 kroner årligt. Hertil kommer administration af tokens samt udskiftning af godt 2.000 tokens hvert andet år.
Dermed kommer Aarhus Kommune - i hvert fald på papiret - på kant med Datatilsynet, der i august afgjorde, at kommuners brug af medarbejdernes personlige NemID som login stred mod Persondatalovens paragraf 41, stk. 3.
It-chefen fra borgmesterens afdeling i Aarhus Kommune, Rasmus Ry, har dog nærlæst Datatilsynets afgørelse, og han mener ikke, at den måde, Aarhus Kommune vil implementere NemID-login på, strider mod afgørelsen.
»Naturligvis gør den indtryk på os. Datatilsynet er i sin afgørelse meget optaget af, hvorvidt man opbevarer medarbejderens NemID, men det gør vi ikke. Vi har en krypteret database med medarbejdernes cpr-nummer, som vi så holder op mod PID-delen af NemID, når en bruger forsøger at logge på,« siger Rasmus Ry til Version2.
Når en medarbejder første gang forsøger at logge på med sit personlige NemID, bliver NemID'et vekslet til en bruger-identitet. Efter logon med NemID har brugeren adgang til to ting: kommunens intranet og en ny login-mulighed til den eksisterende Citrix-løsning, der giver adgang til mail, fællesdrev og fagsystemer.
»Intranettet indeholder ikke det store sprængstof. Og resten er som sagt gemt bag vores sædvanlige Windows-logon til AD'et. Den kombination forholder Datatilsynets afgørelse sig ikke til,« siger Rasmus Ry til Version2.
Datatilsynet lægger vægt på, at medarbejdere kan have helt legitime grunde til at spærre deres NemID, hvilket betyder, at I som kommune ikke har kontrollen med medarbejdernes autorisation og adgange. Hvordan forholder I jer til det?
»Den situation er ikke væsensforskellig fra, at brugere allerede i dag kan spærre deres tokens. En hvilken som helst logon-mekanisme har den svaghed, at den bliver spærret, hvis den kompromitteres. Og hvis det skulle ske, så har vi lavet en nødprocedure, der giver brugeren mulighed for at logge på én gang. Bagefter skal man så resette sit password,« siger Rasmus Ry.
Regnestykket bag skiftet til NemID er i øvrigt meget simpelt. It-afdelingen bruger i dag godt 500.000 kroner om året på RSA-token-løsningen, hvortil kommer administration og omkostninger til udskfitning af tokens, mens NemID-løsningen efter en smule tilpasning af blandt andet skærmbilleder vil løbe op i omkring 200.000.
»I og med det er medarbejdernes private NemID, skal vi ikke betale noget, når vi kun kigger på PID-delen. I virkeligheden er det en fantastisk chance for at få alle kommunens ikke-administrative medarbejdere såsom pædagoger, hjemmehjælpere og gartnere ind på intranettet på en sikker måde. Der ligger en kæmpe kommunikationsgevinst og venter der,« siger Rasmus Ry til Version2.