Aarhus udfordrer Datatilsynet: 11.000 ansatte skal logge på med NemID

Illustration: REDPIXEL.PL/Bigstock
Aarhus Kommune skifter en RSA-token ud med NemID som logon til de kommunale it-systemer. It-chefen sparer 500.000 kroner på den konto.

I 2012 får alle 11.000 ansatte i Aarhus Kommune mulighed for at logge på intranettet og de kommunale it-systemer via deres personlige NemID. Kommunen har nemlig planer om at skrotte den eksisterende logon-løsning med RSA-tokens og dermed spare omkring 500.000 kroner årligt. Hertil kommer administration af tokens samt udskiftning af godt 2.000 tokens hvert andet år.

Dermed kommer Aarhus Kommune - i hvert fald på papiret - på kant med Datatilsynet, der i august afgjorde, at kommuners brug af medarbejdernes personlige NemID som login stred mod Persondatalovens paragraf 41, stk. 3.

Læs også: Datatilsynet forbyder NemID som login for kommunalt ansatte

It-chefen fra borgmesterens afdeling i Aarhus Kommune, Rasmus Ry, har dog nærlæst Datatilsynets afgørelse, og han mener ikke, at den måde, Aarhus Kommune vil implementere NemID-login på, strider mod afgørelsen.

»Naturligvis gør den indtryk på os. Datatilsynet er i sin afgørelse meget optaget af, hvorvidt man opbevarer medarbejderens NemID, men det gør vi ikke. Vi har en krypteret database med medarbejdernes cpr-nummer, som vi så holder op mod PID-delen af NemID, når en bruger forsøger at logge på,« siger Rasmus Ry til Version2.

Når en medarbejder første gang forsøger at logge på med sit personlige NemID, bliver NemID'et vekslet til en bruger-identitet. Efter logon med NemID har brugeren adgang til to ting: kommunens intranet og en ny login-mulighed til den eksisterende Citrix-løsning, der giver adgang til mail, fællesdrev og fagsystemer.

»Intranettet indeholder ikke det store sprængstof. Og resten er som sagt gemt bag vores sædvanlige Windows-logon til AD'et. Den kombination forholder Datatilsynets afgørelse sig ikke til,« siger Rasmus Ry til Version2.

Datatilsynet lægger vægt på, at medarbejdere kan have helt legitime grunde til at spærre deres NemID, hvilket betyder, at I som kommune ikke har kontrollen med medarbejdernes autorisation og adgange. Hvordan forholder I jer til det?

»Den situation er ikke væsensforskellig fra, at brugere allerede i dag kan spærre deres tokens. En hvilken som helst logon-mekanisme har den svaghed, at den bliver spærret, hvis den kompromitteres. Og hvis det skulle ske, så har vi lavet en nødprocedure, der giver brugeren mulighed for at logge på én gang. Bagefter skal man så resette sit password,« siger Rasmus Ry.

Læs også: Odder Kommune åbner for intranet med NemID

Regnestykket bag skiftet til NemID er i øvrigt meget simpelt. It-afdelingen bruger i dag godt 500.000 kroner om året på RSA-token-løsningen, hvortil kommer administration og omkostninger til udskfitning af tokens, mens NemID-løsningen efter en smule tilpasning af blandt andet skærmbilleder vil løbe op i omkring 200.000.

»I og med det er medarbejdernes private NemID, skal vi ikke betale noget, når vi kun kigger på PID-delen. I virkeligheden er det en fantastisk chance for at få alle kommunens ikke-administrative medarbejdere såsom pædagoger, hjemmehjælpere og gartnere ind på intranettet på en sikker måde. Der ligger en kæmpe kommunikationsgevinst og venter der,« siger Rasmus Ry til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (30)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jette Hartmann

hvis de medarbejdere bruger NemID til at signere kommunikation med andre, kan man IKKE se at de hører til i en kommune. Medarbejdersignaturer er det eneste rigtige til kommunikation med andre, både offentlige og private.

  • 5
  • 5
Jakob Steen-Petersen

Jeg har hørt det før: at virksomheder tænker sig at anvende NemID som login til netværket. et betyder jo i praksis at man begynder at blande private og arbejdsmæssige ting sammen i en hidtil uset grad.

Hvordan tænker man sig at det i praksis skal fungere? Skal jeg som ansat huske mit lille kodepapir når jeg skal på arbejde? Og i øvrigt huske at tage det med hjem hvis jeg skal i banken?

Dvs. hvis man har været i banken hjemme om aftenen risikerer man, at man ikke kan logge på sin arbejds plads næste morgen fordi man har sit geniale pap-stykke liggende hjemme foran PCén?

Der kan sikkert tilføjes en masse andre eksempler på dette :-)

En anden problem stilling som jeg har hørt om, er problemet som ligger i at der skal ligge et CPR nummer bag ved enhver bruger. Der kan jo være behov for demo-pcére osv. hvor noget skal stå og køre i eksempelvis receptionen. Her vil man ikke kunne logge ind med en gæstebruger?

  • 3
  • 0
Morten Winther

Jette, hvorfor skriver du om signering og kommunikation? Det handler om at "få pædagoger, hjemmehjælpere og gartnere ind på intranettet på en sikker måde".

Godt være du tror du har den rigtige løsning, men det er det forkerte problem du vil løse. NemID er fint til intranettet, men ikke til fagsystemer.

  • 4
  • 3
Jette Hartmann

Det er da pokker til forskel på et kørekort og nemID. Hvorfor skal dette blandes ind i denne diskussion? Der findes forskellige udgaver af digital signatur, og det ikke uden grund, da der er forskellige behov for verificering af hvem brugeren af signaturen er.

  • 4
  • 3
Claus Eriksen

Jeg savner lidt at journalisterne graver i den "lille" udfordring der ligger i at NemID baserer sig på frivillige aftaler, og dermed ikke har et lovgrundlag som fx. det kørekort som fortalerne så gladeligt fremhæver.

Hvilken mulighed har de ansatte der ikke ønsker OCES delen aktiveret? Er det det samme som en fyreseddel? Jeg tvivler stærkt på at der har været noget i folks kontrakt om at de kunne forvente at skulle lave aftale med 3. part for at kunne logge på systemerne på deres job.

Som det så fint er beskrevet i artiklen: kommunen ser en mulighed for at spare penge ved at tvinge deres ansatte til at benytte private ting i arbejdstiden - vel at mærke private ting der giver fuld adgang til netbank, skat mv. Hvor blev hensynet til privatlivet af?

  • 10
  • 1
Jakob Steen-Petersen

Det kommer da an på.. Jeg mener hvis man har et job hvor man dagligt kører for firmaet så jo, så er det jo en del af jobbeskrivelsen. Men hvis en pædagog-medhjælper skal ned og hente 10 liter mælk. Så kan man da ikke stille krav om at denne har husket at medbringe sit kørekort.

Jeg går da ikke ud fra at Århus kommune beder alle 35.000 ansatte om at have deres kørekort med på arbejde?

  • 0
  • 0
Mikael Andersen

en RSA token kan bruges i max 3 år og skal derefter skiftes. den koster gerne 2.xxx kr i anskaffelse. alternativt kan bruges sms token. hos os koster dette vidst nok 700kr pr bruger og er langt nemmere at håndtere.

så hvis det kostede dem 500k for den ene løsning. og 200k for at bruge nemID som er på kant med loven og også forkasteligt at bede medarbejderne at blande deres private login med arbejds login. ja så kunne det være en god ide at have kigget på de andre login metoder der var tilgængelig til en billigere penge først.

  • 2
  • 0
Jakob Steen-Petersen

Er det i øvrigt "normalt" at man bruger RSA token (eller andre metoder) til alm. netværkslogin? Jeg havde indtil de her NemID løsninger kom frem, troet at RSA osv. kun var til medarbejdere som skulle kunne logge på udefra hjemme eller lign.)?

Så alm. godt gammeldaws Windows login er ikke godt nok mere, hvis man har en PC på netværket?

  • 2
  • 0
Leif Neland

Men hvis en pædagog-medhjælper skal ned og hente 10 liter mælk. Så kan man da ikke stille krav om at denne har husket at medbringe sit kørekort.

Du har jo pligt til at sikre dig at en, du låner et motorkøretøj til har et passende kørekort.

  • 0
  • 0
Svend Lyngsø

Jeg håber at den NemID de får ikke er den samme som deres privat. Men en speciel til deres arbejde og der med giver rettighed til det som passer til deres job.

  • 2
  • 2
Morten Winther

Hvor mange parallelle offentlige sikkerhedsinfrastrukturer skal vi brygge op i Danmark for borgernes skattekroner? NemID er frikøbt til offentlig brug, så lad os dog få lov til at bruge den så vi ikke skal ud og købe medarbejdersignaturer til 800.000 offentlige ansatte – hvad vil dette ikke koste? Hver kommune sidder og fifler med deres egne løsninger. Hvor er kombit og KL i dette sammenhæng og hvorfor tænker man ikke en fælles EU løsning når man er i gang?

  • 4
  • 4
Leif Neland

Men en speciel til deres arbejde og der med giver rettighed til det som passer til deres job.

NemID giver ikke adgang, det gør kommunens systemer, nemid identificerer bare brugeren overfor systemet, så systemet kan give de passende rettigheder til netop den bruger.

  • 3
  • 0
Martin Ipsen Pedersen

Det eneste Århus Kommune vil er jo at vide, at de har fat i den rigtige person... det løses ved brug af NemID. Derfra autoriserer de videre med deres normale løsninger fordi nu ved de at de har fat i den rigtige person.

Diskussionen om man må forudsætte at ansatte bruger deres egen nem-id-konto synes jeg tenderer til at løbe af sporet. - du bruger eget kørekort... som enkelte andre har nævnt - du bruger eget pas - du bruger eget tøj - du bruger egne sko - du bruger egne briller Hvad i alverden er da problemet med at bruge egen nem-id når man har den og den er gratis? (ja, jeg ved nemid ikke er verdens bedste løsning, men det er jo ikke pointen.)

Ja, nemid giver adgang til andre ting, hvis den falder i de forkerte hænder, men det gør dit pas, kørekort, dankort, nøgler etc. etc. også. Nemid forudsætter også en pinkode udover pap-kortet, så faktisk er risikoen mindre end for de øvrige dele. - altså tag nu lige og løft blikket.

  • 3
  • 5
Knud Berggreen

Løsningen er der allerede... Nogle banker - fx de der kører under BEC - udsteder særlige NemID medarbejdersignaturer som anvendes i erhvervsnetbank. Den kan så heller ikke bruges til andet (endnu). Og det er jo bare en tilsvarende løsning som kommunerne skal tage i brug. Så vil medarbejderen få en signatur, som relaterer til ansættelsesforholdet og kun kan bruges i den forbindelse, helt uafhængig af vedkommendes personlige NemID.

  • 3
  • 0
Mikael Andersen

problemet med at anvende nemid til at identificere folk med, er blandt andet at en medarbejder har lov til at lukke sin private nemid hvis man f.eks. er bange for at ens kode er blevet afluret eller man har mistet kortet. skal personen så ikke have løn i den periode hvor nemID fremsender et nyt kodeark? 'syndt, du har slev spæret din adgang du skal gå på tvunget ferie indtil du kan logge på igen' ?

desuden har datatilsynet også sagt at kommunen selv skal kunne administrere login. det kan de ikke når nu det er udliciteret til NemID praktisk talt.

  • 3
  • 1
Morten Winther

skal personen så ikke have løn i den periode hvor nemID fremsender et nyt kodeark? 'syndt, du har slev spæret din adgang du skal gå på tvunget ferie indtil du kan logge på igen' ?

Se det i kontekst. Vi taler om pædagoger, hjemmehjælpere og gartnere der skal læse nyheder på intranettet, ikke administrative medarbejdere der skal anvende fagsystemer.

desuden har datatilsynet også sagt at kommunen selv skal kunne administrere login. det kan de ikke når nu det er udliciteret til NemID praktisk talt.

Selv med Medarbejdersignatur er du jo afhængig af DanID og deres systemer. Dette ændrer ikke sagen.

  • 2
  • 4
Claus Eriksen

Dvs. du ser ikke noget problem i at du som medarbejder tvinges til at give danid fuldmagt til at udgive sig for dig? Blot for at du kan kunne passe dit job? Jeg har ingen intentioner om at aktivere OCES delen (det er jo understreget flere gange at den er frivillig host), skal jeg så pr. automatik nægtes adgang til systemer jeg forventes at benytte?

  • 7
  • 1
Morten Winther

nej. det er IKKE kun gartnere og pædagoer. det er ALLE i kommunen. det er dem som sidder og laver løn, det er dem der sidder og styre borgerservice. det er rub og stub.

De sidder nok ikke og laver løn over intranettet på en ren SSL/nemID løsning skal du se. Alle kan sikkert tilgå intranettet og lave trivielle ting som at læse nyheder mm via NemID, men Administrative medarbejdere er helt sikkert oprettet i deres Active Directory med relevante sikkerhedsgrupper og har VPN hvis de skal på det administrative net. Dette handler om at lukke det gap der er mellem administrative medarbejdere og så dem der arbejder ude i marken. I dag får sidstnævnte i mange kommuner ikke adgang til de samme nyheder og derfor er denne tanke om at anvende NemID kommet på banen.

  • 0
  • 3
Thue Kristensen

Når man bruger NemID på en computer, så risikerer man jo hvis computeren er inficeret at der bliver lavet et lokalt Man-In-The-Middle angreb (ja, selv med 2-faktor). For eksempel kan de lave et falskt interface, som efter at man første gang har tastet 2-faktor-koden bruger den til at hæve ens bankkonto, hvorefter man anden gang man taster kommer igennem som normalt, så jeg intet opdager.

Derfor er det vigtigt, at jeg selv vælger hvilke computere jeg bruger mit private NemID på.

Hvis mit arbejde kræver at jeg bruger mit private NemID til at logge ind på mit arbejde, så har jeg jo ikke reel mulighed for at sige fra, hvis jeg ikke stoler på sikkerheden på computeren jeg skal logge ind på. Det er uacceptabelt.

  • 5
  • 0
Jakob Damkjær

NemID er frikøbt til offentlig brug,

Sikker på det ? digital signatur var også gratis for private... men hvis du skulle bruge den i offentlig sammenhæng (arbejde og specielt med CPR nr versionen) kostede de 700 kr per år...

Den regning for NemID support og server belastning som Århus kommune har det fint med ikke at betale for ved at bruge deres ansattes private NemID tror jeg kommer tilbage og bider dem i rumpetten med en stor fed regning fra NemID...

Desuden så overser IT chefen et scenarie... hvis IT-afdelingen opdager at en signatur misbruges til adgang i et fagsystem (fx. listen over folk med hemlig addresse) hvordan har kommunen så tænkt sig at lukke for den signatur der benyttes ? ved at lukke den borgers personlige NemID og dermed blokere for al adgang til det offentlige ? for det er det lidt kun borgeren der har ret til...

  • 4
  • 1
Leif Neland

Desuden så overser IT chefen et scenarie... hvis IT-afdelingen opdager at en signatur misbruges til adgang i et fagsystem (fx. listen over folk med hemlig addresse) hvordan har kommunen så tænkt sig at lukke for den signatur der benyttes ? ved at lukke den borgers personlige NemID og dermed blokere for al adgang til det offentlige ?

Hvorfor blander så mange identifikation og autorisation sammen?

NemID siger hvem du er overfor edb-systemet, der så giver dig adgang til hvad du må.

Selvom jeg har NemId kan jeg jo ikke komme på Aarhus's intranet uden at være oprettet i deres medarbejdersystemer.

Der, hvor medarbejdersignaturer til adgangskontrol kan komme på tale er, hvis man vil give adgang til alle, der har en signatur fra institution A i kommune X til institution B i kommune Y.

Så er det, at kommune Y skal kunne kontrollere om kommune X har tilbagekaldt signaturen.

Eller andre scenarier, hvor man skal bruge ID'et til at bevise overfor en fremmed enhed at man tilhører en bestemt enhed.

Politibetjenten kunne åbne kodelåsen på stationen med sit bibliotekskort, hvis det bare bliver kodet ind, at den med det kort må komme ind. Forlader han styrken, fjernes tilladelsen bare internt.

Men når han stopper mig, vil jeg se identifikation udstedt af politimesteren (eller hvad det nu hedder på djøf'sk); et politiskilt = medarbejdersignatur, og jeg stoler på at det bliver inddraget, når han forlsder styrken.

  • 1
  • 0
Jesper Lund

Sikker på det ? digital signatur var også gratis for private... men hvis du skulle bruge den i offentlig sammenhæng (arbejde og specielt med CPR nr versionen) kostede de 700 kr per år...

DanID er den rette til at svare på dette (hvad er "privat brug").

Men det vil kraftigt udvande værdien af deres medarbejdersignaturer hvis "gratis til privat brug" udvides til at omfatte erhvervsmæssig brug af den private NemID.

  • 3
  • 0
Morten Winther
  • 0
  • 0
Rasmus Ry Nielsen

Kære Alle Det har været spændende at følge den debat, som vores initiativ i Aarhus har givet anledning til. Ikke mindst fordi den har tydeliggjort, hvad vi skal være bedre til at kommunikere. Jeg vil benytte mig af anledningen til at takke for indlæggene (også selv om de ikke specifikt er til mig) og samtidig uddybe lidt:

Først vil jeg gerne sige lidt om, hvad det er for en brug, vi vil gøre af NemID-login. For at fortælle om det, vil jeg tage udgangspunkt i dels mig selv, dels en pædagogmedhjælper. I mit eget tilfælde er situationen den i dag, at jeg, når jeg er på arbejde, logger på en helt almindelig Aarhus Kommune-PC med mit ADbrugernavn og password. Sådan vil det også være efter NemID. Pædagogomedhjælperen logger som udgangspunkt ikke på noget som helst, da PC’erne i børnehaven enten bruges til at vise billeder på, eller til administrativ anvendelse.

Når jeg i dag arbejder hjemmefra eller er på farten i kommunens tjeneste, har jeg min egen, private bærbare PC med. Med den logger jeg på mit hjemmenetværk . Herfra går jeg til vores Citrix-login skærm, hvor jeg logger på med en kombination af Token+pinkode samt ADident og password. Efter NemIDimplementering vil jeg logge på med en kombination af NemID og ADident / password. Jeg får således ikke direkte systemadgang vha. min NemID, men vha. ADident og password. Altså helt som det er i dag, bortset fra at Token udgår og erstattes med NemID. I dag er der ingen, der tvinger mig til at have token, og der vil heller ikke være nogen, der tvinger mig til at bruge NemID.

For pædagogmedhjælperen er situationen en anden: Takket være NemID kan hun nu hjemmefra vælge (der er ingen tvang) at logge på intranettet, som hun tidligere ikke havde adgang til. Hun får dog ikke adgang til personhenførbare oplysninger, eller til at udføre opgaver, hvor hun i opgaveløsningen optræder som ansat i Aarhus Kommune. Hun får udelukkende adgang til information, der er målrettet hende. Vi har ca. 18.000 ansatte som pædagogmedhjælperen. Dem kalder vi ikke-adminstrative ansatte i modsætning til sådan én som jeg, hvis primære arbejdsopgaver netop er af administrativ art.

Jeg er citeret for i artiklen, at der er et besparelsespotentiale i manøvren. Det er korrekt. Men det er ikke dens væsenligste begrundelse. Den vigtigste årsag til at gøre det her, er netop at vi kan give helt nye grupper adgang til vores intranet. Alle de ikke-administrativt ansatte, der indtil nu ikke har haft den mulighed, og som derfor ikke i samme grad som vi andre har kunnet følge med i, hvad der sker på vores fælles arbejdsplads. Det er dét, der er den helt store gevinst i projektet, og som kun praktisk og økonomisk kan lade sig gøre ved at bruge NemID som adgangsnøglen. Projektet er derfor meget mere et kommunikations- og involveringsprojekt, end det er et spareprojekt. Og vi har afsøgt andre log-in teknologier, men der er ingen, der kommer i nærheden af at kunne validere 18.000 brugere til den pris, vi betaler for dette. Det ligger langt ud over de 500.000 kroner, jeg er citeret for ovenfor.

Det er i øvrigt værd at notere sig, at den offentlige sektor én gang for alle er frikøbt for NemIDbrug. Vi udnytter således en investering, der er foretaget uden at skabe nye regninger.

I nogle af indlæggene ovenfor bruges der også lidt krudt på, at vi hellere skulle bruge Medarbejdersignaturen. Det gør vi skam også, vi har faktisk rigtigt mange af dem, og det skal vi fortsat have. Men medarbejdersignaturen skal bruges, når medarbejderen netop optræder som medarbejder i Aarhus Kommune, det vil sige identificerer sig som en sådan over for borgere, virksomheder og andre offentlige myndigheder. Når medarbejderen med andre ord agerer på vegne af Aarhus Kommune og ikke på egne vegne. Den er med andre ord ikke personlig, men knyttet til medarbejderens opgaver for Aarhus Kommune. Det ville derfor være en meget uheldig sammenblanding, hvis vi brugte medarbejdersignaturen i vores projekt.

Endelig er der debatten om, hvorvidt vi kan tillade os at kræve, at medarbejderen bruger sin private signatur til noget arbejdsrelateret. For det første: Der er ingen tvang. For det andet: Det mener jeg godt, vi kan. Ikke så meget fordi man også bruger sit eget kørekort, når man kører i kommunens biler, men snarere fordi man i dag kun kan se sin lønseddel ved at logge på med NemID på E-boks eller Digital Post. Så grænsen er sådan set allerede krydset. Det er den også, når jeg sidder derhjemme og arbejder på Aarhus Kommunes netværk fra min egen PC over mit eget hjemmenetværk. Eller når jeg betaler multimedieskat, men til gengæld kan bruge min arbejdsmobil privat. Min vinkel er derfor pragmatisk: Der er fordele i ordningen både for Aarhus Kommune og for mig. Og jeg kan vælge den fra, hvis jeg synes, den overskrider en tærskel. Men jeg vil hellere vælge den til, fordi det giver mig en fleksibilitet i mit arbejdsliv, som jeg ellers ikke ville kunne få. Det er nu muliggjort i stor-skala takket være NemID-projektet. Og derfor ville det være en skam, hvis misforståelser omkring vores fremgangsmåde skulle være en bremseklods.

/ Rasmus Ry Nielsen ITchef, Borgmesterens Afdeling Aarhus Kommune

  • 2
  • 1
Jakob Steen-Petersen

Dejligt med en forklaring på hvordan det hele hænger sammen. Hvis ovenstående indlæg fra Rasmus Ry havde været artiklen ville i al fald min holdning være en helt anden.

Det kan godt være at jeg har tolket artiklen helt forkert, men det er et godt eksempel på at "man ikke skal tro på alt hvad man læser" :-)

Så ud fra IT chefens forklaring er det jo en ganske fornuftigt beslutning de har truffet!

  • 0
  • 1
Log ind eller Opret konto for at kommentere