Da NemID var under udvikling i 2009, bad IT- og Telestyrelsen Datatilsynet om en vurdering af løsningen.
Svaret var meget klart, at muligheden for borgerne selv havde kontrol over deres private nøgle var vigtig:
»En afgørende forudsætning for, at det er tilstrækkeligt sikkert at bruge digital OCES II signatur, når f.eks. en myndighed giver borgeren adgang til oplysninger via selvbetjeningsløsninger, er efter Datatilsynets opfattelse, at certifikatindehaveren har enekontrol over sin private nøgle,« skrev Datatilsynet til IT- og Telestyrelsen i april 2009.
Men siden lanceringen af NemID i sommeren 2010 er løsningen med at få den private nøgle på et chipkort blevet udskudt igen og igen. Det undrer man sig over i Datatilsynet.
»Vi er lidt forundrede over, at den del af løsningen ikke er kommet, for DanID har jo givet indtryk af, at det ville ske. Så det afventer vi stadigvæk, at DanID lever op til,« siger Sten Hansen, chef for Datatilsynets it-sikkerhedsafdeling, til Version2.
Vurderingen af NemID tilbage i 2009 var dog ikke en decideret godkendelse, men rådgivning af IT- og Telestyrelsen i form af en udtalelse om NemID.
Datatilsynet kunne dengang derfor kun opfordre til, at NemID gav mulighed for private nøgler i borgernes hænder, ikke stille det som et krav:
»Det er endvidere Datatilsynets opfattelse, at et generelt hensyn til brugernes privacy taler for, at brugerne skal have et valg med hensyn til, hvor deres nøgle opbevares. Datatilsynet skal derfor opfordre til, at der hurtigst muligt skabes mulighed for egen opbevaring af den private nøgle. Datatilsynet skal endvidere anbefale, at det overvejes, om ikke muligheden for egen opbevaring af den private nøgle bør være gratis, eller at prisen i det mindste bliver så lav som muligt og alene kommer til at afspejle omkostningerne,« skrev Datatilsynet i vurderingen.
Datatilsynets udmelding fik dengang DanID til at love at indføre muligheden, men to et halvt år senere, hvor den stadig ikke er kommet, kan Datatilsynet kun gentage opfordringen:
»Vi opfordrer fortsat DanID til at give borgerne mulighed for selv at opbevare den private nøgle, og vi regner da også med det, når nu de har lovet det. Vi har ikke hørt andet. Men det har trukket ud og er blevet skubbet nogle gange,« siger Sten Hansen.
Danskernes private nøgler til signatur-delen af NemID bliver i dag opbevaret på DanID’s servere, modsat almindelig praksis, hvor kun den offentlige del af nøgleparret bliver opbevaret centralt.
Denne måde at fortolke PKI-teknologien (Public Key Infrastructure) har ført til kritik fra it-kyndige allerede før NemID blev lanceret. DanID fortalte kritikerne på et møde i maj 2010, at de inden jul ville kunne få den private nøgle på et chipkort, mod betaling.
Men siden er den løsning blevet udskudt flere gange, og DanID kan ikke fortælle, hvornår man regner med at kunne lancere privat nøgle på hardware.
Forklaringen fra DanID har lydt, at det er vigtigere at få gjort NemID klar til virksomhedsbrug først, den såkaldte MOCES 2, da dette projekt ligesom alle andre NemID-delprojekter også er grundigt forsinket.
Forsinkelserne har ført til, at DanID måtte betale den maksimale bod til staten på fire millioner kroner.