Datatilsynet forbyder NemID som login for kommunalt ansatte

31. august 2011 kl. 10:4924
Kommunen skal have fuld kontrol med medarbejdernes adgang til systemerne, og det har de ikke, hvis medarbejderne anvender deres personlige NemID til login, vurderer Datatilsynet.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Det er i strid med persondataloven, hvis en kommune beder medarbejderne logge på it-systemerne ved hjælp af medarbejdernes personlige NemID. Det vurderer Datatilsynet i en ny afgørelse.

Problemet ved at bruge medarbejdernes personlige NemID er ifølge Datatilsynet, at kommunen dermed ikke har fuld kontrol over medarbejdernes adgang til systemerne. Kommunen har nemlig ikke autorisation til at spærre en medarbejders NemID.

Tilsvarende skal medarbejderen selv kunne spærre sit NemID, og det vil i så fald betyde, at medarbejderen ikke kan logge på kommunens systemer. Det er også i strid med, at kommunen skal have fuld kontrol over brugerautorisationen.

Medarbejderne skal også selv have kontrol over de fysiske rammer, hvor NemID anvendes, og det vil ikke være tilfældet, hvis medarbejderen skal logge på med NemID på kommunens pc'er på rådhuset, vurderer Datatilsynet.

Artiklen fortsætter efter annoncen

Tilsvarende har kommunen ikke kontrol over sikkerheden på de systemer, hvor medarbejderen i øvrigt bruger sit personlige NemID.

En af de kommuner, som har implementeret adgang til intranettet via NemID, er Frederikshavns Kommune.

Den løsning er implementeret af Signaturgruppen, men direktør Morten Storm Petersen mener ikke umiddelbart, at Datatilsynets afgørelse gælder den fremgangsmåde, der bliver brugt i Frederikshavn Kommune.

»Vi mener, at Datatilsynet udtaler sig om en anden løsningsmodel, end den, vi laver, hvor medarbejderne bruger NemID til at logge på intranettet hjemmefra og ikke på arbejdspladsen. Desuden understøtter vores løsning et efterfølgende netværkslogon, så arbejdsgiveren er i fuld kontrol med adgangsstyringen,« siger Morten Storm Petersen til Version2.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Han er enig i, at arbejdsgiveren ikke bør kræve, at medarbejderen anvender sit personlige NemID, men vil dog gerne være med i en diskussion om, hvordan NemID gerne må bruges til denne type løsninger.

»NemID er jo netop designet til at give os en sikker adgang til personlige oplysninger og digital forvaltning hos blandt andet skat.dk, sundhed.dk og borger.dk, og så det ville da være underligt, hvis NemID ikke måtte anvendes til at give en sikker adgang til personlige oplysninger om ens ansættelsesforhold på arbejdsgiverens intranet,« siger Morten Storm Petersen til Version2.

Datatilsynet har specifikt set på den situation, hvor en myndighed stiller krav om, at medarbejderne skal anvende deres personlige NemID til login. Ifølge Signaturgruppens vurdering er det ikke det samme som i de tilfælde, hvor NemID kan bruges sideløbende med andre login-metoder.

Udtalelsen fra Datatilsynet sker efter henvendelse fra Kommunernes Landsforening KL, hvor foreningen umiddelbart ikke finder det hensigtsmæssigt at blande brugernes personlige NemID med en decideret medarbejdersignatur til digital signering af dokumenter.

24 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
24
Jesper Østergaard
1. september 2011 kl. 11:07

Med dagens nedbrud hos nets fik vi vist et hint til at overveje fordele og ulemper ved at anvende samme system til login. Jeg tør ikke sætte tal på hvad det koster at nogle hundrede tusinde offentligt ansatte ikke kan logge ind. Og ud over den økonomiske betragtning er der som bekendt en risk betragtning som i sig selv er interessant og som er det datatilsynet har forholder sig til..

  • more_vert
    • insert_linkKopier link
23
Leif Neland
1. september 2011 kl. 08:54

NemID garanterer at man er, hvem man siger man er. Når det er godt nok for en borger at identificere sig overfor diverse myndigheder, må det også være godt nok for medarbejderne at identificere sig med overfor de samme myndigheder.

Når myndigheden så ved, hvem personen er, er det myndigheden, der bestemmer hvad, hvis noget, den person må få adgang til.

Det kan kun være et problem, hvis f.ex. sygehus A vil give adgang til alle, der har en medarbejdersignatur fra sygehus B.

  • more_vert
    • insert_linkKopier link
22
Per Lind
31. august 2011 kl. 20:45

Sikke en gan volapyk!

Det der er essensen her er at DanID eller hvad de nu hedder er et privat selskab (outsourced af telestyrelsen) og det kan da ikke undre nogen at disse offentlige og medarbejder signaturer ikke KAN blandes sammen.

Hold kaeft for et godt manus for Ian Flemming! GoldFinger!

NemID, NEJ TAK!

  • more_vert
    • insert_linkKopier link
19
Jette Hartmann
31. august 2011 kl. 16:31

selvfølgelig giver det mening - ellers ville jeg ikke skrive det. Me det system jeg sidder med, er det ikke uvæsnetligt at kunne se om det er en "tilfældig borger" en ansat ved en kommune, eller en læge på et sygehus. Derfor kan den personlige signatur IKKE bruges her.

Ja, det koster at få medarbejdersignaturer til de ansatte - OG ? Det koster i det hele taget penge at udstyre sine medarbejdere med de redskaber de har behov for, uanset om det drejer sig om en kuglepen eller en PC, eller som her en digital signatur der bekræter at de rent faktisk ER ansat i pågældende kommune/sygehus ect.

  • more_vert
    • insert_linkKopier link
20
Morten Winther
31. august 2011 kl. 18:42

selvfølgelig giver det mening - ellers ville jeg ikke skrive det

Du har godt nok høje tanker om dig selv. Når du med nemID kan få PID og dermed CPR kan du jo også slå op i de nødvendige databaser. Om der så er personalesystem, lønsystem, IDM, LDAP whatever. Hvis du har behov for at vide om sygehus har en bestemt læge må de jo bare udstille en service der gør dette opslag muligt.

Hvorfor samle rettighedsstyring hos DanID? Har du haft besøg af en god sælger fra DanID?

At andet koster penge forklarer jo ikke hvorfor man skal kaste flere penge ud - ja der er også skatteydere der har en interesse.

  • more_vert
    • insert_linkKopier link
13
Martin Ipsen Pedersen
31. august 2011 kl. 13:38

Og du fortsætter bare... med "jeg er klogest" og "hvis du svarer mig tager du alligevel dialogen.." Har du bemærket hvor få faglige argumenter du kommer med? Det kan godt være du er klogest, men du gør ikke meget for at overbevise mig om det. Jeg er klar til at høre gode argumenter. Er du også?

  • more_vert
    • insert_linkKopier link
14
Jette Hartmann
31. august 2011 kl. 13:58

"suk" nej jeg siger ikke noget om at jeg er klogest! Som administrator på et offentlig system, hvor adgangen er betinget af digital signatur, ved jeg en del om forskellen på den private og medarbejdersignaturen. Og hvis ikke du ved det, så er medarbejdersignaturen udstedt af firmaet, så man kan se ud fra signaturen om det er en der skal "lukkes ind i varmen" eller ej. Det kan man ikke med den personlige signatur. Hvis ikke det er svar nok til dig, så er det bare ærgerligt.....

  • more_vert
    • insert_linkKopier link
15
Martin Ipsen Pedersen
31. august 2011 kl. 15:30

Suk, en sten fra hjertet... godt med faglig dialog. og tak jeg ved godt hvad forskellen er på medarbejdersignatur og en personlig signatur. Og derfor giver jeg dig helt ret i at en medarbejdersignatur kan have nogle fordele for administrationen.

Men ikke for brugeren, der skal huske to.

Hvis vi skal blive i det faglige spor er det jo ikke anderledes end at man vedligeholder en liste over de id'er man ønsker at give nogle bestemte rettigheder... det er du jo også nødt til med en medarbejdersignatur med mindre du giver alle brugere fra en bestemt enhed de samme rettigheder. Og det sidste er ikke en mulighed for ret mange af de systemer jeg har med at gøre.

  • more_vert
    • insert_linkKopier link
16
Jette Hartmann
31. august 2011 kl. 15:43

Med den "gode gamle" danid kunne man have samme password til både den personlige og medarbejdersignaturen! Da NemID endnu ikke har taget sig sammen til at få medarbejdersignaturen igang, kan jeg af gode grunde ikke udtale mig om det også kunne være tilfældet med den. Jeg skal ikke komme nærmere ind på hvilket system jeg administrerer (jeg er offentlig ansat og har tavshedspligt :-)), men der er det netop meget forskelligt hvad folk får adgang til alt efter hvilken virksomhed de er i, og hviken uddannelse de har!

  • more_vert
    • insert_linkKopier link
17
Morten Winther
31. august 2011 kl. 15:59

men der er det netop meget forskelligt hvad folk får adgang til alt efter hvilken virksomhed de er i, og hviken uddannelse de har

Det giver jo ikke mening det du skriver. Hvad er det du kan med medarbejdersignatur i forhold til NemID, bortset fra at betale kassen for at få dem udstedt?

Lad os tage den konkrete case. Folk logger på med deres NemID og du får et PID du kan omsætte til CPR. Intranettet eller et bagvedliggende system kan slå op i en medarbejderdatabase eller lønsystem med CPR som nøgle og se hvilken afdeling og/eller stilling du har. Derefter ved den hvilken del af intranettet du skal have adgang til.

  • more_vert
    • insert_linkKopier link
9
Jakob Damkjær
31. august 2011 kl. 12:20

an NemID ikke udstede medarbejder NemID og det vil være en smule besværligt at lave adgangsstyring hvis man som arbejdtsgiver ikke kan fornye eller afslutte adgangsrettighederne for de enkelte NemID... eller lovligt ha adgang til at se hvad et personlige NemID har adgang til at gøre...

Så stupid meets imposible... go go datatilsyn for at de blocker get... Men utroligt at NemID ikke smart får fingered ud af bageriet med medarbejder NemID til virksomheder.

  • more_vert
    • insert_linkKopier link
10
Jette Hartmann
31. august 2011 kl. 12:57

de kan jo bruge danID´s medarbejdersignatur indtil nemID får taget sig sammen....

  • more_vert
    • insert_linkKopier link
7
Michael Jensen
31. august 2011 kl. 12:11

Der findes/fandtes digitale signaturer for firmabrug, så kan da ikke være så svært at lave NemID beregnet for firmaer og det offentlige. Så en person har to NemID kort, et personligt og et for brug på/tilgang til arbejdspladsen.

  • more_vert
    • insert_linkKopier link
4
Martin Ipsen Pedersen
31. august 2011 kl. 11:56

Hvis du skal køre bil for din arbejdsgiver bruger du dit eget kørekort. Hvis du skal rejse for din arbejdsgiver bruger du dit eget pas. Hvis du ikke har pas betaler arbejdsgiveren for at du får et. Jeg er sikker på at arbejdsgiverne ikke har noget problem i at betale for en personlig nemID-konto til deres medarbejdere... er jo i øvrigt gratis og det koster som sådan ikke hverken arbejdsgiver eller medarbejder noget.

Tværtimod har det for alle den fordel at man kan identificere sig selv med den samme id hver gang.

Ækvivalenten idag vil være at gå rundt med to cpr-numre... det da ikke smart.

  • more_vert
    • insert_linkKopier link
5
Jette Hartmann
31. august 2011 kl. 12:02

NEJ. Det er ikke uden grund at man har medarbejdersignaturer. Dén sikrer at man kan se at tilgangen til div. data sker på vegne af arbejdsgiver. Privat for sig og arbejde for sig.

  • more_vert
    • insert_linkKopier link
6
Martin Ipsen Pedersen
31. august 2011 kl. 12:06

Korrekt, men det er noget helt andet at trække et enkelt eksempel frem end at have en generel modstand mod brug af privat nemid.

Basalt set skal man identificere brugeren - derfra er det et spørgsmål om hvordan man holder styr på hvem det er og hvilke rettigheder denne har i firmaets systemer og data. Nogle gange kan et medarbejder id være at foretrække, men det er hverken den nemmeste eller rigtigste løsning hver gang.

  • more_vert
    • insert_linkKopier link
8
Jette Hartmann
31. august 2011 kl. 12:19

Martin Ipsen: hvis du, som jeg, arbejde med "skidtet" i det daglige, ville du nok bedre kunne forstå hvorfor det er så pokkers vigtigt at kunne arbejdsplads-relatere brugere inden man giver dem adgang til data.

  • more_vert
    • insert_linkKopier link
11
Martin Ipsen Pedersen
31. august 2011 kl. 13:13

Bare at sige, at du har forstand på det og det har jeg ikke. Den slags dialog gider jeg ganske enkelt ikke.

  • more_vert
    • insert_linkKopier link
12
Jette Hartmann
31. august 2011 kl. 13:16

og dog svarer du! Når nu realiteten er, at jeg kender temmelig meget til både nemID og medarbejdersignaturer, er det vel ikke helt ved siden af, at komme med sine meninger om dette?

  • more_vert
    • insert_linkKopier link
1
Jette Hartmann
31. august 2011 kl. 11:02

skal man ikke benytte den personlige NemID til arbejdsmæssige opgaver. Det er arbejdsgivers pligt at udstyre medarbejder med en medarbejdersignatur som benyttes til alt vedr. arbejdet. Man beder jo heller ikke en medarbejder om at benytte sit eget dankort til arbjedsrelaterede udgifter/rejser ect.

  • more_vert
    • insert_linkKopier link
2
Dennis Krøger
31. august 2011 kl. 11:19

Eh, mens jeg er enig i den første del, er det til gengæld helt almindeligt at medarbejdere selv lægger ud for udgifter og rejser (og dermed bruger eget Dankort), og får det afregnet i lønnet.

  • more_vert
    • insert_linkKopier link
3
Mogens Hansen
31. august 2011 kl. 11:34

Det er nok almindeligt at medarbejdere selv lægger ud for div. småudgifter, men det er efter frivillig aftale, nemmest for alle, osv.

Arbejdsgiveren kan aldrig pålægge en medarbejder selv at afholde disse udgifter. Og ligeledes bør en arbejdsgiver ikke kunne pålægge dig at bruge et personligt nemID til arbejdsrelaterede opgaver.

  • more_vert
    • insert_linkKopier link