Datatilsynet forbyder NemID som login for kommunalt ansatte

Kommunen skal have fuld kontrol med medarbejdernes adgang til systemerne, og det har de ikke, hvis medarbejderne anvender deres personlige NemID til login, vurderer Datatilsynet.

Det er i strid med persondataloven, hvis en kommune beder medarbejderne logge på it-systemerne ved hjælp af medarbejdernes personlige NemID. Det vurderer Datatilsynet i en ny afgørelse.

Problemet ved at bruge medarbejdernes personlige NemID er ifølge Datatilsynet, at kommunen dermed ikke har fuld kontrol over medarbejdernes adgang til systemerne. Kommunen har nemlig ikke autorisation til at spærre en medarbejders NemID.

Tilsvarende skal medarbejderen selv kunne spærre sit NemID, og det vil i så fald betyde, at medarbejderen ikke kan logge på kommunens systemer. Det er også i strid med, at kommunen skal have fuld kontrol over brugerautorisationen.

Medarbejderne skal også selv have kontrol over de fysiske rammer, hvor NemID anvendes, og det vil ikke være tilfældet, hvis medarbejderen skal logge på med NemID på kommunens pc'er på rådhuset, vurderer Datatilsynet.

Tilsvarende har kommunen ikke kontrol over sikkerheden på de systemer, hvor medarbejderen i øvrigt bruger sit personlige NemID.

En af de kommuner, som har implementeret adgang til intranettet via NemID, er Frederikshavns Kommune.

Læs også: Sådan digitaliserer man hele rådhuset med NemID

Den løsning er implementeret af Signaturgruppen, men direktør Morten Storm Petersen mener ikke umiddelbart, at Datatilsynets afgørelse gælder den fremgangsmåde, der bliver brugt i Frederikshavn Kommune.

»Vi mener, at Datatilsynet udtaler sig om en anden løsningsmodel, end den, vi laver, hvor medarbejderne bruger NemID til at logge på intranettet hjemmefra og ikke på arbejdspladsen. Desuden understøtter vores løsning et efterfølgende netværkslogon, så arbejdsgiveren er i fuld kontrol med adgangsstyringen,« siger Morten Storm Petersen til Version2.

Han er enig i, at arbejdsgiveren ikke bør kræve, at medarbejderen anvender sit personlige NemID, men vil dog gerne være med i en diskussion om, hvordan NemID gerne må bruges til denne type løsninger.

»NemID er jo netop designet til at give os en sikker adgang til personlige oplysninger og digital forvaltning hos blandt andet skat.dk, sundhed.dk og borger.dk, og så det ville da være underligt, hvis NemID ikke måtte anvendes til at give en sikker adgang til personlige oplysninger om ens ansættelsesforhold på arbejdsgiverens intranet,« siger Morten Storm Petersen til Version2.

Datatilsynet har specifikt set på den situation, hvor en myndighed stiller krav om, at medarbejderne skal anvende deres personlige NemID til login. Ifølge Signaturgruppens vurdering er det ikke det samme som i de tilfælde, hvor NemID kan bruges sideløbende med andre login-metoder.

Udtalelsen fra Datatilsynet sker efter henvendelse fra Kommunernes Landsforening KL, hvor foreningen umiddelbart ikke finder det hensigtsmæssigt at blande brugernes personlige NemID med en decideret medarbejdersignatur til digital signering af dokumenter.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jette Hartmann

skal man ikke benytte den personlige NemID til arbejdsmæssige opgaver. Det er arbejdsgivers pligt at udstyre medarbejder med en medarbejdersignatur som benyttes til alt vedr. arbejdet. Man beder jo heller ikke en medarbejder om at benytte sit eget dankort til arbjedsrelaterede udgifter/rejser ect.

  • 15
  • 1
Mogens Hansen

Det er nok almindeligt at medarbejdere selv lægger ud for div. småudgifter, men det er efter frivillig aftale, nemmest for alle, osv.

Arbejdsgiveren kan aldrig pålægge en medarbejder selv at afholde disse udgifter. Og ligeledes bør en arbejdsgiver ikke kunne pålægge dig at bruge et personligt nemID til arbejdsrelaterede opgaver.

  • 10
  • 1
Martin Ipsen Pedersen

Hvis du skal køre bil for din arbejdsgiver bruger du dit eget kørekort. Hvis du skal rejse for din arbejdsgiver bruger du dit eget pas. Hvis du ikke har pas betaler arbejdsgiveren for at du får et. Jeg er sikker på at arbejdsgiverne ikke har noget problem i at betale for en personlig nemID-konto til deres medarbejdere... er jo i øvrigt gratis og det koster som sådan ikke hverken arbejdsgiver eller medarbejder noget.

Tværtimod har det for alle den fordel at man kan identificere sig selv med den samme id hver gang.

Ækvivalenten idag vil være at gå rundt med to cpr-numre... det da ikke smart.

  • 4
  • 11
Martin Ipsen Pedersen

Korrekt, men det er noget helt andet at trække et enkelt eksempel frem end at have en generel modstand mod brug af privat nemid.

Basalt set skal man identificere brugeren - derfra er det et spørgsmål om hvordan man holder styr på hvem det er og hvilke rettigheder denne har i firmaets systemer og data. Nogle gange kan et medarbejder id være at foretrække, men det er hverken den nemmeste eller rigtigste løsning hver gang.

  • 2
  • 7
Michael Jensen

Der findes/fandtes digitale signaturer for firmabrug, så kan da ikke være så svært at lave NemID beregnet for firmaer og det offentlige. Så en person har to NemID kort, et personligt og et for brug på/tilgang til arbejdspladsen.

  • 3
  • 0
Jakob Damkjær

an NemID ikke udstede medarbejder NemID og det vil være en smule besværligt at lave adgangsstyring hvis man som arbejdtsgiver ikke kan fornye eller afslutte adgangsrettighederne for de enkelte NemID... eller lovligt ha adgang til at se hvad et personlige NemID har adgang til at gøre...

Så stupid meets imposible... go go datatilsyn for at de blocker get... Men utroligt at NemID ikke smart får fingered ud af bageriet med medarbejder NemID til virksomheder.

  • 0
  • 4
Martin Ipsen Pedersen

Og du fortsætter bare... med "jeg er klogest" og "hvis du svarer mig tager du alligevel dialogen.." Har du bemærket hvor få faglige argumenter du kommer med? Det kan godt være du er klogest, men du gør ikke meget for at overbevise mig om det. Jeg er klar til at høre gode argumenter. Er du også?

  • 0
  • 3
Jette Hartmann

"suk" nej jeg siger ikke noget om at jeg er klogest! Som administrator på et offentlig system, hvor adgangen er betinget af digital signatur, ved jeg en del om forskellen på den private og medarbejdersignaturen. Og hvis ikke du ved det, så er medarbejdersignaturen udstedt af firmaet, så man kan se ud fra signaturen om det er en der skal "lukkes ind i varmen" eller ej. Det kan man ikke med den personlige signatur. Hvis ikke det er svar nok til dig, så er det bare ærgerligt.....

  • 2
  • 1
Martin Ipsen Pedersen

Suk, en sten fra hjertet... godt med faglig dialog. og tak jeg ved godt hvad forskellen er på medarbejdersignatur og en personlig signatur. Og derfor giver jeg dig helt ret i at en medarbejdersignatur kan have nogle fordele for administrationen.

Men ikke for brugeren, der skal huske to.

Hvis vi skal blive i det faglige spor er det jo ikke anderledes end at man vedligeholder en liste over de id'er man ønsker at give nogle bestemte rettigheder... det er du jo også nødt til med en medarbejdersignatur med mindre du giver alle brugere fra en bestemt enhed de samme rettigheder. Og det sidste er ikke en mulighed for ret mange af de systemer jeg har med at gøre.

  • 2
  • 0
Jette Hartmann

Med den "gode gamle" danid kunne man have samme password til både den personlige og medarbejdersignaturen! Da NemID endnu ikke har taget sig sammen til at få medarbejdersignaturen igang, kan jeg af gode grunde ikke udtale mig om det også kunne være tilfældet med den. Jeg skal ikke komme nærmere ind på hvilket system jeg administrerer (jeg er offentlig ansat og har tavshedspligt :-)), men der er det netop meget forskelligt hvad folk får adgang til alt efter hvilken virksomhed de er i, og hviken uddannelse de har!

  • 0
  • 0
Morten Winther

men der er det netop meget forskelligt hvad folk får adgang til alt efter hvilken virksomhed de er i, og hviken uddannelse de har

Det giver jo ikke mening det du skriver. Hvad er det du kan med medarbejdersignatur i forhold til NemID, bortset fra at betale kassen for at få dem udstedt?

Lad os tage den konkrete case. Folk logger på med deres NemID og du får et PID du kan omsætte til CPR. Intranettet eller et bagvedliggende system kan slå op i en medarbejderdatabase eller lønsystem med CPR som nøgle og se hvilken afdeling og/eller stilling du har. Derefter ved den hvilken del af intranettet du skal have adgang til.

  • 1
  • 1
Jette Hartmann

selvfølgelig giver det mening - ellers ville jeg ikke skrive det. Me det system jeg sidder med, er det ikke uvæsnetligt at kunne se om det er en "tilfældig borger" en ansat ved en kommune, eller en læge på et sygehus. Derfor kan den personlige signatur IKKE bruges her.

Ja, det koster at få medarbejdersignaturer til de ansatte - OG ? Det koster i det hele taget penge at udstyre sine medarbejdere med de redskaber de har behov for, uanset om det drejer sig om en kuglepen eller en PC, eller som her en digital signatur der bekræter at de rent faktisk ER ansat i pågældende kommune/sygehus ect.

  • 1
  • 2
Morten Winther

selvfølgelig giver det mening - ellers ville jeg ikke skrive det

Du har godt nok høje tanker om dig selv. Når du med nemID kan få PID og dermed CPR kan du jo også slå op i de nødvendige databaser. Om der så er personalesystem, lønsystem, IDM, LDAP whatever. Hvis du har behov for at vide om sygehus har en bestemt læge må de jo bare udstille en service der gør dette opslag muligt.

Hvorfor samle rettighedsstyring hos DanID? Har du haft besøg af en god sælger fra DanID?

At andet koster penge forklarer jo ikke hvorfor man skal kaste flere penge ud - ja der er også skatteydere der har en interesse.

  • 2
  • 1
Per Lind

Sikke en gan volapyk!

Det der er essensen her er at DanID eller hvad de nu hedder er et privat selskab (outsourced af telestyrelsen) og det kan da ikke undre nogen at disse offentlige og medarbejder signaturer ikke KAN blandes sammen.

Hold kaeft for et godt manus for Ian Flemming! GoldFinger!

NemID, NEJ TAK!

  • 3
  • 1
Leif Neland

NemID garanterer at man er, hvem man siger man er. Når det er godt nok for en borger at identificere sig overfor diverse myndigheder, må det også være godt nok for medarbejderne at identificere sig med overfor de samme myndigheder.

Når myndigheden så ved, hvem personen er, er det myndigheden, der bestemmer hvad, hvis noget, den person må få adgang til.

Det kan kun være et problem, hvis f.ex. sygehus A vil give adgang til alle, der har en medarbejdersignatur fra sygehus B.

  • 0
  • 2
Jesper Østergaard

Med dagens nedbrud hos nets fik vi vist et hint til at overveje fordele og ulemper ved at anvende samme system til login. Jeg tør ikke sætte tal på hvad det koster at nogle hundrede tusinde offentligt ansatte ikke kan logge ind. Og ud over den økonomiske betragtning er der som bekendt en risk betragtning som i sig selv er interessant og som er det datatilsynet har forholder sig til..

  • 1
  • 0
Log ind eller Opret konto for at kommentere