Digitaliseringsstyrelsen: Næste version af NemID kan skille banker og det offentlige

Når NemID skal opgraderes i 2017, er der en risiko for, at borgerne ender med to forskellige login-løsninger: én til det offentlige og en til bankerne og resten af det private erhvervsliv.

Idéen om en fælles login-løsning til både offentlige og private tjenester er ikke givet på forhånd: Når næste generation af NemID kommer i udbud i 2017, er der en mulighed for, at det offentlige vælger en ny standard, som ikke er kompatibel med bankernes løsninger.

Med andre ord kan borgerne risikere at skulle have to nøglekort liggende i pungen i stedet for ét, alt afhængig af om de har brug for at logge ind på en offentlig tjeneste som borger.dk eller en privat netbank.

»Vi er fastlagt en fælles standard i det offentlige, som vi skal følge. Og den er bankerne ikke nødvendigvis forpligtede af. Vi ved heller ikke, om bankerne eller de private virksomheder vil blive ved med at anvende den,« siger direktøren for Digitaliseringsstyrelsen, Lars Frelle-Petersen, til Version2 og fortsætter:

»Det er heller ikke sikkert, vi vælger den samme standard. Det er jo efter udbuddets regler, at det skal udbydes efter åben og fri konkurrence,« siger han.

Så vi kan godt risikere at ende i en situation, hvor I vælger en anden løsning, hvor man så skal have en bank-NemID og en offentlig NemID?

»Det ville for eksempel være en af de situationer, vi kunne komme ud for.«

Læs også: Snapshots fra Version2's NemID-visionarium

Hvad synes du om sådan en løsning?

»Vi er jo underlagt EU-udbuddets regler, så det skal jeg jo egentlig ikke mene noget om. Men det er klart, at det også har enorm betydning for os, at man universelt set med NemID kan tilgå både offentlige og private løsninger.«

Men kan man ikke i et EU-udbud stille det som et krav, at løsningen skal være kompatibel med bankerne?

»Det, som bankerne kan overveje, er, om de skal lægge sig op ad den standard, vi vælger.«

I kunne vel også vælge en standard, som fungerer med den nuværende løsning?

»Det er sådan, at bankerne jo ikke nødvendigvis har standardiseret alt - de har jo hver deres it-system. Og derfor har de ikke nødvendigvis valgt en ensartet løsning bagved, sådan som vi har det i det offentlige.«

NemID muligvis på vej til mobilen

Omkring 4,2 mio. borgere og 500.000 virksomheder bruger i dag NemID, og en af grundene til løsningens store udbredelse er især, at alle bankerne oprindeligt valgte i fællesskab at understøtte den offentlige løsning.

Samtidig var det også en af grundene til, at NemID’s forgænger, Digital Signatur, aldrig blev rigtig udbredt i befolkningen. Løsningen krævede blandt andet en nøglefil for at logge på, der eksempelvis kunne ligge på en usb-nøgle, og så var den langtfra understøttet af alle de større internettjenester.

Digitaliseringsstyrelsen erkendte herefter, at det var nødvendigt at lave en løsning, som teknisk kunne fungere på alle platforme, men også blev drevet frem af private virksomheder.

»Vi havde tidligere en forestilling om, at vi kunne drive mere frem i den offentlige sektor, men vi måtte erkende at vi ikke kan drive selve anvendelsen af it-løsninger som NemID. Der havde bankerne en afgørende indflydelse,« siger Lars Frelle-Petersen.

Hvorvidt bankerne og det offentlige fortsat vil understøtte den samme standard i næste generation af NemID, er endnu uvist.

Om man også skal bruge et fysisk papkort som nøglekort til den næste løsning, kan Lars Frelle-Petersen endnu ikke sige noget om, men han fortæller, at Digitaliseringsstyrelsen ser på alternativer som fx løsningen fra Estland, hvor nøglen til den digitale identitet ligger krypteret i simkortene på mobiltelefonerne.

Læs også: Estlands tilbud til digitale iværksættere: e-borgerskab og 0 pct. i skat

Løsningen med papkortet blev blandt andet valgt, fordi den var mere intuitiv for ældre borgere og it-analfabeter ifølge Lars Frelle-Petersen, men der var også en anden grund:

»Det var ikke, fordi vi var vanvittigt begejstrede for idéen om et papkort, men vores erfaringer var, at det var den, der gav mindst support,« siger han og fortsætter:

»Den næste generation kan jo tænkes i flere varianter, eksempelvis mobilløsninger.«

Digitaliseringsstyrelsen regner med at afslutte foranalysen af det kommende NemID til næste sommer, hvorefter løsningen vil komme i EU-udbud.

Den næste generation skal efter planen rulles ud i 2017, når den nuværende NemID-løsning bliver udfaset.

Lars Frelle-Petersen er en af hovedtalerne ved IDAs store konference Driving IT den 14. november, hvor eGov er et af fire store temaer. De tre øvrige er privacy, start ups og cool tech.
Læs programmet og tilmeld dig på IDAs hjemmeside.

I næste uge udkommer Version2 med et særligt Insight-magasin om eGov. Her bringer vi blandt andet et længere interview med Lars Frelle-Petersen om Danmarks offentlige digitaliseringsindsats.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anders Christensen

Orv, med lidt held betyder det jo så at jeg fremover ikke skal rende rundt med seks forskellige nemid-papkort for at kunne logge på alle de rigtige steder, men så måske skal rende rundt med ti.

Det kan da næsten ikke blive mere brugervenligt! :) :)

Jeg er mange gange blevet foreslået at få den der fikse kodedims, det lyder da også smart, indtil det går op for folk der foreslår det, at jeg så skal have seks af dem.. Måske kan man få en trækvogn med?

Hvis fremtidens løsning bliver mobilbaseret (hvilket jeg da næsten ikke kan tro vil ske i Danmark) bliver det sikkert lavet så man kun kan bruge en "NemID" pr. telefon - Det skal jo helst leve op til forventningerne til offentlig IT i Danmark :)

  • 8
  • 1
Dennis Krøger

Det var det samme med den gamle digitale signatur: Fordi bankerne tabte udbuddet, valgte de at blokere løsningen under en fesen undskyldning om at det ikke var sikkert nok. Hvis eboks skulle have lov til at modtage bank dokumenter, skulle de også deltage i boykotter. Staten lod sig så manipulere til at give bankerne løsningen. Det korrekte svar er selvfølgelig tvang, det er ikke at bukke sig forover.

  • 7
  • 1
Nils Bøjden

"Hvad synes du om sådan en løsning?

»Vi er jo underlagt EU-udbuddets regler, så det skal jeg jo egentlig ikke mene noget om. Men det er klart, at det også har enorm betydning for os, at man universelt set med NemID kan tilgå både offentlige og private løsninger.«"

Staten dikterer indholdet og standarder i kontrakten. Staten kan endvidere diktere at danske banker skal kommunikere med staten via samme standarder.

Så i sidste instans kan det kun være bankerne der skal rette ind i forhold til hvad staten dikterer som værende gældende standarder.

Så hvis bankerne vælger en anden sandard end staten vil være bankernes valg. Det må aldrig blive statens opgave at vælge en standard fordi en samling af private firmaer vil noget andet.

Man kunne i en sådan situation udmærket forestille sig at dette kunne blive en konkurrenceparameter for en Bank: Nem hverdag, sikker hverdag, i bank og fællesskab.

  • 8
  • 0
Christian Nobel

Uagtet om man giver EU regler eller noget andet skylden, så er det da rart at der endelig er kommet et vist klarsyn hos den såkaldte Digitaliseringsstyrelse.

Der skal være en klar adskillelse mellem stat og kirke ^^^^ bank, og behovene er også forskellige.

For bankernes vedkommende er behovet, at der er tale om at man vil lave en SSO løsning, da der allerede er et etableret kundeforhold hvor identitet er kendt, og så kan man ligeså godt se i øjnene, når man barberer den forblommede tale væk, at sikkerheden drejer sig om bankens interesser, ikke kundernes.

Når vi taler stat er behovet et helt andet.
Dels drejer (det burde i hvert fald være sådan) sikkerheden sig om at beskytte borgeren, dels er det en helt anden funktionalitet der er behov for, da den offentlige løsning jo lige præcis ikke kun skal være en SSO løsning, men en decideret (ægte, pki og alt det der) digital signatur, hvor borgeren har fuld kontrol over egen nøgle.

Vi render altså heller ikke rundt med samme nøgle til etageejendommens opgang som til bilen - og hvis løsningen i øvrigt bliver lavet intelligent, med åbne interfaces, så er der intet til hinder for at borgeren selv indkøber en pung til det hele.

  • 11
  • 0
Jesper Dahl Nyerup

Jeg er ikke enig i den vinkel artiklen anlægger til spørgsmålet. Det virker på mig som om status quo lovprises af bekvemmelighedshensyn, og at segmentering af sign-on-løsninger fremstilles som en falliterklæring. Det synes jeg er forkert.

Jeg kan, groft forsimplet, forestille mig tre udfaldsscenarier:

1. NemID fortsætter i sin nuværende form
Nets har en fremragende pengeko i NemID, og vil lægge sig i selen for at beholde den, også efter udbuddet i 2017. De krav udbuddet opstiller vil blive inkorporeret i den eksisterende løsning, som Nets også udbyder til bankerne. Alt fortsætter sin vante gænge i alle praktiske hensyn.

2. Et nyt produkt implementeres
Nets og bankerne kan ikke forlige sig med et eller flere af kravene i det nye udbud, og undlader at lade den eksisterende løsning tilpasse. Udbuddet vil formentlig blive besvaret af KMD, CSC, IBM, og måske Nets med et nyt, seperat produkt. Bankerne til herefter måske stå med valget mellem at drifte NemID for egen regning, segmentere sign-on-produkterne, som markedet var før NemID, eller – hvis muligheden byder sig – simpelthen blive kunder af det nye produkt.

3. Et nyt produkt implementeres af staten
Digitaliseringsstyrelsen tager tyren ved hornene, etablerer en udviklingsafdeling, og implementerer produktet selv. Produktet vil blive nøjagtig lige så udskældt som NemID var og er, nærmest uanset form og kvalitet, men vil formentlig vise sig at blive billigere. Bankerne vil måske også få valget mellem NemID, egne løsninger eller at blive kunder af dette produkt.

Mit gæt er at scenarierne her er sorteret fra mest til mindst sandsynligt. Men jeg vil ubetinget foretrække nummer 3. Det vil sikre, at staten selv ejer kodebasen, at infrastrukturen ikke nødvendigvis kommer på fremmede hænder, og frem for alt at mit statsborgerskab ikke tvinger mig til at acceptere et privat firmas forretningsbetingelser.

  • 14
  • 0
Ole Laursen

Digitaliseringsstyrelsen tager tyren ved hornene, etablerer en udviklingsafdeling, og implementerer produktet selv.

Det hænger lidt på om de kan finde nogle gode folk og vil lade dem bestemme. Man kunne godt være lidt bekymret. Jeg håber mere på det Christian Nobel skriver, at man indser at opgaven er at diktere en nogenlunde enkel standard og så lade markedet stå for implementeringer så nogle entreprenante webudviklere kan give os flere fornuftige løsninger at vælge mellem.

  • 2
  • 0
Allan Astrup Jensen

Jeg har allerede 2 papkort. 1 privat og et medarbejder til mit 1-mands firma uden medarbejdere. Og kortene ser ens ud, så forveksling kan forekomme.

Jeg tror at man vil skille det offentlige og private login for at de private kan kræve penge for brugen. Alt der begynder gratis i banken kommer efterhånden til at koste kassen, når man er blevet afhængig. Og der er som bekendt ikke konkurrence nok mellem bankerne efter antallet er indskrænket så drastisk.

  • 1
  • 0
Jakob Sørensen

eg er mange gange blevet foreslået at få den der fikse kodedims, det lyder da også smart

Snydt igen, det er nemlig ikke nok bare at have den fikse kodedims (lærte jeg på den sure måde). Der er scenarier hvor du stadig skal bruge dit papkort. Så kodedimsen tilføjer bare en ekstra dimension af besværligheder... Men det er nok ingenting mod de besværligheder de åbenbart "truer" med at tilføje i næste version. Hold op en pinlig omgang...

  • 1
  • 0
Lars Skovlund

Det vil vel sige at en sådan løsning stadig ikke løser det fundamentale problem, at NemID lukker op for et utal af services med forskellige sikkerhedskrav, hæftelsesregler og juridiske forskelle i øvrigt. Bankerne vil så skulle dele NemID med diverse lånehajer og andre mere eller mindre lyssky firmaer. Er det virkelig det bedste vi kan komme op med?

  • 1
  • 0
Tauno Suikkanen

Var det ikke 3 papkort ? Er ikke hjemme, så jeg kan se efter (privat, virksomhed og medarbejder).
Og så et ekstra i perioden, hvor antallet af koder er ved at udløbe. Dvs op til 4-6 stykker.
Men de er da sikkert fine for kvikke unge mennesker med gode øjne. Sikkerhed ? Selv synes jeg ikke, at det er svært at forestile sig hvordan de kan misbruges.

  • 1
  • 0
Christian Nobel

Det vil vel sige at en sådan løsning stadig ikke løser det fundamentale problem, at NemID lukker op for et utal af services med forskellige sikkerhedskrav, hæftelsesregler og juridiske forskelle i øvrigt. Bankerne vil så skulle dele NemID med diverse lånehajer og andre mere eller mindre lyssky firmaer. Er det virkelig det bedste vi kan komme op med?

For lige at gentage:

Det eneste bankerne har behov for er et SSO system, da kundens identitet allerede er kendt.

Til alt det andet er der et behov for at kunne identificere sig - og lige præcis det kan korrekt implementering af PKI tilsikre, både mellem private aktører indbyrdes, og mellem private aktører og det offentlige.

Samtidig ville det også (ja tænk engang, det er jo nærmest rent scifi) være muligt at sende post som krypteret/signeret mail.

  • 6
  • 0
Christian Nobel

Sikkerhed ? Selv synes jeg ikke, at det er svært at forestile sig hvordan de kan misbruges.

I praksis (da vel stort set 99% af landets befolkning har et lemfældigt forhold til deres nøglekort) er det såkaldte NemID cirkus reduceret til et simpelt (omend besværligt) username/password login.

Jeg håber meget at fokus på et nyt system går på rigtig sikkerhed, ikke pseudosikkerhed som primært tilgodeser overvågningsstaten.

  • 2
  • 0
Martin Ipsen Pedersen

»Det er heller ikke sikkert, vi vælger den samme standard. Det er jo efter udbuddets regler, at det skal udbydes efter åben og fri konkurrence,« siger han.


Den er vist ny... det plejer at være lige præcis sådan, at man godt kan sige en standard skal følges... mens man ikke kan definere, løsningen, eller sige præcist hvilket produkt der skal vælges.

Altså, så længe standarden er tilgængelig for alle, kan det offentlige sagtens kræve den overholdt i et EU-udbud.

Lad mig endelig høre, hvis dette er blevet ændret siden jeg sidst havde fingrene i EU-udbud.

  • 2
  • 0
Peter Mogensen

Det var det samme med den gamle digitale signatur: Fordi bankerne tabte udbuddet, valgte de at blokere løsningen under en fesen undskyldning om at det ikke var sikkert nok.

Det er noget vrøvl. Sikkerhedsmæssigt var der intet ivejen med bankernes argument.
Den gamle model baserede en stor del af sikkerheden på at Hr. og Fru Jensen havde styr på sikkerheden på deres windåse.
Jeg kan godt forstå bankerne var bange for det minefelt, det ville være at skulle udbetale erstatninger for netbank-indbrud.

At de så vandt næste udbud og lavede en løsninger der udelukkende løste netop deres eget sikkerhedsproblem og så stort på mange af borgerens krav til sikkerhed er en anden sag.

  • 1
  • 0
Niels Dybdahl

Selvfølgelig vil bankerne i høj grad lave deres egne systemer. Det gør de allerede i dag. F.eks hvis jeg går på mobilbank, så er det ikke den hemmelige nemidkode jeg skal indtaste, men en "mobilkode" som ikke har noget med nemID at gøre.
Men det offentlige system vil altid være det grundlæggende. Det er det som er knyttet sammen med den komplette liste over befolkningen (folkeregistret) og bankerne er nok bedre tjent med at bruge det system end at manuelt at kigge på kørekort og sygesikringskort som de gjorde i gamle dage.
Deres egne systemer vil i bedste fald henvise til et personnummer eller et nemidnummer og dermed til det offentliges system.
Der er ikke meget ide i at lave en lov som siger at alle systemer som "banker" laver som man kan logge ind i, skal bruge nemid. Hvis de til mindre vigtige ting hellere vil bruge OpenID eller deres eget, så lad dem dog. Der er også en stor gråzone med Paypal, Google checkout, Coop (som også har en bank), bitcoinbørser etc. Lad der være noget konkurrence mht login. Muligvis vil nogle banker skille sig ud og tilbyde nemidlogin mod et gebyr, så man kan slippe for de mange papkort.

  • 0
  • 0
Albert Nielsen

Hvor er de bare dygtige til at udtænke systemer.

Jeg ser med glæde frem til at have et papkort til min egen kommune, et papkort til andre kommuner, et papkort til min bank, et papkort til Skat, et papkort til at klage over Skat, et papkort til ministerier, et papkort til museer, et papkort til avisabonnementer, et papkort til at få et nyt papkort, ... har netop investeret i et stort antal aktier i De danske Papirfabriker for at komme det digitale kontor i forkøbet.

  • 0
  • 1
Morten Borg

Har allerede 5 papkort som adgang til diverse virksomheder, samt en kodegenerator til Danske Bank. Det bliver godt nok lidt af en stak hvis der skal ganges med 2...

  • 1
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize