Digitalt råd: Bryd Nets monopol på NemID

Når statens kontrakt med Nets udløber i 2015, bør man sætte markedet for løsninger lig NemID fri, så der kommer konkurrence, mener Rådet for Digital Sikkerhed.

Sæt markedet fri og bryd dermed Nets monopol på udviklingen og driften af løsninger lig NemID. Det mener Rådet For Digital Sikkerhed, skriver Politiken.

Statens kontrakt med Nets om at få Danmark med på ‘den digitale bølge’ udløber i 2015, hvorefter man skal forhandle om, hvorvidt det fortsat skal være Nets, der skal drive det hvide nøglekort til login på offentlige hjemmesider og banker. Birgitte Kofod Olsen, der er formand for Rådet for Digital Sikkerhed, følger op:

»Tiden er moden til at bryde monopolet og åbne markedet,« siger formanden. Hun henviser dermed til, at når staten skal genforhandle en ny kontrakt om driften, bør staten, regionerne og kommunerne åbne for valgfrihed for borgere og virksomheder. På den måde kommer der nemlig konkurrence.

Grunden til, at der i dag kun er én udbyder af digitale sikkerhedsløsninger, er, at der tilbage i 2007 kun var én udbyder, som meldte sig på banen. Charlotte Jacoby, som er chefkonsulent i Digitaliseringsstyrelsen, afviser ikke, at der på sigt kan komme andre end Nets i spil.

»Vi efterstræbte i 2007 ikke kun at finde én udbyder. I dag er vi på planlægningsstadiet, så på det punkt er vi i øjeblikket hverken for eller imod,« siger hun og henviser til, at udviklingen af NemID’s afløser allerede er i gang.

Nets har dog indlagt en toårig forlængelse i sin kontrakt, og med næste generation af den digitale signatur in mente benytter Digitaliseringsstyrelsen sig med al sandsynlighed af den mulighed, siger Charlotte Jacoby til Politiken.

På EU-plan er man dog også i fuld gang med at forberede en forordning, der skal bringe en NemID-lignende løsning ud i alle 28 medlemslande. På den måde skal man på sigt kunne bruge sin digitale signatur, uanset om man står på Mors i Danmark eller Milano i Italien.

Charlotte Jacoby forventer, at den forordning er færdigbehandlet og udsendes i efteråret 2014, så Digitaliseringsstyrelsen kan bruge den i sin næste udbudsrunde frem mod 2017. Hertil håber chefkonsulenten også, at man ved næste generation kan få et mere stabilt system end det nuværende, der løbende har haft nogle større nedbrud, skriver Politiken.

I dag er over 4,09 millioner mennesker tilmeldt NemID, og Nets drives hvert år for godt 31 millioner kroner - penge, som det offentlige betaler. Senest har det dog også været i spil, hvorvidt Nets skulle sælge. Men her er foreløbig ikke truffet nogen beslutning.

Læs også: SF: Stop salget af Nets

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (44)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Nobel

"Nets drives hvert år for godt 31 millioner kroner - penge som det offentlige betaler."

Det koster vist lidt mere end 31 millioner at drive Nets, så hvad er der egentlig tale om - er det selve driften af det offentlige SSO system der menes?

Og skal afskrivningerne på milliarden ikke regnes med når man ser på de totale omkostninger?

  • 4
  • 0
Thue Kristensen

Grunden til, at der i dag kun er én udbyder af digitale sikkerhedsløsninger skyldes, at der tilbage i 2007 kun var én udbyder, som meldte sig på banen. Charlotte Jacoby, som er chefkonsulent i Digitaliseringsstyrelsen, afviser ikke, at der på sigt kan komme andre end Nets i spil.

»Vi efterstræbte i 2007 ikke kun at finde én udbyder. I dag er vi på planlægningsstadiet, så på det punkt er vi i øjeblikket hverken for eller imod,« siger hun og henviser til, at udviklingen NemID’s afløser allerede er i gang.

Det er altså ikke nogen god undskyldning for at de gav NemID et monopol i 2007. Digitaliseringsstyrelsen kunne nemt have insisteret på et standardiseret API i 2007, så konkurrenter på ethvert tidspunkt kunne have meldt sig på markedet. For eksempel ala OpenID, hvor adressen på login-udbyderen er indlejret i mit brugernavn (fx hvis mit brugernavn er thue@openid.org, så bliver jeg sendt til openid.org for at logge ind, før jeg bliver sendt tilbage igen).

Og OpenID eksisterede allerede i 2007, så Digitaliseringsstyrelsen bør have meget røde øre over at de ikke insisterede på sådan en løsning dengang. Det er altså ikke en ny indsigt at unødvendige monopoler er en dårlig ide.

  • 7
  • 0
Jesper Poulsen

Det er desværre en vidt udbredt misforståelse at have den indstilling, at der skal bruges samme type låsetøj til det faldefærdige haveskur som til bankboksen.

Valgfrihed mellem udbydere betyder at man kan bruge forskellige udbydere til forskellige tjenester eller flere udbydere til de samme tjenester. Vælger man det sidste er man ikke på r*ven hvis en enkelt udbyder er lagt ned af et DDoS-angreb.

  • 1
  • 0
Mikael Ibsen

Man kan kun håbe inderligt, at du har ret, men samtidig må man desværre nok frygte, at udbyderne, for at optimere den økonomiske side af projektet, vil lave diverse cowboytricks, som alligevel resulterer i nuanceforskelle, der, i de altid forekommende helt usandsynlige situationer, kan komme til at betyde ustabiliteter eller nedbrud. Nattens hændelser viser klart, at om det er en fejl 40 eller en dybereliggende systemfejl, så står kunderne altid med fletningerne i postkassen. Nårh nej, postkasserne er jo blevet skruet ned, men det tror jeg heller ikke hjælper. November bliver en stor måned for Version2's journalister - men det er så en helt anden sag.

  • 1
  • 1
Claus Wøbbe

NemID som koncept - fælles login til en uoverskuelig skare af services og sites - er i mine øjne en usund grundidé. Det er helt unødvendigt. Lad nu hvert offentligt site implementere deres egen (evt. den samme) åbne standard for login, og lad nu markedet løse det besvær med mange passwords, som dette umiddelbart giver.

Dette har markedet nemlig allerede gjort i form af mange services, der kan håndtere de mange passwords, vi alle ALLIGEVEL slæber rundt på.

Jeg selv bruger LastPass til at styre mine passwords, og det virker bare super!

Igen et eksempel på, at så snart staten synes at man vil lave en centraliseret løsning, så gør det galt i alle mulige dimensioner. Det er møgbesværligt at signe op til, det er uigennemsigtigt, og det er dyrt.

Luk det.

  • 0
  • 5
Morten Andersen

Det er da underligt at tale om at NemId monopol, når det er en konktrakt der har været i offentligt udbud. Nu vandt Nets den så og den udløber i 2015 (men Digitaliseringsstyrelsen har krav på at få det forlænget frem til 2017 hvis de har lyst, men de kan også sende det i udbud før). Når man sender noget i udbud vil vinderen i sagens natur være den der står for det i kontraktens levetid - det er ikke det samme som at de har monopol! Faktisk synes jeg det er ret hurtigt det kommer i udbud igen.

Det er jo fint at åbne markedet for flere løsninger, men hvordan skal det så finansieres? De fleste omkostninger er sikkert uafhængige af antal brugere på den konkrete løsning, så skal staten så til og betale for implementeringen af flere løsninger? Eller skal hver udbyder have penge per transaktion (og skal den samlede pose penge i givet fald være større eller mindre end i dag)?

  • 1
  • 6
Christian Nobel

Igen et eksempel på, at så snart staten synes at man vil lave en centraliseret løsning, så gør det galt i alle mulige dimensioner.

Hvilket jo fint blev eksemplificeret med dagens Rejsekort show.

Under alle omstændigheder drejer det sig om at lave et system med åbne API, så man kan vælge "sikkerhedsudbyder" efter eget ønske, samt har mulighed for at have forskellige sikkerhedsniveau, i stedet for one-size-fits-all tanken.

Og fsva. den (ikke eksisterende) digitale signatur del, så skal der også være muligheder for flere CA's så landet ikke lægges brak hvis et led i kæden knækker.

  • 5
  • 0
Morten Andersen

Der er jo flere udbydere hver gang det er i udbud!

Efter din tankegang så er der altid tale om et monopol såsnart man har tegnet en kontrakt med en leverandør der løber i en eller anden tidsperiode. Indtil en ny tager over som så også har monopol?! Så biografen har monopol indtil du ser en film i en anden biograf.

Desuden er der jo ingen der forbyder andre firmaer at lave en anden logon-løsning. Og enhver tjenesteudbyder kunne jo vælge at tage imod autentifikation fra denne alternative udbyder i stedet for eller samtidigt med NemId. Men det VÆLGER de fleste ikke at gøre. NemId er tilfældigvis bare den udbyder der har vundet kontrakten med staten lige for tiden (og staten kunne ligeledes hyre X andre udbydere oveni hvis den har lyst til det - det har staten bare valgt ikke at gøre!).

Ordet monopol anvendes typisk hvis noget juridisk forhindrer andre i at udbyde samme produkt. Det er der jo slet ikke tale om her.

  • 1
  • 9
Jesper Poulsen

der altid tale om et monopol såsnart man har tegnet en kontrakt med en leverandør der løber i en eller anden tidsperiode.

Et statsgaranteret monopol.

Hvis der kun er én leverandør, så er der tale om et monopol uanset hvordan denne leverandør er fundet.

Desuden er der jo ingen der forbyder andre firmaer at lave en anden logon-løsning.

Du skal vist læse lidt om grundlaget for NemID igen. Der må kun være én udbyder af loginmuligheder og én udbyder af "signatur"-muligheder i Danmark. Dermed er alternativerne udelukket og DanID har monopol på markedet.

  • 5
  • 0
Niels Dybdahl

Der må kun være én udbyder af loginmuligheder og én udbyder af "signatur"-muligheder i Danmark.

Den må du vist lige forklare. Jeg bruger da mange andre loginmuligheder dagligt. F.eks bruger jeg forskellige loginudbydere på arbejdet, på version2.dk, på google, på Skoleintra og hvis jeg går i banken via smartphone og ingen af disse er NemID.
Og på arbejdet signerer jeg dagligt kodefiler med en signatur som heller ikke har noget med NemID at gøre.
Er alt dette ulovligt?

  • 0
  • 7
Jimmy Christiansen

Der må kun være én udbyder af loginmuligheder og én udbyder af "signatur"-muligheder i Danmark.

Den må du vist lige forklare. Jeg bruger da mange andre loginmuligheder dagligt. F.eks bruger jeg forskellige loginudbydere på arbejdet, på version2.dk, på google, på Skoleintra og hvis jeg går i banken via smartphone og ingen af disse er NemID.
Og på arbejdet signerer jeg dagligt kodefiler med en signatur som heller ikke har noget med NemID at gøre.
Er alt dette ulovligt?


Du bruger ikke og kan stort set ikke bruge andre logonmuligheder til det offentlige. Det er jo ikke et spørgsmål om logon tilfældige steder som dem du nævner. Men steder der kræver digital signatur. Godt nok er NemID ikke en digital signatur, da den ikke lever op til lovgivningen.

Så det er på OCES delen af NemID der er monopol.

  • 1
  • 0
Jesper Poulsen

Efter denne opfattelse er der godt nok mange monopoler!

Eneret = monopol? Right?

NemID har en lovgivet, statsgaranteret eneret på authentication-løsninger og "signatur"-løsninger overfor det offentlige, digitale Danmark.

Uanset hvor mange der har budt ind med løsninger, så foreskrev loven at der skulle findes én og kun én leverandør. Ingen parallelle leverandører. Ingen konkurrerende leverandører. Én!

Et statsgaranteret monopol!

  • 4
  • 0
Carsten Stenberg

Diskussionen viser vist med al tydelighed hvor virkelighedsfjerne diskussionerne herinde til tider kan blive

Jamen så er vi ikke de eneste der er virkelighedsfjerne, selv Det Danske Sprog- og Litteraturselskab er på vildspor:

  1. det forhold at der på markedet kun findes én udbyder af en bestemt vare eller tjenesteydelse

Kilde: http://ordnet.dk/ddo/ordbog?query=monopol

  • 3
  • 0
Niels Danielsen

Generelt er jeg enig I det koncept der er beskrevet her.
Et system hvor man kan dele ud, og lukke for sin identitet.
http://www.computerworld.dk/art/228558/sikkerhedsekspert-her-er-en-stens...

Systemet skal være et monopol drevet af det offentlige, baseret på åbne standarder. (Det er en offentlig opgave at kunne identificere et lands borgere)
Det skal være således at hvis jeg tropper på borgerservice kun iført underbukser, og påstår at jeg er borger x, og alt mit indbo er brændt, så skal de kunne verificere hvem jeg er, og udsede et nyt borger ID kort. Dette ID kort skal så kunne bruges til at reconnecte med mine identiteter hos sundhedssystemet, banker, forsikrings selskaber etc.

Det må ikke være muligt at overtage en anden persons identitet.

Det må heller ikke være muligt for de firmaer som har fået min identitet at samarbejde omkring at profilere min færden.

Det skal også til en vis grad være muligt at styre de informationer som overføres fra CPR registeret, til tredje part. Og der skal være muligt at se en log, over dem har har hentet informationer.

Det kan ikke undgås at den der håndtere min identitet (CPR/Borgerservice) får et kendskab til hvem jeg er i kontakt med. Derfor skal det være offentligt, den slags kan man ikke tiltro et privat firma.

Det skal være muligt at benytte second level identitets udbydere, således at man f.eks. over for et Dating site kan dokumentere alder, og køn, uden at 'staten' ved at man benytter et dating site.

  • 0
  • 1
Niels Danielsen

@Claus Wøbbe

fælles login til en uoverskuelig skare af services og sites - er i mine øjne en usund grundidé. Det er helt unødvendigt.
…..
Igen et eksempel på, at så snart staten synes at man vil lave en centraliseret løsning, så gør det galt i alle mulige dimensioner. Det er møgbesværligt at signe op til, det er uigennemsigtigt, og det er dyrt

Jeg er enig med dig I at NemID er noget skidt.
Men jeg kan ikke se hvordan vi kommer ud over det have en offentlig centraliseret løsning.

Der er relationer som (uheldigvis) vare hele livet, som f.eks. Skat.
Du kan ikke sammenligne det at logge på et tilfældig site, med det at kommunikere med det offentlige.
Hvis jeg taber min identitet til at logge på Facebook, eller en web shop, ja så kan jeg bare oprette en ny identitet.
Det kan jeg desværre ikke få lov til over for skat :-)

Mht. skat er der også det at når du opretter en relation til en arbejdsgiver, bank, eller forsikringsselskab, ja så skal den sande identitet videreformidles til skat.

  • 3
  • 0
Niels Danielsen

@Christian Nobel

Hvilket jo fint blev eksemplificeret med dagens Rejsekort show.

Under alle omstændigheder drejer det sig om at lave et system med åbne API, så man kan vælge "sikkerhedsudbyder" efter eget ønske, samt har mulighed for at have forskellige sikkerhedsniveau, i stedet for one-size-fits-all tanken.

Og fsva. den (ikke eksisterende) digitale signatur del, så skal der også være muligheder for flere CA's så landet ikke lægges brak hvis et led i kæden knækker.

Ang. åbne standarder.
Jeg frygter at Danmark kan blive taget som gidsel af Nets når kontrakten udløber.
Jeg kender ikke kontrakten, og (backoffice) teknologien der er blevet brugt til implementering af NemID. Men man kunne frygte at vi (Danmark) er blevet afhængige af Nets proprietære interfaces, således at staten er nød til at betale for at holde systemet kørende.

Ang. flere CA's
Jeg kan ikke se hvordan det vil kunne virke.
Jeg kan da ikke bruge et ID kort til Fitness.dk til at legitimere mig over for DSB, eller min læge, medmindre at der en overliggende rod CA der binder dem sammen.

  • 0
  • 1
Finn Christensen

Hvornår opdager politikerne, at udsalg af infrastruktur er politik, ikke økonomi?

Der er ikke et gram politik eller økonomi på den gås her - ikke et gram - alene uvidende fæhoveders manglende fantasi og evner. Yes, de sidste 2-3 regeringer.

Man havde på tinge så pokkers travlt travlt med sin sidste nye indbildte dille "digitalisering", så det her SlemID skulle løse samtlige problemer i et hug - læs: holde styr på folks gøren og laden (9/11 + dyneløfteri), samt EU, der fik de samme fæhoveder til logning i Danmark (Bekendtgørelse nr. 988 af 28. september 2006).

Når der ikke var interesse for at byde på denne opgave i 2007, så skyldes det (for borgeren) de 'skjulte' interesser fra embedsværkets side. Selv TDC med den gamle signatur løb væk, og ønskede ikke at deltage.

Vi ser gennem tiden, at MF'er ikke har en pind forstand på it, så det er en smal sag for finansvæsenet + embedsværket at få lokke MF'er - læs: TvangsID + Tvangsdigitalisering blev trukket ned over hovedet på borgeren.

Billigt korrekt - men kun på de offentlige konti. Bankerne fik endeligt blåstemplet deres automatiske seddeltrykkeri, der kan triller 24/7 med NemID.

Ingen giver xx mia. for en 'billig' løsning, så der betales gerne en klækkelig overpris for et statsbeskyttet monopol til at plukke xx mio. borgere (DK/NO m.fl.) via flere automatiske tælleværker.

  • 4
  • 0
Morten Andersen

"Monopol betyder direkte 'eneret til salg' og stammer oprindeligt fra de økonomiske videnskaber. "

NemId har ikke eneret til salg - der er mange leverandører af autentifikationsløsninger. DanId vandt kontrakten med det offentlige sidst den blev udbudt og næste gang har andre muligheden for at byde. I mellemtiden står det andre frit for at levere og accepere alternative loign-løsninger. Man skal godt nok være syg i hovedet for at opfatte det som et monopol. Dem der byggede vores hus har således også haft monopol - vi må hellere rive det ned og sende det i udbud som et kontinuerligt, evigt byggeprojekt hvor alle firmaer kan være med hele tiden, således at vi ikke risikere at det bliver kaldt et monopol.

  • 0
  • 6
Jesper Poulsen

Ang. flere CA's
Jeg kan ikke se hvordan det vil kunne virke.
Jeg kan da ikke bruge et ID kort til Fitness.dk til at legitimere mig over for DSB, eller min læge, medmindre at der en overliggende rod CA der binder dem sammen.

Det er ikke brugeren der skal sikre, at ID'et er gyldigt. Det er login-stedet der skal sikre gyldigheden. Det gør de ved at spørge CA om ID'et er valid. Det er i den sammenhæng ligegyldigt om det er det ene eller det andet CA der står inde for gyldigheden, så længe der er tale om et CA der har statens blå stempel.

  • 0
  • 0
Nils Bøjden

...er helt hen i vejret. Jeg kan kun Rådet for Digital Sikkerhed ret. Lad os få flere løsninger/leverandører på banen...

Det er jeg ikke sikker på at jeg er enig med dig i. At der er flere parter der er i stand til at udgive sig for at være mig er jeg ikke sikker på at jeg betragter som værende trygt.

Derimod ville det formodentlig give mening at splitte Nets delen af NemID op i 2 dele.

  1. Verifikationen eller den centrale nøglebase. Dette må være under den danske stats kontrol.
  2. Service delen der sørger for at foretage indlogning til den centrale nøglebase via papkort eller anden identifikation kan uden problemer forekomme i flere versioner. Problemer er dog at hvis der for mange kan det være besværligt for os som borgere at vide hvem af disse udbydere vi kan stole på.
  • 1
  • 1
Nils Bøjden

Ligesom man kan anvende flere forskellige betalingskort, bør det også være muligt at vælge mellem flere forskellige former for Identifikation.

Det tror jeg ikke er en god ide. Jeg er ikke sikker på at der skal være mere end een form for elektronisk identifikation. Nemlig den private nøgle i en public/private key identifikation.

  • 0
  • 1
Jimmy Christiansen

https://www.retsinformation.dk/Forms/R0710.aspx?id=141308
Forudsætningen for at få adgang til den digitale postkasse er en digital signatur med et sikkerhedsniveau svarende til OCES-standarden eller højere. I Danmark blev den første generation af digital signatur baseret på OCES-standarden lanceret i 2003, og anden generation blev lanceret i 2010. I det følgende benævnes den første generation som »digital signatur« og »digital medarbejdersignatur«. Den anden generation benævnes som den »offentlige digitale signatur NemID« og »NemID medarbejdersignatur«. De fire betegnelser anvendes i forslaget som synonymer for digital signatur baseret på den til enhver tid gældende OCES-standard, som er fastlagt i certifikatpolitik for OCES-personcertifikater og certifikatpolitik for OCES-medarbejdercertifikater.

Forudsætningen for at få adgang til den digitale postkasse er, at borgeren har den offentlige digitale signatur NemID eller digital signatur. Digital signatur nyudstedes eller genudstedes dog ikke efter den 1. juli 2011.

  • 4
  • 0
Adam Arndt

Tak for svaret, men det var ikke helt det, jeg var ude efter.

Lov om digital post omtaler som du ganske rigtigt citerer NemID i bemærkningerne, men det indebærer jo ikke nogen lovgivning om muligheden for at etablere et alternativ. Bemærkningerne forholder sig i min læsning bare til, at der på lovgivningstidspunktet kun eksisterede en anerkendt OCES-løsning, nemlig NemID.

Jeg savner stadig en henvisning til den lov, der forbyder alternativer til NemID.

  • 0
  • 3
Henrik Madsen

Forudsætningen for at få adgang til den digitale postkasse er, at borgeren har den offentlige digitale signatur NemID eller digital signatur. Digital signatur nyudstedes eller genudstedes dog ikke efter den 1. juli 2011.

Hva dælen.

Jeg troede egentligt at vi var færdige med at diskutere om NemID er en digital signatur ?

Selv DanID har da mig bekendt indrømmet at NemID, IKKE er en digital signatur da NemID, ikke overholder de krav der er hvis man vil kalde sin løsning for en digital signatur.

En af de mest fundamentale ting ved en digital signatur er jo at ejeren af signatur selv skal have en del af nøglen hos sig.

NemID på hardware overholder muligvis disse krav men så længe man lader folk bruge PapID kortet så er man på gyngende grund.

  • 5
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Sæt markedet fri og bryd dermed Nets monopol på udviklingen og driften af løsninger lig NemID. Det mener Rådet For Digital Sikkerhed, skriver Politiken. Statens kontrakt med Nets om at få Danmark med på ‘den digitale bølge’ udløber i 2015, hvorefter man skal forhandle om, hvorvidt det fortsat skal være
Nets, der skal drive det hvide nøglekort til login på offentlige hjemmesider og banker. Birgitte Kofod Olsen, der er formand for Rådet for Digital Sikkerhed, følger op: »Tiden er moden til at bryde monopolet og åbne markedet,« siger formanden. Hun henviser dermed til, at når staten skal genforhandle en ny kontrakt om driften, bør staten, regionerne og kommunerne åbne for valgfrihed for bo...