FerieKontos kundeservice opfordrer til at tage billeder af NemID-nøglekort

Foto: Mads Allingstrup, Nets
Da en af Version2’s læsere ville hjælpe sin datter, som er i udlandet, med at få udbetalt penge fra FerieKonto, blev han af en kunderådgiver opfordret til at bede datteren sende et billede af sit nøglekort. Det er i strid med reglerne, siger Nets.

»Kan hun ikke bare tage et billede af nøglekortet?«

Det var spørgsmålet, som Kristian Ørnum blev mødt af, da han ringede til FerieKontos kunderådgivning for at høre, om han kunne hjælpe sin datter på 16 år med at få udbetalt feriepenge.

»Hun er i USA på et skoleophold. Det er jo meningen, at det er skoleopholdet, hun skal fokusere på. Jeg tænker, at jeg som forælder burde kunne gøre den slags for hende.«

Datteren kommer hjem om et års tid. Feriepengene ville blive forældet til september.

Læs også: Nets og Digitaliseringsstyrelsen advarer mod nøglekort-apps

Derfor ringer Kristian Ørnum til FerieKontos kunderådgivning og bliver opfordret til at få sin datter til at sende et billede af sit nøglekort til faderen.

Men det er imod reglerne for NemID. Det forsøger Kristian Ørnum at forklare kunderådgiveren, men resultatet er det samme. Kunderådgiveren mente, at det er den bedste løsning, og at hvis datteren gav lov, må man godt.

Dokumentationen herfor findes på en optagelse af samtalen, som Kristian Ørnum har sendt til Version2.

Læs også: Adskillige NemID-svindelsager: Bruger keylogger og fisker nøglekort op af postkassen

Han går selv op i it-sikkerhed og har lært sin datter at bruge 1Password til at holde styr på kodeord.

»Jeg skal ikke være den person, som lærer hende dårlig it-sikkerhed,« siger han.

Det fremgår meget tydeligt af nøglekort, at man ikke må affotografere disse. På indersiden er der et ikon med et kamera med en streg over, og på bagsiden er der sørget for information om, at: »Nøglekortet er personligt og må ikke affotograferes eller på anden vis videregives«.

Skulle man være i tvivl om, hvorvidt man må tage et billede af sit NemID, kan man nøjes med at kigge på det. Foto: Mads Allingstrup, Nets

Meget information om ingen affotografering

Mange tænker måske ikke over det, men at bruge en andens NemID er som at skrive under på andres vegne, forklarer Lene Loua, produktchef ved Nets DanID.

»Det kan være, at folk måske har en anden barriere, når det gælder NemID - altså at der er en forskel på at sætte sig ned og forsøge at efterligne sin mors eller sin datters underskrift, men det er der ikke. Det er en følelse af, at det ikke er det samme - men det er at skrive under på vegne af andre,« siger hun.

Læs også: Finansrådet og Digitaliseringsstyrelsen vil gøre danskerne mere sikkerhedsbevidste

Det er også derfor, at du i oprettelsen af et NemID skal acceptere, at NemID er personligt, og at du »ikke må oplyse din adgangskode, dine nøgler eller overlade dit nøglekort/din nøgleviser til andre«, som det fremgår af NemID-reglerne afsnit 3,2.

»Generelt er det meget uheldigt at opfordre til at tage billeder af sit nøglekort eller dele sit NemID med andre. Men det er desværre ikke et ukendt fænomen,« siger Lene Loua.

Deles nøglekort, skal de spærres

Hun oplyser desuden, at hvis Nets DanID får kendskab til, at et nøglekort er blevet delt, er de forpligtet til at spærre det pågældende NemID.

Vil man alligevel gerne hjælpe en anden, og der skal benyttes NemID, skal man bruge en fuldmagt fra tjenesteudbyderen til at kunne logge ind med eget NemID.

Det kan man gøre ved at kontakte udbyderen af den tjeneste, man gerne vil have adgang til.

Læs også: Aarhus-forskere har hacket løs på 4.841.990 danskeres NemID-nøgler i et år

Det, som Kristian Ørnum skulle være blevet opfordret til, var altså, at hans datter skulle indsende en fuldmagt.

FerieKonto: Der må være tale om en fejl

Hos FerieKonto beklager de hændelsen.

»Vores medarbejdere er uddannet i digital sikkerhed og i at håndtere fortroligt materiale. Hvis samtalen er foregået, som jeg har fået den refereret, kan jeg kun beklage – der må være tale om en fejl fra vores medarbejders side,« skriver Louise Starup, der er kundechef for FerieKonto, i en mail til Version2.

Læs også: Digitaliseringsboss om afblæst NemID-udbud: Vi satser på fælles forståelse med Nets

»Vi vil indskærpe overfor vores medarbejdere, at de altid skal vejlede om muligheden for at registrere en fuldmagt hos FerieKonto og henvise til NemID for en uddybning af reglerne, hvis de får spørgsmål af denne karakter.«

Kristian Ørnums datter har fået udbetalt sine feriepenge. Det endte med, at Kristian Ørnum guidede hende gennem borger.dk, og ad den vej fandt de sammen ud af det.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (38)
Per Gøtterup

Havde man valgt en løsning med en nøgleviser til alle fremfor det tåbelige papkort, så ville man ikke kunne fotografere et nøglekort eller på anden måde dele nøglerne.

En beskyttet nøgleviser-app ville også være en mulighed. Den skulle f.eks. være beskyttet som e-boks app eller mobilbank-apps med udnyttelse af telefonens biometrik som ekstra sikkerhed, og nøglerne skulle leveres online via en krypteret forbindelse, sådan at app'en ikke vil indeholde genereringskode eller en tabel med koder som kan knækkes i ro og mag.

Anders Reinhardt Hansen

Havde ikke løst problemet som er at datteren har glemt sin "dims" i danmark. Om denne dims er et papkort eller en nøgleviser er sagen uvedekommende. Problemet med en app er at det så ikke er ægte 2-faktor da telefonen kan være kompromiteret og kan bruges til at logge på med.

Iøvrigt er det ikke berettiget at nem-id kortet i sig selv er et dårligt design, det er udelukkende digital signatur delen som opbevares hos NemID der er et issue. Papkortet er pædagogisk, nemt at forstå og sikkert.

Rune Gent

Jeg har raset nok over tvangsID. Enhver med indsigt er klar over at det er en stinker.

Med hensyn til FerieKonto, er der en nem og oplagt løsning. Udbetal alle pengene til deres ejere og luk ordningen. Det er et ulækkert, formynderisk tiltag, der ikke har nogen plads i et frit samfund.

Anne-Marie Krogsbøll

.. at kundemedarbejdere kan have deres egen misforståede opfattelse af datasikkerhed. En anden ting er, når selve institutionerne bygger hul-i-hovedet-løsninger ind i de mure, der skal beskytte data. Et eksempel fra disse dages højt profilerede "projekt-sexus"-befolkningsundersøgelse:

"Har du modtaget en invitation fra Projekt SEXUS, så kan du logge på dit spørgeskema her. Du kan logge på i feltet nedenfor med den kode, som du har modtaget fra os via digital post (i e-Boks eller på borger.dk) eller med almindeligt brev. Hvis du ikke får færdiggjort dit skema, kan du senere logge på igen og fortsætte, hvor du slap.
Indtast dit password:
Har du problemer med at logge på?
Send os gerne et skærmbillede fra din computer, som det ser ud, når du går i stå. Det gør det nemmere for os at hjælpe dig. Hvis det ikke lykkes at sende et skærmbillede med, så prøv at beskrive fejlen så nøjagtigt, du kan. Skriv også navn og password og send det hele til mailadressen sexus@ssi.dk.
Lav et screen dump ........ Vedhæft billedet i din mail. Send mailen til sexus@ssi.dk. Tak!"

Send navn og password i en mail? Hmmm...

Fra kyndig, mig bekendt side, forlyder det også, at Google Analycs (og andre lidt mistænkelige mellemled) er involverede i løsningen. Som er godkendt af Statens Serum Institut - (vane"forbryder"?)

Øyvind Mo

Havde ikke løst problemet som er at datteren har glemt sin "dims" i danmark.


Det er ikke sådan jeg forstår den beskrevne situation. Så vidt jeg kan læse, er faderen i DK, medens datteren er i USA med sit medbragte nøglekort. Faderen er tydeligvis frustreret over at ikke kunde udføre opgaven på datterens vegne, men finder til sidst det der vel må være den optimale løsning: at guide datteren til selv at udføre opgaven på borger.dk. Så fik da datteren lært noget, i stedet for at faderen bare klarede den for hende.
Det eneste problem, er vel den dybt underlige rådgivning fra FerieKonto.

Christian Andersen

Jeg er ikke helt sikker på at jeg forstår.
Faderen bliver opfordret til at få datteren til at sende et billede af papkortet, hvilket indikerer at hun har det med i USA.
Hvorfor kan hun så ikke logge ind derovre fra? Spærrer feriekonto for udenlandske IP-adresser?

Jakob Steen-Petersen

Nope - og havde familien Ørnum blot gjort dette fra starten:

"Kristian Ørnums datter har fået udbetalt sine feriepenge. Det endte med, at Kristian Ørnum guidede hende gennem borger.dk, og ad den fandt de sammen ud af det."

Så var meget sparet rundt omkring :-)

Brian Funk

"Mange tænker måske ikke over det, men at bruge en andens NemID er som at skrive under på andres vegne, forklarer Lene Loua, produktchef ved Nets DanID."

Er det en reel underskrift jeg selv laver, når jeg benytter min slemid til at "underskrive" aftaler??

Stefan Bengtsson

Egentlig tænker jeg at affotografere NemID nøglekortet og makulere det må være sikrere end at bære rundt på kortet. Taber man kortet er det nemt at finde koderne - taber man mobiltelefonen skal finderen trods alt igennem et pin kode beskyttet lag mere. Er det en iOS enhed kan den spærres eller 0-stilles remote.

Mark Klitgaard

Egentlig tænker jeg at affotografere NemID nøglekortet og makulere det må være sikrere end at bære rundt på kortet. Taber man kortet er det nemt at finde koderne - taber man mobiltelefonen skal finderen trods alt igennem et pin kode beskyttet lag mere. Er det en iOS enhed kan den spærres eller 0-stilles remote.

Uanset hvad, så skal du spærre dit nøglekort hvis du taber det. Selvfølgelig, hvis man har afluret password inden man kommer i besiddelse af nøglekortet, kan man har et lidt længere vindue til at bruge det i hvis det er det fysiske kort. Til gengæld, hvis du har kortet på mobilen er der en sandsynlighed for det bliver synkroniseret til Dropbox, Google Drive, iCloud og hvad ved jeg, og så er det pludselig 87 steder.

Henrik Madsen

"Mange tænker måske ikke over det, men at bruge en andens NemID er som at skrive under på andres vegne, forklarer Lene Loua, produktchef ved Nets DanID."

De har da tidligere sagt at der IKKE var tale om en digital signatur løsning. (Primært fordi der er regler som ikke overholdes i forhold til en digital signatur).

Anders Reinhardt Hansen

det dårlige design er vel ferie konto , penge skulle bare udbetales automatisk.

Det kontroller alligevel ikke om man er på ferie , for så kunne man vel ikke få det udbetalt på et skole ophold

Tror ikke udgiften til indberetning for ALLE arbejdsgivere står mål med ulempen for den enkelte lønmodtager. Det er jo også kun for ikke fastansatte eller folk der skifter job at det er en udfordring.

Anders Reinhardt Hansen
Bjarne Nielsen

... at man kunne give fuldmagt til andre på de forskellige niveauer (gerne med indbygget forældelse)

Bestemt. Ellers finder folk selv en vej. Jeg har hørt om nogen som løste den samme udfordring, som det beskrevet af fam. Ørnum, ved at den ene part læste challenge op i telefonen, og den anden part svarede med at læse det tilsvarende otp op fra sit nøglekort.

På den måde har man stadig kontrol med, hvornår der bliver "skrevet under", men ikke så meget med, på hvad.

Anders Reinhardt Hansen

... at man kunne give fuldmagt til andre på de forskellige niveauer (gerne med indbygget forældelse)

Bestemt. Ellers finder folk selv en vej. Jeg har hørt om nogen som løste den samme udfordring, som det beskrevet af fam. Ørnum, ved at den ene part læste challenge op i telefonen, og den anden part svarede med at læse det tilsvarende otp op fra sit nøglekort.

På den måde har man stadig kontrol med, hvornår der bliver "skrevet under", men ikke så meget med, på hvad.

Ja det ville være rart hvis man med sin nem-id på en måde kunne give fuldmagt til andre, ligesom man med e-boks kan give andre adgang til sin e-boks.

I denne sag, er det imidlertid mere et spørgsmål om at undervise datteren og i den sammenhæng er den bedste måde, at bruge teamviewer eller lignende og så vise skærmen til faren, som så kan supervisere, mens hun selv klikker rundt.

Bjarne Nielsen

at bruge teamviewer

Det forudsætter så lidt mere end bare adgang til en telefon (ja, der findes faktisk folk og steder uden adgang til nettet).

I øvrigt er det nok begrænset, hvad nytten af undervisningen er; næste gang datteren har brug for at få udbetalt feriepenge, er løsningen sandsynligvis omlagt, og under alle omstændigheder er det meget lidt viden man kan tage med fra en offentlig selvbetjeningsløsning til den næste (udover grundreglen om, at man får brug for mere tålmodighed end man regner med, selv efter at have taget hensyn til denne regel).

Anders Reinhardt Hansen

at bruge teamviewer

Det forudsætter så lidt mere end bare adgang til en telefon (ja, der findes faktisk folk og steder uden adgang til nettet).

I øvrigt er det nok begrænset, hvad nytten af undervisningen er; næste gang datteren har brug for at få udbetalt feriepenge, er løsningen sandsynligvis omlagt, og under alle omstændigheder er det meget lidt viden man kan tage med fra en offentlig selvbetjeningsløsning til den næste (udover grundreglen om, at man får brug for mere tålmodighed end man regner med, selv efter at have taget hensyn til denne regel).

  1. Hvis man kan gå i skole i USA og bruge 1password, så kan man også betjene feriepenge, især med telefonisk assistance, det er en ufatteligt simpel side.
  2. Lyder ikke som om dether er løst på telefonen, så mon ikke hun har en pc med. Især hvis hun går i skole?
  3. Feriepenge siden har ikke ændret sig i, i hvert fald de sidste 4 år.
  4. Hvordan har hun fået sat pengene til udbetaling, hvis hun ikke har internet eller pc?
Bjarne Nielsen

hvis hun ikke har internet eller pc

Du har givetvis ret i det konkrete tilfælde, men det ændrer ikke på, at der er situationer, hvor der ikke er adgang til både computer og internet.

I øvrigt slår det mig, at det kan løses på anden vis: man kan ringe til Nets support, og bede om at fremsendt nyt nøglekort til datterens hjemadresse. Er datteren hjemmeboende eller tømmer faderen postkasse mens hun er bortrejst, så kan han klare resten derfra.

Og ja, Nets vil helt sikkert også få et føl over dette ...

Anders Reinhardt Hansen
Henrik Madsen

Nej det har de ikke sagt, men de har lavet en skidt løsning på problemet,hvor NemID opbevarer din signatur for dig, og du kan kun signere med den gennem dit NemID.

Men en digital signaturløsning kræver at jeg har en del af min signatur lokalt her, så jeg VED at den bliver brugt eller ej.

At lægge den hos et amerikansk ejet firma, på en server i Norge er ikke det samme som at jeg har dele af signaturen selv.

Jeg har INGEN mulighed for at vide om nogen er brudt ind og har brugt min digitale signatur, hvis jeg ikke selv har den.

Bjarne Nielsen

Du må ikke bestille en ny nemid på vegne af andre...

Det er slet heller ikke nødvendigt at bestille ny nemid, for man kan bare bestille et nyt nøglekort her:

https://service.nemid.nu/dk-da/nemid/noeglekort/mistet_noeglekort/

Og for lige at spare folk for turen forbi siden, så lad mig citere, hvad der står på den:

Du kan bestille et nyt nøglekort ved at logge på denne side med dit NemID bruger-id og din adgangskode. Dit aktive nøglekort spærres automatisk, når du bestiller et nyt.

De kan af gode grunde ikke forlange af folk, at de skal bruge det nøglekort, som de har .... øhm, mistet.

Morten Saxov

Hvis du taber din tegnebog med dit sygesikringsbevis og dit nøglekort i, har de 2 ud af 3 ting, og givet man kan lave en pinkode på 4 tegn, og hvad folk typisk vælger af 4 cifret koder giver det en chance der er bedre end 1/10.000

Michael N. Steen
Martin F. Jensen

Nu burde det jo ikke være nødvendigt for en værge til en umyndig person at få en fuldmagt. Specielt hvis barnet er under 15 på optjeningstidspunktet, så råder hun jævnfør værgemålsloven vel i princippet ikke selv over sine midler, og derfor ikke sine feriepenge..

Knud Aagaard

Kristian Ørnums datter har fået udbetalt sine feriepenge. Det endte med, at Kristian Ørnum guidede hende gennem borger.dk, og ad den vej fandt de sammen ud af det.
Det er slemt nok, at faderen ikke gjorde dette med det samme, men at unge mennesker, der er opvokset med digitaliseringen, ikke selv kan finde ud af at logge ind på borger.dk - yderligere kommentarer har jeg slettet.
Måske har jeg misforstået artiklen og kommentarerne men alligevel.

Anders Reinhardt Hansen
Bjarne Nielsen

Det ændrer ikke på at din login, nøglekort og kode er personligt og må formelt set ikke overleveres til andre. Hvilket var min pointe oprindeligt.

Det ændrer heller ikke på min oprindelige pointe om, at folk finder en vej. De bøjer gerne regler som i sammenhængen virker unødigt omstændelige, specielt hvis man har forsømt at give dem gode alternativer.

De gamle papir-feriekort skulle forsynes med arbejdsgivers stempel og underskrift for at sikre, at folk ikke fik feriepenge udbetalt uden faktisk at holde ferien som angivet (gys!). Det var efter sigende ganske udbredt at få stempel og underskrift på det lokale værtshus.

Og hvor man i almindelighed godt kan forstå alvoren i at lave tinglysninger, så tror jeg at mange (stadigt!) godt kan have meget svært ved at tage de krævede krumspring omkring udbetaling af feriepenge alvorligt. Vores nuværende digitale signatur har svært ved at favne begge.

Så det er hvad der sker, når man mener at den skal bruges til alt, inkl. at læse indkaldelser til skoletandlægen (som i øvrigt også blev sendt til mig med SMS!) - folk mister respekten, og gør hvad der i situation virker rimeligt og nødvendigt for at komme videre.

Eller ganske kort: det er forskellen på teori og praksis. Der er tale om mennesker, og ikke maskiner.

Morten W. Jørgensen

Måske har jeg misforstået artiklen og kommentarerne men alligevel.

Jeg tror du har misforstået det lidt. Fra artiklen:

Hun er i USA på et skoleophold. Det er jo meningen, at det er skoleopholdet, hun skal fokusere på. Jeg tænker, at jeg som forælder burde kunne gøre den slags for hende.

Faderen synes tilsyneladende bare at et skoleophold i USA skulle curles igennem istedet for at lade pigen lære at man skal have orden i sine sager. Som for eksempel at handle inden forældelsesfrister.

Det ændrer nu ikke ved den lige så tåbelige rådgivning fra Ferie Kontos side af.

Torben Jensen

Hvordan har danske borgere, der i længere tid arbejder i udlandet, adgang til deres danske bank konti, nøglekort skal jo skiftes ind imellem, og det bliver vel ikke sendt med post rundt i verdenen?

For ca. 15 år siden boede jeg et år i udlandet.
Det var dengang alle danske banker havde hver deres sikre adgang, typisk ved at du havde en personlig nøgle med dig på USB drev.
Således var det nemt fra udlandet dengang at overføre penge fra Danmark efter behov, så længe du havde nøglen med.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017