Skal man som dansker være bekymret over, at Nets nu er blevet solgt og ikke længere ejes af de danske banker, men af to store amerikanske kapitalfonde samt den danske pensionskasse ATP?
I så fald har der været grund til bekymring i et stykke tid, for den ene nye Nets-ejer, kapitalfonden Advent, har siden oktober 2012 ejet KMD, hvor der i højeste grad bliver behandlet følsomme data om danskerne.
KMD driver nemlig, på grund af firmaets fortid som Kommunedata, en lang række it-systemer i kommunerne med alle tænkelige personlige data om borgerne. I 2008 blev KMD solgt af de danske kommuner, med kapitalfonden EQT og pensionskassen ATP som nye ejere, og i 2012 blev KMD altså solgt til en ny kapitalfond, amerikanske Advent, der nu er blevet medejer af Nets.
Digitaliseringsstyrelsen har da også netop peget på mange års outsourcing af staten og kommunernes it-opgaver til firmaer som CSC og KMD, da spørgsmålet om salget af Nets fik opmærksomhed i kølvandet på salget af en andel af Dong Energy til Goldmann Sachs.
Siden 1996, hvor CSC købte statens it-selskab Datacentralen, har et stort amerikansk firma således drevet både politiets og forsvarets vigtigste it-systemer. Det sker dog på dansk grund, for det er et af kravene i kontrakten. Og netop en stærk kontrakt vil sammen med dansk lov også beskytte den information om danskerne, som Nets gennem Dankortet og NemID bestyrer, har Lars Frelle-Petersen, direktør for Digitaliseringsstyrelsen, tidligere forklaret.
Udover Dankort, Betalingsservice og andre tjenester, som bankerne har udviklet gennem årtier, driver Nets også NemID gennem selskabet Nets DanID.
NemID er et produkt, som Digitaliseringsstyrelsen køber af Nets, men hvor kontrakten også rummer en lang række krav om beskyttelse af data, ekstern revision af sikkerheden og lignende. Aftalen med Nets var dog ikke god nok til at beskytte tjenesten mod et DDoS-angreb i foråret 2013, der havde kostet 10 dollars at bestille i den digitale underverden.
I takt med digitaliseringen af flere offentlige services bliver NemID i dag brugt til alt fra huskøb gennem digital tinglysning til at logge ind på Sundhed.dk og læse egne patientjournaler.
Siden designet af NemID-infrastrukturen blev offentligt, har en række it-folk med kryptografisk forstand været meget kritiske, fordi alle transaktioner skal forbi Nets’ servere.
Med en traditionel digital signatur har brugerne en privat nøgle, som de selv kontrollerer, mens alle brugernes offentlige nøgler er samlet hos udbyderen af løsningen. Men med designet af NemID-løsningen gik man imod det princip og lod Nets DanID kontrollere både den private og offentlige nøgle for brugerne. Derfor skal man som bruger stole på, at Nets ikke misbruger den magt det giver at have begge nøgler, for eksempel til at udgive sig for at være en bestemt person.
Alt dette er selvfølgeligt også beskyttet af juridiske aftaler og lovgivningen, og ifølge Nets DanID er hele signatur-løsningen låst med brugernes selvvalgte adgangskode, som Nets ikke kender. Var folkene hos Nets fast besluttede på at opsnappe denne kode, kunne det dog ske for eksempel ved at lægge spion-kode ind i den Java-applet, som kører på brugernes computer, når de skal logge på NemID.
Skrækscenarierne om misbrug og overvågning er i nogen grad teoretiske, men har fået ny næring i lyset af de mange afsløringer om NSA’s overvågning af kritisk infrastruktur verden over. At Nets nu er på amerikanske hænder har derfor fået en anden betydning end for bare et år siden, før Edward Snowdens afsløringer begyndte at rulle. Og rent juridisk kan de amerikanske myndigheder kræve af amerikanske firmaer, at de udleverer oplysninger fra udlandet, har juraprofessor Henrik Udsen tidligere advaret.
Data fra Dankort-transaktioner og NemID-systemet har dog længe været i hænderne på et amerikansk firma, for Nets har brugt IBM som leverandør. De for Danmark så kritiske it-systemer bliver drevet fra IBM’s datacentre på dansk jord.
Hvad sker der med firmaet Nets?
Et andet spørgsmål, som salget af Nets rejser, er om der bliver lavet drastisk om i firmaet. De nye ejere har meldt ud, at der ingen ændringer er på vej, men målet for kapitalfondene er naturligvis at få gjort Nets mere værd. Kapitalfondene arbejder typisk med en tidshorisont på 3-5 år, hvorefter Nets skal sælges igen, eller måske børsnoteres. Indkøbsprisen på 17 milliarder kroner skal hentes hjem igen med en god milliardgevinst oven i.
Da KMD blev solgt første gang i 2008, gik spørgsmålene mest på, om KMD ville blive splittet op, eller om der skulle fyres mange medarbejdere.
Siden 2008 har de nye ejere effektiviseret selskabet, fortalte fællestillidsmanden hos KMD til Version2 i 2012, da kapitalfonden Advent blev nye ejere af KMD. Der er samme antal ansatte, men alle skal løbe hurtigere, for omsætningen er steget med 30 procent, lød meldingen fra Erik Lykke Hansen dengang.
Udover flere fyringsrunder i løbet af årene, har der dog ikke været dramatiske ændringer i KMD. Men strategien er skiftet lidt under de nye ejere, så der nu er sat fokus på at få flere opgaver i udlandet.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
