Odense Kommune trodser Datatilsynet i NemID-sag

Illustration: REDPIXEL.PL/Bigstock
Odense Kommune er igen i clinch med Datatilsynet. Denne gang drejer det sig om, hvorvidt det skal være tilladt for medarbejderne at logge på som privatperson med sit NemID. Ja, mener Odense. Nej, mener Datatilsynet.

Datatilsynet har vurderet, at det er i strid med persondataloven, hvis medarbejdere bruger deres private NemID til at logge på arbejdspladsens systemer. Men den vurdering ser Odense Kommune stort på, og fortsætter med at bruge NemID som login-løsning for medarbejderne i kommunen.

Kommunen mener nemlig, at hvis man kan bruge sit private pas og kørekort som en del af sit arbejde, kan man også bruge sin private NemID. Det skriver Computerworld.

»Vores medarbejdere bruger deres private pas på forretningsrejser - her er det ikke nødvendigt med et særligt firmapas. Og når medarbejderne kører i kommunens biler, skal de heller ikke bruge et særligt Odense Kommune-kørekort. De bruger selvfølgelig deres private pas eller kørekort. Hvorfor kan vi ikke gøre det samme med NemID?« udtaler digitaliseringschefen i Odense Kommune, Allan Bager, til Computerworld.

Han forstår ikke Datatilsynets vurdering og vil nu tage kontakt til Datatilsynet for at bede dem om at revurdere sagen.

»Hvis der skulle være juridiske forhold, der forhindrer dette, bør lovgivningen laves om, eventuelt efter et frikommuneforsøg,« udtaler Allan Bager til Computerworld.

Odense Kommune er da heller ikke det eneste sted, man står med problemet. Ansatte i kommunerne Odder, Rudersdal, Gentofte, Frederikshavn, Ikast-Brande, Åbenrå, Brøndby, Rødovre og Hjørring kan ligeledes bruge deres private NemID til at få adgang til kommunens intranet.

NemID bruges i Odense Kommune til at identificere den ansatte, så man ved, hvem der logger på systemerne. Når man sammenholder CPR-nummeret fra NemID med CPR-numrene på kommunens ansatte, sikrer man, at kun ansatte kan få adgang til systemerne.

Odense Kommune har estimeret, at hvis login-løsningen skulle administreres med NemID Erhverv eller en anden traditionel brugernavn og kodeords-løsning, ville det blive meget dyrere - faktisk omkring en halv million kroner ekstra årligt. Og det er for dyrt for den samme løsning, mener Allan Bager:

»NemID Erhverv er endnu ikke klar til brug, men det eneste den en dag vil kunne give os i forhold til NemID Privat, er sammenhængen imellem et cpr-nummer og vores organisation, og det kan vi sagtens selv klare ved brug af vores organisationskomponent APOS (Autoritativ Personale og OrganisationsStrategi, red.),« udtaler han til Computerworld og fortsætter:

»I en tid, hvor kommunerne fattes penge, er det meget svært at se, hvorfor vi skulle bruge ekstra penge på tekniske løsninger, der ikke giver os mere sikkerhed.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Rune Larsen

Med NemID erhverv, kan medarbejderne bevise overfor en modpart, at de rent faktisk har en relation til den virksomhed, som har udstedt deres signatur.

Hvis jeg får en mail signeret med Jyttes private NemID, hvordan kan jeg så kunne vide at Jytte arbejder på kommunen?

Med NemID erhverv kan virksomheden selv administrere signaturen og fx spærre den, hvis man mener, at medarbejderen ikke har opfyldt kravene for sikkerhed eller ikke længere er ansat i virksomheden. En virksomhed må ikke spærre en ansats private NemID.

En virksomhed behøver principielt ikke kende cpr-nummeret på en person, som de autoriserer til et eller andet - måske er dette datatilsynets argumentet. I praksis vil langt de fleste autoriserede dog formentlig være lønansatte, hvor man i forvejen indberetter skat og derfor skal kende cpr.

NemID erhverv giver desuden mulighed for at lave virksomhedssignaturer og funktionssignaturer. Det vil være ret groft misbrug, at anvende en privat NemID til disse formål.

Det er et angreb på digitaliseringen af Danmark, hvis kommunen kun tænker på sit eget, interne behov for at styre medarbejderes systemadgange, og ikke tænker på samspillet med andre parter - herunder borgerne. Så snart DanID er færdige med NemID erhverv, så må kommunerne komme i gang med at bruge det.

  • 7
  • 1
Lars Roark

Nu er det jo ikke overfor "modpart", tredjepart eller lign. at den personlige digitale signatur skal i spil.

Her er tale om at få autentificeret den person der vil logge sig på (medarbejderen), for at medarbejderen kan få adgang (og adgangsbegrænses) til de data/systemer som kommunen stiller til rådighed af denne kanal.

Hvis denne adgang bruges til at skabe data (i systemet) eller formidle data (til tredjepart), vil pågældende system (som medarbejderen har fået adgang til) skulle signere, logge etc. ved hjælp af systemets "normale" mekanismer og ikke ved brug af medarbejderens personlige nemID.

NemId er i den her sammenhæng alene medarbejderens måde at identificere sig på og tilhører medarbejderen. Ligesom hvis adgangen opnås ved brug af pinkode/password - eller hvis adgangen opnås ved brug af biometri; fingeraftryk, irisscanning, stemmeprøve eller lign.

  • 3
  • 1
Rune Larsen

Det er givetvis kommunalt ansatte, som er utrygge ved NemID privat, fordi det kan bruges til rigtig mange ting, som ikke vedrører deres arbejdsgiver: Fx personlige banksager, personlige medicinske forhold, melde flytning, tinglyse gæld osv. Disse personer tvinges nu af deres arbejdsgiver til at få en NemID privat. Det er ikke i orden!

[quote]Nu er det jo ikke overfor "modpart", tredjepart eller lign. at den personlige digitale signatur skal i spil.[quote]

Det er netop dette kortsyn, som jeg er uenig i. Hvis vi vil noget med digitalisering her i landet, så er det oplagt, at alle borgere, ansatte i kommuner og andre virksomheder har mulighed for at autentificere sig, kryptere og signere dokumenter på en ensartet måde.

Når man handler som del af en virksomhed kommer NemID privat til kort, da det ikke er designet til at blive brugt på denne måde, og derfor har en lang række mangler, som jeg nævner eksempler på ovenfor.

Pointen er, at kommunalt ansatte alligevel ikke undgår NemID erhverv, så derfor kan de ligeså godt også bruge det til at autentificere mod interne systemer.

  • 1
  • 1
Rune Larsen

Omvendt: Faktisk har jeg en klar opfattelse af at datatilsynet kræver at man er sikker på identiteten af hver enkelt bruger, og at dette krav tolkes til at kræve at kommunen for hver brugerid kender cpr-nummeret...


Det kommer an på hvad det er brugeren skal i det givne system. Min klare opfattelse af datatilsynet er, at man af privacy-hensyn kun bør registrere cpr-nummer, hvor det er nødvendigt.

I øvrigt bør systemerne vel kunne håndtere ansættelse af udlændinge, uden dansk cpr eller NemID privat? Siger EU ikke noget om arbejdskraftens fri bevægelighed?

  • 0
  • 0
Jesper Lund

Det er givetvis kommunalt ansatte, som er utrygge ved NemID privat, fordi det kan bruges til rigtig mange ting, som ikke vedrører deres arbejdsgiver: Fx personlige banksager, personlige medicinske forhold, melde flytning, tinglyse gæld osv. Disse personer tvinges nu af deres arbejdsgiver til at få en NemID privat. Det er ikke i orden!

Ganske interessant synes dette forhold også at indgå i Datatilsynets vurdering
http://www.datatilsynet.dk/afgoerelser/seneste-afgoerelser/artikel/kommu...

Pligten til at træffe fornødne sikkerhedsforanstaltninger påhviler efter persondatalovens § 41, stk. 3, såvel den dataansvarlige som en eventuel databehandler.

En personlig NemID er karakteriseret ved, at den samme brugeridentifikation og adgangskode giver adgang til en række forskellige tjenester og systemer mv. NemID giver også adgang til at underskrive digitalt, og denne underskrift kan forpligte på samme måde, som en fysisk underskrift.

Dette medfører, at en kompromittering af den enkelte brugers adgangskode i én sammenhæng samtidig medfører en risiko for uberettiget adgang til data og afgivelse af forpligtende underskrifter i andre sammenhænge. De tjenester, som adgangskoden giver adgang til, er i vidt omfang rettede mod borgere som privatpersoner.

Altså: det er en unødvendig sikkerhedsrisiko at bruge sin private NemID når der eksisterer mere sikre alternativer (erhvervscertifikater).

Nu kunne jeg godt få blod på tanden og få lyst til at spørge Datatilsynet hvorfor mit banklogin skal kobles sammen med min offentlige digitale "signatur", men lad os tage den diskussion en anden dag...

  • 2
  • 0
Lars Roark

...tvinges til NemID: Her kan man bruge artiklens sammenligning med kørekort - hvis det er en del af arbejdet at køre (føre) bil, må man bruge sit kørekort, evt. anskaffe sig et kørekort - også selvom det kan bruges til andet... Herunder kan kørekort nogle steder bruges til at identificere sig :-)

Artiklens emne er nu engang at man har et behov for autentificering, og til dette bruger den "private"-NemID, artiklens bemærkningen om NemID erhverv må være korrekt i den kontekst.

Som jeg forstår det, forelår du at bruge NemID erhverv (der ikke findes endnu) fordi det vil være en god løsning, til "digital signering" ?

Det synes jeg er en meget mere kompliceret diskussion, som omfatter om NemID er den rigtige løsning på længere sigt.

Længere sigt alene af den grund at rigtige mange systemer vil tage lang tid at tilpasse en fælles løsning, og de systemer der nu eksempelvis kan signere over for 3. part (f.eks. mail til andre myndigheder, virksomheder og borgere), har store problemer fordi 3. part ikke kan eller vil håndtere at modtage digital signatur.

Men uanset NemID's langtidsholdbarhed, kan jeg godt være skeptisk over for dit grundlæggende ønske om én signatur privat, én anden for rollen som ansat (den del af signaturen der er individets "påtegning").

Igen med en sammenligning: Den nuværende signatur ("underskrift") er mig bekendt for de fleste netop ens, uanset om underskriften gives i rollen "privat person" eller rollen "ansat i XXX" ! (?)

  • 1
  • 0
Jesper Lund

Men uanset NemID's langtidsholdbarhed, kan jeg godt være skeptisk over for dit grundlæggende ønske om én signatur privat, én anden for rollen som ansat (den del af signaturen der er individets "påtegning").

Igen med en sammenligning: Den nuværende signatur ("underskrift") er mig bekendt for de fleste netop ens, uanset om underskriften gives i rollen "privat person" eller rollen "ansat i XXX" ! (?)

Mener du ikke at der er forskel på at underskrive et privat brev og underskrive et brev som du sender på vegne af X-by kommune?

Det er korrekt at du ikke kan skelne for analoge signaturer (hvis vi alene tager den håndskrevne underskrift), men det kan også være en ulempe i nogle sammenhænge (for eksempel borgeres chikane af sagsbehandlere), og med digitale signaturer har du netop mulighed for at skelne mellem de to typer underskrift. Hvorfor ikke gøre det når det nu er teknisk muligt?

Hvad er problemet for kommunerne ved at bruge erhvervssignaturer? Ja, de koster penge, men brug af privat NemID til erhvervsmæssige formål som i Odense Kommune må betegnes som et misbrug af den aftale som staten og DanID har indgået. Hvis der kommer alt for meget af den slags misbrug, risikerer vi måske at borgerne kommer til at betale for at bruge deres "private" NemID signatur.

Derudover er der de sikkerhedsproblemer som Datatilsynet påpeger. Det er mere usikkert for medarbejderne at bruge deres private NemID end en erhvervssignatur.

  • 1
  • 0
Lars Roark

@Jesper

Artiklens konflikt (de fleste nyheder skal være konflikter jvnf. en "marketingsvinkel"), er netop at kommunerne undsiger Datatilsynet. Uanset artiklens blide ordlyd, mener mange nok at Datatilsynets afgørelse og begrundelse ikke rigtig giver mening, som eksemplerne t.o.m. dit indlægs sidste linie skulle anskueliggøre :-)

Datatilsynet "..kompromittering af den enkelte brugers adgangskode i én sammenhæng..":
Kommunerne der får autentificeret en bruger gennem anvendelse af NemID er vel netop den eneste part der ikke kan kompromittere signaturen ?
- Hvis Datatilsynet er nervøse for at NemID (virksomheden) kompromittere signaturen, eller at NemID er kompromitterbar gennem f.eks. "man in the middle" (det mener jeg faktisk er realistisk - og bruger alligevel NemID), så bør Datatilsynet undsige hele NemID løsningen ?
- Hvis Datatilsynet mener at brugeren af NemID kan miste sin NemID (nogen kopierer eller stjæler nøglekortet m.m.), ja så svarer det stadig til kørekortet - som Datatilsynet vist ikke har undsagt ?

  • 0
  • 1
Jesper Lund

Datatilsynet "..kompromittering af den enkelte brugers adgangskode i én sammenhæng..": Kommunerne der får autentificeret en bruger gennem anvendelse af NemID er vel netop den eneste part der ikke kan kompromittere signaturen ? -

Kommunen, eller nogen som har hacket kommunen (tænk DigiNotar..), kan bruge det til et man-in-the-middle angreb på min private NemID. Det er selvfølgelig et generelt problem ved NemID konstruktionen, men problemet vokser med antallet af sites hvor du skal bruge NemID.

Min private sikkerhedspolitik er kun at bruge min egen NemID på computere som jeg har 100% kontrol over, og så vidt muligt i virtual machines som alene anvendes til NemID-relaterede formål. Derudover bruger jeg p.t. kun NemID til netbank. Hvis jeg tvinges til at bruge min private NemID til arbejdsrelaterede formål, kan jeg ikke overholde min egen sikkerhedspolitik da jeg skal bruge min arbejdsgivers computer, og jeg tvinges således til at tage unødige risici (for at arbejdsgiveren kan spare et par kroner ved at misbruge statens aftale med DanID om at privat brug af NemID skal være gratis). Det synes jeg er helt uacceptabelt.

Jeg ved ikke hvad Datatilsynet har haft i tankerne i denne omgang, men jeg synes at deres svar er konsistent med tidligere svar om NemID. For eksempel denne udtalelse hvor man kan læse en vis skepsis overfor at tredjepart skal opbevare min private nøgle (punkt 2.2)
http://www.datatilsynet.dk/afgoerelser/seneste-afgoerelser/artikel/datat...

  • 0
  • 0
Lars Roark

@Jesper
Jeg vil prøve at dele diskussionen i undertråde:

  1. Jeg mener faktisk at der er forskel, også derfor siger jeg at diskussionen er meget mere kompleks end hvad Rune lægger op til. Jeg siger kun at hvis der skal være en personlig / personidentificerende del af en signatur i rollen "ansat" (Runes udgangspunkt), ja så er den pr. definition personidentificerende :-), og så kan den (bedst) være lig den private. MEN jeg synes faktisk vi skal overveje nøje hvor meget det overhovedet er hensigtsmæssigt at en personlig digital signatur indgår i myndighedens signering.

  2. Jeg kan sagtens følge kommunerne i at valget af NemID - bemærk: til de konkrete opgaver det er valgt. At man hurtigere får skabt funktionalitet til de ansatte, at man undgår at øget kompleksitet ved genbrug og at løsningen bliver billigere. Alt sammen også i sidste ende til skatteydernes fordel.

  3. At borgerne skulle betale for deres NemID, fordi der er nogen (Kommuner) der bruger NemID... lyder som taget ud af den blå luft ?
    Kommunerne og NemID må kunne redegøre for om nogen snyder, men som jeg husker det, kan enhver virksomhed få en aftale med NemID om at bruge NemID til autentificering, vis ikke anvendelsen allerede er dækket (eller dækket af at NemID ikke er kommet med NemID erhverv som lovet).

  4. Hvor er det du ser usikkerheden ved anvendelse af NemID ?

  • 1
  • 0
Lars Roark

@Jesper,
krydsende indlæg :-)

Ad. 4:
Om antallet af sites stiger... Kommunerne vil jo netop gerne genbruge at de allerede, for den digitale borgerbetjening, er NemID site, så antallet af sites stiger ikke ?

Vi er åbenbart på det personlige plan enige om man in the middle risikoen, og benytter begge en sikkerhedspolitik: at ville have personlig kontrol med de pc'ere vi benytter NemID fra - fordi man in the middle måske nemmest/mest sandsynlig netop er en pc der er inficeret.

Så langt enigheden, uenigheden ligger i hvad den (subjektivt bedømt) reelle risiko så betyder. Og her er mit synspunkt at
ENTEN skal man anerkende problemet - og så kan datatilsynet ikke tillade sig at godkende NemID til al den digitale borgerbetjening som er i gang eller ønskes i gang ?
ELLER man (hvilket jo er tilfældet) beslutter at denne risiko er til at se bort fra - og så kan det jo ikke bruges som argument mod den i artiklen nævnte anvendelse!

  • 0
  • 0
Lars Roark

@Jesper,
Du mener altså at risikoen for at DanID kompromitterer din nøgle er en del af en konsistent argument-række mod at kommunerne kan bruge NemID til autentificering, uden at samme risiko er et problem for den generelle anvendelse af NemID ?

  • 0
  • 0
Jesper Lund

@Jesper, Du mener altså at risikoen for at DanID kompromitterer din nøgle er en del af en konsistent argument-række mod at kommunerne kan bruge NemID til autentificering, uden at samme risiko er et problem for den generelle anvendelse af NemID ?

I første omgang er det man-in-the-middle angrebet som jeg er bekymret for. Det er også grunden til at jeg kun bruger NemID på computere som jeg har 100% kontrol over. Mit problem med DanID er primært den monopolmagt som de opbygger ved at tvinge sig ind i alle transaktioner, men det manifesterer sig ved at DanID kontrollerer (som i "opbevarer og er gatekeeper for") min private nøgle.

Derudover er der den meget afgørende forskel at jeg selv vælger at bruge NemID til mine private formål. I den konkrete situation kan jeg vælge om fordelene ved at bruge NemID opvejer de ulemper og sikkerhedsrisici som jeg ser/frygter. Hvis min arbejdsgiver tvinger mig til at bruge min private NemID til ikke-private formål, har jeg ikke denne valgmulighed.

Men jeg vil for så vidt give dig ret i at Datatilsynet burde finde ud af om de selv mener om NemID er sikker eller ej? Hertil vil jeg dog siges at intet system er 100% sikkert, og en adskillelse af din arbejdssignatur og din private NemID mindsker ubestridt risikoen for at kompromittering af den ene signatur eskalerer til den anden.

Nu kan du/andre så hævde at denne risiko er meget lille, og det kan jeg så være uenig i, men det er min risiko samtidig med at andre tvinger mig til at tage den. Det er ikke en rimelig situation.

  • 0
  • 0
Lars Roark

Vi lyder til at være enige om at datatilsynet bør vælge retning, for eller imod NemID.

Måske har du for tiden valget, men der er ikke valgfriheden omkring anskaffelse og anvendelse af NemID:
Fra 15 års alderen og op (Gymnasie alderen - "hypercard", senere SU osv.) laves løsninger der kræver at man får en NemID og anvender den. Og det breder sig - heldigvis ud fra synspunktet at en fælles ID er lavet for at bruges ;-)
MEN så kan Datatilsynet ikke argumentere for at én ny anvendelse (artiklens) af NemID er "forbudt" fordi den fjerner frivilligheden i at anvende NemID!

  • 0
  • 0
Rune Larsen

Det er næppe noget problem, at samme autentificeringsmekanisme anvendes både privat og erhvervsmæssigt. Samme device (nøglekort eller whatever) kan i princippet fint bruges til både nemid privat og erhverv - det vil være nemmere for brugeren kun at have et.

Men jeg har en anden ' hat' på når jeg er på arbejde end når jeg er privat. Jeg har en relation til en virksomhed, og dette bør fremgå af signaturen. Dermed kan jeg bevise at jeg handler på vegne af min virksomhed, uden at du behøver stole på mig, eller spørge virksomheden hver gang.

Teknisk set autentificerer jeg mig med forskellige principals, når jeg logger på NemID privat og erhverv. Disse har forskellig type id (hhv. pid og rid i NemID termer).

Det handler ikke om enten privat eller erhverv NemID, men om at bruge det, der er rigtigt til opgaven. Når man handler på vegne af kommunen, så er det NemID erhverv.

  • 0
  • 0
Lars Roark

Rune, det lyder som om at vi mest er enige.
Enige om at autentificerings mekanismen kan være ens (som er dét kommunerne ønsker i artiklen).

Når vi går ud over kommunernes ønsker her & nu:
Enige om at man på arbejde har en anden "hat på" og at signering ikke bør være helt den samme for de to hatte.

Men uden være sikker på hvad den rigtige løsning er, forekommer NemID erhverv signatur ikke som den rigtige løsning på arbejds-hatten. Dit eksempel med at medarbejderen kan signere uden virksomhedens/myndighedens viden ser jeg som en unødig svaghed i en it-løsning (!), der er Jespers eksempel med chikane, osv.

  • 0
  • 0
Log ind eller Opret konto for at kommentere