Skattestyrelsen dropper Tastselv-kode: Højere sikkerhed med NemID

Fra årsskiftet er det slut med at tjekke forskudsopgørelsen via den 25 år gamle tastselv-kode.

Fra næste år sender Skattestyrelsen Tastselv-koden på pension. Siden 1995 har det via koden været muligt at tjekke blandt andet forskudsopgørelsen i skattemappen.

Det fortæller Ekstra Bladet med henvisning til oplysninger på Skattestyrelsens hjemmeside.

»Tastselv-koden er helt tilbage fra 1995. Det var noget af det første, man gjorde, da man digitaliserede den offentlige sektor. Det har været et fint redskab, og der er knap 400.000 danskere, der har den stadigvæk. Men i takt med, at man har udviklet andre metoder, og det er blevet muligt for alle borgere over 15 år at få et NemID, så er vi gået over til det. NemID har en højere sikkerhed, fordi man har et nøglekort,« siger Karoline Klaksvig, der er underdirektør i Skattestyrelsen til Ekstra Bladet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Nobel

Når man nu har haft et system kørende i 25 år, så må man nødvendigvis også have en del erfaring med det.

Og som jeg har forstået det, så har der aldrig været noget sikkerhedsbrud omkring Skats tast selvkode, så hvorfor droppe det nu?

Herudover så synes jeg at timingen er utrolig dårlig - man kan til nød diskutere om det skal udfases på et tidspunkt, men i så fald skal det da først være når næste generation af NemID er indført, så der i det mindste kan vælges den sikre nøgleviser.

Og herudover, hvordan skal borgere som ikke har NemID så stille sig nu - bliver der fremsendt en traditionel selvangivelse til dem, eller bliver de fritaget for at betale skat?

At gøre dette med en måneds varsel er fuldstændig uanstændigt!

  • 12
  • 2
Knud Larsen

Rigtigt:
- utrolig dårlig timing
- utroligt meget mere besværligt (kke nødvendigt)
- for nogen er der behov for mange opslag og ændringer, og der virker det irriterende eks. B-skatteyder med den fiktive og forkerte skat.
- kommunikationen med den sløve behandling hos Skat gøres endnu tungere.
- hvad er årsagen?

  • 4
  • 0
Henrik Nielsen

Nu er jeg interesseret: Hvad er det for lovlige undskyldninger, du taler om?

Man kan undtages NemID pga. fx manglende kompetencer eller sprogvanskeligheder. Jeg kan garantere for, at man heller ikke er i stand til at benytte Tastselv, hvis man har manglende kompetencer eller sprogvanskeligheder til at benytte NemID. Man har ikke et CPR-nr? Det kan man få rimelig enkelt. Det tager lang tid, ja, men man behøver faktisk ikke en gang være bosat i Danmark for at få et (administrativt) CPR-nr., som kan benyttes til NemID og SKAT.

Hvis man vil betjene sig selv digitalt, så skal man benytte NemID (på udvalgte områder). Det står i loven. Hvis man ikke har NemID, så har man ikke krav på at kunne bruge en anden digital løsning, som passer en bedre.

Man kan søge om fritagelse fra digital post og digital selvbetjening, hvormed man får alt med posten. Derudover kan man henvende sig i Borgerservice, som i gamle dage.

Dette mener jeg er helt i orden, idet man derved tager hensyn til alle. Vi skal naturligvis ikke betale for design og drift af parallelle systemer.

  • 4
  • 5
Christian Nobel

Hvis man vil betjene sig selv digitalt, så skal man benytte NemID (på udvalgte områder). Det står i loven.

Det ville klæde dig at sætte dig ind i tingene før du udtaler dig.

Der er ingen lov der siger man skal benytte NemID, og da NemID i sin tid blev indført, var både Helge Sander og Charlotte Sahl-Madsen meget klare om at der var tale om en frivillig ordning.

At man så administrativt efterfølgende har påtvunget borgerne NemID i en uhørt grad er en anden sag, men det ændrer ikke ved at der ikke er noget juridisk grundlag.

Det eneste vi faktisk har her i landet er en lov om avancerede digitale signaturer, og den lov lever NemID ikke engang op til pga. nøglehåndteringen.

Den fritagelse du så roder ind i det, er for den såkaldte digitale post.

  • 2
  • 1
Henrik Nielsen

Jeg synes stadig ikke, at jeg har fået en gyldig årsag til, at man ikke kan få NemID, men samtidigt vil betjene sig selv digitalt?

Hvilken lov om digitale signaturer henviser du til? Er det den som blev afskaffet i 2016?

Jeg roder ikke rundt i det. Der er 4 samlelove der hedder "Bekendtgørelse om Obligatorisk Digital Selvbetjening vedrørende ...".

Så jo, man kan godt søge om fritagelse for digital selvbetjening fra ressortområde til ressortområde OG permanent fritagelse for Digital Post på alle ressortområder. Det skal bare gøres hver for sig.

Jeg vil rigtigt gerne henvise til alle de mange lovtekster og lovvejledninger på retsinformation.dk, som i praksis udgør den samlede masse af dokumenter. Bl.a. ville du finde ud af, at DanID A/S med NemID er den eneste OCES-udbyder omfattet at lovgivningen om obligatorisk digital selvbetjening. Men der er ærlig talt for meget, og det er så nemt at finde på Google.

Det er da korrekt, som du skriver, at lovgivningen om NemID og obligatorisk digital selvbetjening skal overholde EU-lovgivningen. Der står fx i en fodnote til en fodnote i en indskudt sætning, at andre udbydere da gerne må udvikle en konkurrerende løsning til NemID. Men at man bare ikke skal regne med, at den bliver omfattet af lovgivningen.

Så jo, i virkelighedens verden er NemID den eneste OCES-løsning i Danmark. Og derfor er det et retskrav at benytte NemID, hvis man kan betjene sig selv digitalt.

Men det kræver lige, at man læser mellem linjerne.

  • 3
  • 1
Michael Cederberg

(ud over selvfølgelig hele broken-by-design fejlen om at man ikke selv har kontrol over egen nøgle),

Det er et authentikeringssystem. Ikke en digital signatur.

Dine handlinger bliver til en entry i en logfil eller en database. Der er ikke noget som kan signeres med brugerens nøgle.

Det er i praksis staten der giver dig din identitet. Hvis staten mener du fra nu af hedder Peter, så held og lykke med at lave det om (med mindre det blot er en fejl).

  • 2
  • 0
Christian Nobel

Det er et authentikeringssystem. Ikke en digital signatur.

Dine handlinger bliver til en entry i en logfil eller en database. Der er ikke noget som kan signeres med brugerens nøgle.

Det er i praksis staten der giver dig din identitet. Hvis staten mener du fra nu af hedder Peter, så held og lykke med at lave det om (med mindre det blot er en fejl).

Jamen halløjsa Michael, skal det fortolkes som at vi i denne situation faktisk er enige?

Og hvis vi i øvrigt vender tilbage til Skat, så undrer det mig såre (som sagt) om der overhovedet er noget belæg for at skære grenen over for de 400.000 der stadig bruger tast-selv koden (med en måneds varsel, det er fuldstændig uanstændigt).

Er der overhovedet nogen tilfælde med kompromittering, eller ligger der en helt anden skjult agenda bag - for jeg nægter at tro på at det har ret meget med udgiften til drift at det velafprøvede login system som skal være begrundelsen.

  • 1
  • 0
Christian Nobel

Jeg roder ikke rundt i det. Der er 4 samlelove der hedder "Bekendtgørelse om Obligatorisk Digital Selvbetjening vedrørende ...".
....
Men det kræver lige, at man læser mellem linjerne.


Og det er jo lige præcis det der er sagens kerne, nemlig at lovgivningen ikke er koncis, men et miskmask af bekendtgørelser og cirkelslutninger, som i den grad lægger op til fortolkninger.

Men fra magthavernes side er det meget nemt at pålægge et krav over for civilbefolkningen, for de har jo ikke en kinamands chance over for systemet, selv om det bagvedliggende lovgrundlag er mangelfuldt.

Så jo, i virkelighedens verden er NemID den eneste OCES-løsning i Danmark.

Det gør det altså stadig ikke til en ægte digital signatur, men kun til et authentikeringssystem, endda uden borgerens fulde kontrol.

Det er totalt uacceptabelt i et retssamfund.

  • 2
  • 0
Michael Cederberg

Jamen halløjsa Michael, skal det fortolkes som at vi i denne situation faktisk er enige?

Det tror jeg ikke. NemID er en authentikeringsløsning. Ikke en digital signatur. Og det er en mere sikker authentikeringsløsning end Tastselv.

Er der overhovedet nogen tilfælde med kompromittering, eller ligger der en helt anden skjult agenda bag

Et godt gæt er at en leder i skat har bedt om en vurdering af sikkerheden. Uafhængige konsulenter har sagt at NemID er mere sikkert end tastselv (hvilket helt sikkert er rigtigt) og at de løser samme opgave. Hvem vil sidde sådan en vurdering overhørig?

Problemerne omkring NemID er en ganske anden sag, men isoleret set er ovenstående rigtigt. Fx. synes jeg det er problematisk at staten pådutter borgerne en løsning hvor "hackere" lokker oplysninger ud af borgerne som tillader "hackerne" at optage lån i borgerens navn. Desværre er ingen af "jeg vil have min egen key"-folkene leveringsdygtige i realistiske løsninger der hjælper i de tilfælde hvor borgeren er Fru Olsen på 75 og ikke Morten-IT-haj på 29.

  • 2
  • 0
Christian Nobel

Det tror jeg ikke. NemID er en authentikeringsløsning. Ikke en digital signatur. Og det er en mere sikker authentikeringsløsning end Tastselv.

Ok, den skulle nok have været delt op i to halvdele.

Lad mig omformulere det - vi er enige om at NemID ikke er og aldrig kan blive en digital signatur?

Som så er jeg sådan set heller ikke uenig i at NemID sagtens kan betragtes som en ganske sikker authentikeringsløsning (lige som Jyske Banks gamle nøglekortløsning), men den skal heller ikke kunne bruges som andet.

Og så mener jeg altså stadig at der skal være 100% vandtætte skotter (og hvis Peter Kyllespæk læser med, så bemærk det er skrevet korrekt denne gang!) mellem stat og kirke^^^^ bank.

Desværre er ingen af "jeg vil have min egen key"-folkene leveringsdygtige i realistiske løsninger der hjælper i de tilfælde hvor borgeren er Fru Olsen på 75 og ikke Morten-IT-haj på 29.

De er jo konsekvent ikke blevet spurgt, eller bevidst overhørt.

Jeg er ret sikker på at f.eks. Stephan Engberg godt kunne komme med nogle bud.

Men herudover, så er det ret sølle at man søger efter laveste fællesnævner, og totalt ignorerer dem der er mere sikkerhedsbevidste - og man kan jo også diskutere om hvorvidt Fru Olsen med djævlens vold og magt skal påtvinges en digitalisering, hvis man ikke er i stand til at levere et system som er sikkert nok.

At gå på kompromis med sikkerheden, bare fordi det skal svøbes ind i "nemt" dogmet, er imo direkte uforsvarligt og udtryk for manglende rettidig omhu.

  • 2
  • 1
Lars Skovlund

> Lovgivning definerer NemID som en digital signatur, bare til information.

Ja, men ikke som en avanceret digital signatur. Hvilket er humlen i den juridiske juleleg, der ligger bag det her. Nogle af os har ventet i åndeløs spænding på eIDAS-forordningen (der definerer disse begreber) i det stille håb om at et andet eu-land ville kræve bommerterne rettet; da andre EU-lande skal interagere med NemID i det hellige indre markeds navn og det virker som om at andre lande har bedre styr på det (dvs. rent faktisk følger teknikeres råd).

  • 3
  • 0
Bjarne Nielsen

Lovgivning definerer NemID som en digital signatur, bare til information.

Ligesom loven, der definerer π = 3,2?

En lov, som definerer laksegl som sikker autentifikation vil også være mulig.

Men det må betegnes som noget af et luksusproblem i forhold til holdningen om de udsatte og svage i samfundet, som man er villig til at smide under bussen, "bare kan tage ind til borgerservice". For førnævnte bus er også sparet væk, og borgerservice lukket sammen med det lokale bibliotek.

  • 5
  • 0
Michael Cederberg

Lad mig omformulere det - vi er enige om at NemID ikke er og aldrig kan blive en digital signatur?

100% enig. Den første version af "NemID" (som hed digital signatur) - den med nøglefil - det var en rigtig digital signatur. Derefter har det blot været authentikering.

Jeg har aldrig set nogen melde ud om hvorfor det blev ændret, men gode bud var:

  • Borgerne kunne ikke finde ud af det
  • Hvis man hackede borgerens computer så havde man alt hvad man skulle bruge
  • Det virkede ikke på "devices" (i bred forstand)

Som så er jeg sådan set heller ikke uenig i at NemID sagtens kan betragtes som en ganske sikker authentikeringsløsning (lige som Jyske Banks gamle nøglekortløsning), men den skal heller ikke kunne bruges som andet.

Her for nyligt solgte jeg en lejlighed. Jeg brugte NemID til at logge på tinglysning.dk (dvs. authentikering). Herefter trykkede jeg "ok" til tinglysning af salget. Mit tryk på ok endte givetvis som en række i en databasetabel. Hele tinglysningssystemet handler om at jeg har tillid til at de har styr på tinglysninger (og her kan vi få en lang diskussion om blockchain og andet teknologi). Hvis der er tvister omkring tinglysningen, så ender det ved domstolene. Statens domstole. Hvor jeg er nødt til at acceptere den dom der måtte komme. Så uanset den tekniske løsning er jeg stadigvæk underlagt statens vilje.

Der er ingen digital signatur i ordets strengeste betydning. Alligevel har jeg skrevet under på tinglysningen. Digitalt. Det der gør det sikkert er at der også var banker, ejendomsmæglere og advokater inde over. Hvis der bliver diskussion om min "underskrift" så vil en dommer kigge på alle de andre spor og dømme at det ser fornuftigt ud.

Der hvor kæden falder af er sager hvor NemID alene binder folk. Der har været sager hvor borgere er blevet lokket til at udlevere NemID detaljer. Disse er så brugt til at oprette åger-lån som borgeren hænger på. Det burde ikke kunne ske. NemID er ikke godt nok alene til den slags. Jeg har svært ved at se en teknisk løsning der alene er god nok til dette.

De er jo konsekvent ikke blevet spurgt, eller bevidst overhørt.

Det er jeg uenig i. Jeg mener netop vi er endt med en løsning som virker for alle. Nogle kan så være uenige i om sikkerheden er i orden.

Men herudover, så er det ret sølle at man søger efter laveste fællesnævner, og totalt ignorerer dem der er mere sikkerhedsbevidste - og man kan jo også diskutere om hvorvidt Fru Olsen med djævlens vold og magt skal påtvinges en digitalisering, hvis man ikke er i stand til at levere et system som er sikkert nok.

Staten skal bruge ressourcerne fornuftigt. Det frigiver midler til brug andre steder at digitalisere. Derfor skal Fru Olsen med.

Staten skal også lave løsninger der er gode nok til alle. Det bliver urimeligt dyrt hvis sådanne løsninger skal dække alle mulige specialinteresser.

Men jeg kunne godt tænke mig at systemet tillod federation. Sådan at dem der måtte ønske det kunne lave og financiere et parallelt og mere sikkert system. Alternativt kunne jeg ønske at man som borger kunne lægge begrænsninger ind på hvad NemID kunne bruges til. Hvorfor kan mit NemID bruges til at oprette virksomheder (uden anden indsats), når nu jeg ingen planer har om samme? Eller til at oprette lån i "banker" som aldrig har set mig.

At gå på kompromis med sikkerheden, bare fordi det skal svøbes ind i "nemt" dogmet, er imo direkte uforsvarligt og udtryk for manglende rettidig omhu.

Det handler om at finde en balance. Det nytter ikke at lave løsninger der kun kan bruges af 1% af befolkningen. Det nytter heller ikke at lave løsninger der lægger op til at omgå sikkerhedsmekanismerne fordi de gør arbejdet bøvlet. Jeg har meget svært ved at se løsninger der kræver at brugeren installerer software som gangbare. Jeg har også svært ved at se løsninger som ikke virker på alle platforme som gangbare.

  • 0
  • 0
Christian Nobel

Det frigiver midler til brug andre steder at digitalisere.

Virkeligheden er jo bare en anden.

Eksempelvis (et eksempel af mange) har sundhedsplatformen kostet så mange penge, at det direkte går ud over hospitalernes kernevirksomhed.

Og generelt er antallet af varme hænder blevet reduceret drastisk, samtidig med der er blevet ansat mere administrativt personale og indført flere digitale løsninger de sidste ca. 15 år.

Herudover, så regner man slet ikke i samfundsøkonomi, da man antager at borgernes tid er gratis, når de skal bøvle med den kafkaske digitalisering - undtagen selvføgelig når man efter temperament godt vil værdisætte borgernes tid, f.eks. hvis man taler trængsel, da det kan bruges som løftestang til nye afgifter.

Så det er ikke rigtigt Michael.

  • 1
  • 1
Morten Løvbjerg

Så vidt jeg ved er det lovpligtigt at udfylde sin selvangivelse.

Dermed tvinger skattestyrelsen nu 400.000 borgere til at acceptere betingelserne for brug af NemId.
En af betingelserne er at man skal give Nets (som er et udenlandsk firma) fuldmagt til at underskrive juridisk bindende aftaler på dine vegne.

Hvorfor er det ikke en større nyhed?

PS: Det er også lovpligtigt at have en nem-konto i en bank, men det kræver ikke at man får NemId.

  • 2
  • 0
Michael Cederberg

Virkeligheden er jo bare en anden.

Selvfølgelig er der ting i digitaliseringen der er gået galt. Men jeg husker stadigvæk når man skulle sende selvangivelse ind på papir. At en recept fra lægen enten krævede at man dukkede op eller at lægen i sjældne tilfælde ringede til apoteket. Eller at information fra børnenes skole kom hvert halve år. Eller ...

Digitalisering er en god ting. Men det er ikke en silver bullet. Specifikation, udvikling og implementering af IT systemer er svært. Og private og myndigheder er gode til at forestille sig noget meget avanceret og bliver skuffede de ender med noget mere simpelt eller noget helt andet end hvad de ønskede.

Mht. til borgernes tid så er digitalisering klart et gode. Antallet af fysiske møder er kraftigt reduceret.

  • 0
  • 2
Log ind eller Opret konto for at kommentere