Mens det fornuftige i at lade NemID være bestyret af Nets, som også har samlet alle danskernes private nøgler, igen er kommet til debat oven på skandalen om læk af betalingsoplysninger, har den britiske regering grebet problemet med et sikkert login til offentlige tjenester helt anderledes an.
I stedet for at lade én leverandør stå for ét centraliseret system kan briterne selv vælge blandt fem forskellige leverandører, som så kan garantere for en persons digitale identitet, uden at staten overhovedet er indblandet.
Det fortæller Liam Maxwell, teknisk direktør for Government Digital Service, som er Storbritanniens svar på Digitaliseringsstyrelsen, til Version2 under et besøg i Danmark.
»Det er meget forskelligt fra, hvad I har her i landet, for det er baseret på det private marked for digital identitet. I stedet for at bruge 900 millioner pund på at udstyre alle med et id-kort har vi brugt meget mindre end det. Og det virker,« siger han.
Konceptet er, at borgerne selv kan vælge én eller flere af de fem firmaer, som er godkendt af staten som leverandører, og så skal man med pas og andre dokumenter dokumentere, at man er, hvem man giver sig ud for. Leverandøren tildeler derefter et digitalt login, som i praksis kan fungere på forskellige måder, men skal leve op til statens sikkerhedskrav.
Når borgeren så skal logge på en offentlig hjemmeside, sker det med hjælp fra den private leverandør, som får betaling fra staten pr. gang, der bliver logget ind. Og da man kan vælge at have flere digitale identiteter, en hos hver leverandør, kan man også undgå, at én aktør potentielt kan følge alle dine logins.
Det betyder også, at der altid er et alternativ, hvis der skulle opstå tekniske problemer et sted.
»Hvis en af leverandørerne har et problem, ligesom man så, at Obamacare-siden havde login-problemer, så kan du sige ’farvel og tak’ og vælge en anden leverandør. Det kan du gøre så længe, der er et marked for det,« siger Liam Maxwell.
Flere leverandører kommer til
Det britiske projekt, der går under navnet Identity Assurance, er lige nu i en lukket beta, hvor få tusinde testpersoner kan bruge det til at logge ind hos blandt andet det britiske skattevæsen. Men i løbet af sommeren bliver adgangen givet fri for alle. Flere leverandører er også på vej, da den første kontrakt med de fem udvalgte kun dækker op til 600.000 brugere af id-tjenesten.
Hele udviklingen af det nye login-koncept har været gennemsyret af hensyn til borgernes rettigheder og privatliv, for central registrering og statslige databaser er noget, mange englændere historisk set er ret allergiske over for.
Modsat Danmark, som har haft cpr-numre for alle borgere siden 1960’erne, har briterne altid haft en solid skepsis over for staten, og der findes således ikke en central database over alle landets borgere.
»En officiel digital identitet er et meget følsomt emne i Storbritannien. Så vi satte os fra starten af ned med de vigtigste privacy-organisationer i landet og bad dem om at fastlægge principperne, vi skulle leve op til. Vi spurgte dem, hvad deres bekymringer var, og hvordan de ønskede, at det blev bygget op, og så designede vi konceptet ud fra det,« fortæller Liam Maxwell.
Det har for eksempel ført til, at der er forskellige grader af login, så man hos nogle offentlige tjenester for eksempel blot skal kunne bevise, at man bor i kommunen, uden at oplyse mere end det ved login, mens for eksempel skattevæsenet skal vide ret præcist, hvem du er, når du logger ind og vil tjekke selvangivelsen.
Med NemID vil et login på offentlige websider til sammenligning altid blive koblet med dit CPR-nummer, ved hjælp af en database, der forbinder danskernes CPR-numre med deres NemID-nummer.
Digitaliseringsstyrelsens kontrakt med Nets om at levere NemID udløber i 2015, men forventes at blive forlænget med to år. Dermed skal Danmark have en ny løsning klar til 2017, og arbejdet med at beslutte, hvordan den skal se ud, er nu sat i gang. I den forbindelse har Digitaliseringsstyrelsen tidligere efterlyst input til, hvordan den optimale NemID-afløser kan se ud.
Læs mere om det britiske projekt Identity Assurance.
Det fremgik tidligere af artiklen, at NemID altid sender brugerens CPR-nummer, når man logger ind, hvilket ikke var korrekt. Version2 beklager.