NemID’s udskældte papkort kan være fortid i den nærmeste fremtid.
Sikker og brugervenlig.
Sådan lyder overskrifterne på næste generation af NemID, der senest skal være ude hos 4,3 millioner danskere og i 1,1 millioner eksemplarer i virksomhederne i slutningen af 2018.
For om godt tre et halvt Ã¥r udløber den nuværende kontrakt og alle medfølgende forlængelsesmuligheder endegyldigt med leverandøren, Nets’ DanID.Â
Arbejdet med den næste NemID-løsning – eller hvad løsningen til adgang pÃ¥ offentlige og private websites kommer til at hedde i 2018 – har været i gang i et halvt Ã¥rs tid hos Digitaliseringsstyrelsen, og projektets foranalyse nærmer sig sin afslutning.
“Lige nu er der mange ønsker og muligheder i luften. Det mest sikre, vi kan sige pÃ¥ nuværende tidspunkt, er, at der skal strammes op pÃ¥ virksomheds-delen, og at løsningen skal være fremtidssikret,” forklarer kontorchef Marianne Sørensen hos Digitaliseringsstyrelsen, som er ansvarlig for næste generation af NemID.
Behøver vi overhovedet NemID?
Efter sommerens høringssvar og et analyse-forløb har styrelsen i disse dage indkaldt en lang række parter, der blandt andre tæller Ældresagen, IT-Branchen, Center for Cybersikkerhed, Finansrådet og IT-Politisk Forening til to workshops om muligheder og stopklodser i løsningen.
Computerworld har deltaget på en af disse workshops, hvor det fremgår, at der ikke kan rykkes synderligt på byggeklodser som åbne standarder, et modulært opbygget system og en kommende EU-forordning inden for eID.
Derudover er ordet frit i diskussion af muligheder og bekymringer omkring NemID’s to deleelementer, der bestÃ¥r i at kunne logge pÃ¥ offentlige og private hjemmesider og skriver under pÃ¥ online-aftaler med en elektronisk signatur.
I nogle tilfælde kan NemID’s to-faktor-autentifikation dog vise sig at være ganske overflødig.
Syv hovedelementer til diskussion:
Digitaliseringsstyelsen er lige nu i sin analysefase til det næste NemID.
Som diskussionsoplæg har styrelsens udpeget syv ramme-elementer, der skal diskuteres med relevante parter på styrelsens workshops.
Disse syv omrÃ¥der er sÃ¥ledes pejlemærker for, hvad den næste NemID kommer til at indeholde.Â
De syv elementer er:Â
Login-faktorer - skal nøgle for eksempel være på hardware, mobile enheder, i biometriske løsninger, og hvordan skal login tilpasses brugergrupper med særlige behov som eksempelvis synshandicappede
Support - skal virksomheder have support-pakker og hvordan kan supporten gøres mere ensartet, mens der også skal være bedre support til brugergrupper med særlige behov
NemID for børn under 15 - børn opnår større fortrolighed med NemID og den offentlige sektor, men skal deres være forskel i udstedelser til børn og forældre?
Adskillelse af eID og signering - en opsplitning af autentifikation og signering kan give flere muligheder for tjenesteudbydere og gøre konto-kig muligt
Kontekstafhængig information - du skal kunne være anonym uden at afgive for mange data på visse tjenester. Hvordan skal det gøres i praksis, når dit NemID har et nummer, som kan henføre til CPR-numret?
NemID i virksomheder - skal medarbejdere i mindre virksomheder og i foreninger kunne bruge deres almindelige NemID til virksomhedsbrug?
Bedre administration til erhvervslivet - bedre funktionalitet og brugervenlighed ved udstedelser og administration af medarbejdersignaturen.
Annonce:
Det skyldes, at en af grundtankerne i diskussionerne er, at det offentlige kan stille informationer til rÃ¥dighed pÃ¥ bÃ¥de 1-faktor-niveau, som det blandt andet kendes fra netbankens ‘kontokig’, og det fuldfede 2-faktor-niveau, som vi kender i dag fra eksempelvis selvangivelsen hos Skat.dk.Â
Det betyder i praksis, at forældre kan logge på Itslearning (tidligere Skoleintra) med brugernavn og password (1-faktor) for at se lille Oles skoleskema, mens en psykologi-rapport kræver NemID (2-faktor).
Ikke en one-size-fits-all-løsning
Dermed kan du i mange tilfælde slippe for at hive papkortet frem, der ved introduktionen af NemID i 2010 vel nok var det mest kritiserede element ved hele løsningen.
Hvis papkortet overhovedet overlever til 2018.
“Det kan godt være, at papkortet er forvundet til den tid, men det er ligesom med alle andre elementer slet ikke blevet besluttet endnu,” siger Marianne Sørensen til Computerworld.
En anden grundtanke i diskussionerne er, at næste version af NemID ikke nødvendigvis skal være en one-size-fits-all-løsning, hvor man kun skelner mellem borger og virksomheder.
For eksempel kan virksomheders håndtering af medarbejdernøgler helt jordnært forbedres, hvis der kommer en arbitrær opdeling mellem stor og lille, så medlemmer i foreninger og enkeltmands- eller mindre virksomheder kan benytte det almindelige NemID.
Et andet eksempel på et differentieret NemID er, at en borger selv kan dele sine data på forskellige sites mere eller mindre anonymt, som det nu passer i situationen. Hvis man er kunde hos et teleselskab kunne man således oplyse navn og adresse, mens man lukker af for køn og alder.
Et tredje eksempel pÃ¥ diskussioner, der gør op med one-size-fits-all-NemID’et, er, at du med den modulære opbygning skal kunne logge pÃ¥ en hjemmeside med dit password og en to-faktor-autentifikationsmulighed, som passer til dit behov.
For med brug af åbne standarder skal eksterne leverandører i fri konkurrence kunne tilbyde login-faktorer som eksempelvis en iris-scanner, en fingeraftryks-aflæser, voice-response eller sågar en hjernebølgescanner.
Flere bump på vejen
Det hele er dog ikke så ligetil, inden første udkast til et egentligt udbud kommer på plads i løbet af det næste års tid.
For erfaringer med NemID’s nøglegenerator har vist, at efterspørgslen har ligget nede pÃ¥ omkring 181.000 solgte enheder, hvilket svarer til, at blot fire procent af NemID-brugerne har punget ud for en alternativ løsning.Â
Vanskeligheder for it-nybegyndere i håndtering af data-deling kan også blive et forvirringsproblem, hvis borgerne overhovedet gider at sidde og åbne og lukke for forskellige myndigheder og virksomheders adgang til ens data.
Dertil kommer en lang række andre problemstillinger, som blandt andre næstformand Jesper Lund fra IT-Politisk Forening er kommet hos Digitaliseringsstyrelsen for at diskutere.
“Vi er her, fordi vi mener, at den nuværende løsning med centralt placerede nøgler er for usikker, og fordi vi ønsker, at borgerne fÃ¥r mere kontrol over sine nøgler,” forklarer Jesper Lund til Computerworld.
Annonce:
Om placeringen af nøglerne siger Marianne Sørensen hos Digitaliseringsstyrelsen til Computerworld:
“Vi tager alle input med i vores endelige rapport fra foranalysen, men det er umiddelbart svært at forestille sig, at alle brugerne skal til at installere nøgler pÃ¥ deres egne computer-enheder.”
NemID til børn kan være på vej
I arkitektur-diskussionerne er NemID til børn under 15 også i spil.
Det sker ud fra tanken om, at ungerne kan logge på offentlige sider, med uddannelses- og sundhedsinformationer, men endnu ikke kan skrive under på noget.
Den tilgang kan blive mulig, hvis Digitaliseringsstyrelsens splitter autentifikations- og signaturendelen op i to del-løsninger, som styrelsen selv lægger op til diskussion i workshoppen.
Overordnet har styrelsen syv hovedområder i spil (se faktaboks til højre for denne artikel), som deltagerne diskuterer og myndigheden inddrager i sit analysearbejde, inden anskaffelsesfasen tager over i slutningen af året.
Forinden skal Digitaliseringsstyrelsen dog have sat sig sammen med en lang række private aktører som for eksempel bankerne, forsikringsselskaber og teleselskaber, da staten ønsker at knytte disse parter tættere til NemID-samarbejdet.
Herefter bliver politikerne inddraget, hvorefter mange af endelige grundsten til den næste generation af NemID bliver støbt i ind i det endelige udbud.
Hvem, der ender med at skulle udvikle hele eller dele af løsningen, er på nuværende tidspunkt helt uvist.
Én aktør kan Marianne Sørensen dog så godt som sikkert udelukke på forhånd.
“Jeg har svært ved at se, at det bliver staten selv, der bygger og vedligeholder det næste NemID, fordi der er mange virksomheder, der har bedre kompetencer til den slags end os.”
Læs også:
Danskernes tillid til NemID dykker Рs̴dan skal den uheldige tendens vendes
Nu skal du bruge NemID hvis du vil skilles – se de nye løsninger her
Leave a Reply