Privat NemID sker frivilligt
Datatilsynet skrev tidligere på året til KL, at de ikke mener, at det er i orden, at medarbejdere skal anvende deres personlige NemID som en del af kommunens log-in procedure. Men kommunen føler sig ikke ramt af svaret.
”Vi tvinger ikke medarbejdere til at bruge deres private NemID fra en arbejds-pc. Den nye anvendelse af NemID sker frivilligt og alene fra private pc´er. Det giver adgang til Intranet, som ikke indeholder følsomme personoplysninger. Derfor mener jeg også, at Datatilsynets svar alene drejer sig om anvendelsen af private NemID fra en arbejds-pc,” siger Rasmus Ry Nielsen.
4500 arbejds-pc´er over på NemID
I dag benytter 4500 ansatte i Aarhus Kommune, som har en arbejds-pc, en RSA-token løsning for at logge på intranettet og de kommunale IT-systemer. Men fra 1. januar 2012 erstatter kommunen denne løsning med privat NemID. Kommunen kan ved at erstatte den eksisterende log-in løsning med RSA-tokens spare omkring 500.000 kr. årligt. Hertil kommer udgifter til administration af tokens samt udskiftning af godt 2.000 tokens hvert andet år.
”Igen mener jeg ikke, at vi vil komme i konflikt med Datatilsynets svar til KL. NemID på en arbejds-pc giver ikke i sig selv adgang til følsomme personoplysninger på et fagsystem eller andre vigtige informationer,” siger Rasmus Ry Nielsen.
NemID bruges alene til at identificere brugeren, der logger på netværket.
Når en medarbejder første gang forsøger at logge på med sit personlige NemID, bliver NemID’et vekslet til en brugeridentitet. Efter login med NemID har brugeren adgang til 2 ting: Kommunens Intranet og en ny login-mulighed til den eksisterende Citrix-løsning, der giver adgang til mail, fællesdrev og fagsystemer.
”Og sker det fra en bærbar pc i hjemmet, kommer man først på et hjemmenetværk. Herfra anvender vi særlige log-in i et Citrix Xen apps miljø, der giver brugeren adgang til de systemer, som brugeren har rettigheder til. Så den private NemID giver ikke i sig selv adgang til arbejdsrelaterede fagsystemer. Det kan kun ske i kombination med et ADident password,” siger Rasmus Ry Nielsen.
Efter NemID implementeringen, som går i luften om en måned, vil de 4500 arbejds-pc´er, kunne logge på Citrix med en kombination af NemID og ADident password. Så den eneste forskel er, at token udgår og erstattes af NemID. NemID bliver lagt på en server sammen med Microsoft Sharepoint. Så ”hardwaren” – de 4500 tokens forsvinder – og bliver til en softwareløsning.
Men Rasmus Ry Nielsen understreger, at der heller ikke er nogen, der tvinges til at have token, og der vil heller ikke være nogen, der bliver tvunget til at bruge NemID.
Det er ikke sådan, at Datatilsynets svar ikke gør indtryk. Omvendt giver svaret ikke et reelt billede af den faktiske anvendelse af NemID i kommunen.
Medarbejdersignaturen
Når en medarbejder logger sig på netværket ved hjælp af NemID, så er det en personlig login.
Men når en medarbejder i sit job repræsenterer kommunen udadtil – det vil sige identificerer sig som sådan over for borgere, virksomheder og andre offentlige myndigheder – så sker det gennem en medarbejdersignatur.
”Vi har mellem 1000 og 1500 medarbejdersignaturer. Vi er i kølvandet på Datatilsynets svar blevet spurgt om, hvorfor vi ikke bare bruger medarbejdersignaturer. Det gør vi skam også. Men medarbejdersignaturen skal kun bruges, når medarbejderen agerer på vegne af Aarhus Kommune og ikke på egne vegne. Den er med andre ord ikke personlig, men knyttet til medarbejderens opgaver for Aarhus Kommune. Det ville derfor være en meget uheldig sammenblanding, hvis vi brugte medarbejdersignaturen i vores projekt,” siger Rasmus Ry Nielsen.
Ved at anvende NemID som en standard for identifikation af næsten 30.000 medarbejdere – og med ekstra tilhørende log-in til følsomme informationer, har Aarhus Kommune fået digitaliseret store dele af kommunen uden ekstra omkostninger. Samtidig kan medarbejdere bruge NemID som de kender i forvejen, og skal derfor ikke partout have 2 log-in og 2 personkoder for at komme på Intranet.
”Vi har tidligere undersøgt andre log-in typer – også tænkt som frivillig anvendelse – for de 18.000 medarbejdere, der ikke har en arbejds-pc. Det virker ikke nær så godt eller også er de meget dyre i forhold til NemID. Vi håber med NemID at få ”hul” igennem, fordi brugerne kender NemID i forvejen,” siger Rasmus Ry Nielsen.
\