Nem-ID-kontrovers er en storm i et glas vand
Er det i orden, at kommunens medarbejdere skal bruge deres private NemID papkort, når de skal logge på kommunens computere – f.eks. på intranettet? Sådan spurgte KL tidligt på sommeren Datatilsynet.
Sidst i august kom Datatilsynets svar – som var et “Nej – det er ikke i orden”. De mere juridiske formuleringer lød mere præcist sådan:
“Datatilsynet lægger herved vægt på ved brug af medarbejdersignatur har myndigheden fuld kontrol med uddelegering og spærring af medarbejderens rettigheder og adgange. Det samme er ikke tilfældet med en personlig NemID, hvor medarbejderen selv kan åbne, spærre og genåbne signaturen. Derfor vil brugen af personlig NemID som log-in hos en myndighed kræve, at myndigheden etablerer særlige foranstaltninger, der gør, at medarbejderens autorisation og adgange kan styres alt efter medarbejderes tilknytning til myndigheden.”
Dette svar er blevet fortolket på et utal af måder. Odense Kommune og Aarhus Kommunes praktiske anvendelse af private NemID som log-in procedurer på intranet, blev grebet af IT-medier, der mente, at Datatilsynets svar bringer kommunerne på kant med persondataloven.
Datatilsynets svar blev udlagt som om, at privat NemID, der anvendes på jobbet, kan give adgang til fagsystemer, som indeholder følsomme personoplysninger. Og så brød stormen løs.
Sådan skal det ikke fortolkes
Datatilsynet siger til SAMDATA\HK Magasinet, at sådan skal det ikke fortolkes.
“Svaret tager ikke afsæt i en konkret bedømmelse af kommuners anvendelse af NemID. Svaret er en generel betragtning,” siger IT-chef, civilingeniør Sten Hansen, Datatilsynet.
“Derfor kan svaret heller ikke bruges til at fortolke kommunernes anvendelse af NemID. Det er en afgørelse, Datatilsynet først skal til at træffe nu, efter at KL på ny har henvendt sig.”
Netop svaret har skabt en del turbulens om, hvorvidt kommunernes anvendelse af privat NemID opfylder kravene til persondataloven § 41 stk. 3. Men kommunerne afviser kritikken, fordi de har dobbelt login til fagsystemer og, at NemID alene bruges til identifikation af brugeren. Derfor mener IT-folk i landets 3 største kommuner, at der er tale om “et svar fra Datatilsynet på forkerte præmisser.”
KL har nu indhentet skrivelser fra 5 eller 6 kommuner og henvendt sig til Datatilsynet. Det sker for at få at få afklaret om den anvendelse af privat NemID, som finder sted i en række kommuner, er i overensstemmelse med persondatalovens § 41, stk. 3. Ifølge Datatilsynets kontorchef Lena Andersen vil der foreligge et svar i december 2011.