Op mod 20 kommuner bruger NemID som log-in
Op mod 20 kommuner bruger eller overvejer at implementere NemID som log-in procedure til Intranet eller som identifikation af brugeren til at komme længere ind i kommunernes fagsystemer. Ifølge Aarhus og Odense kommuner sker denne anvendelse frivilligt.
John Bonnerup, der er IT-sikkerhedsleder i Odense Kommune, melder derfor hus forbi, hvad angår Datatilsynet udmelding om, at man ikke må tvinge ansatte til at bruge privat NemID i jobmæssig sammenhæng.
”Det er et svar, der bygger på forkerte forudsætninger. Gennem anvendelse af NemID får medarbejderen adgang til Odense Kommunes Intranet, herunder information fra ledelsen og medarbejderens uddannelse. De kan ikke komme ind til et fagsystem ved hjælp af den private NemID log-in. Dermed kan en IT-bruger, som ikke har autoriseret adgang til fagsystemer, heller ikke få adgang til følsomme personoplysninger. Privat NemID bruges alene til at identificere brugeren over for kommunen. Da den er ”gratis” for private brugere, så lader vi dem få adgang til Intranet gennem privat NemID,” siger IT-sikkerhedsleder John Bonnerup, Odense Kommune.
Odense Kommune er den første kommune i landet, der har taget privat NemID i brug som identifikation af brugere. Det har angiveligt været en årsag til, at KL spurgte Datatilsynet i juni 2011 om denne ”jobmæssige” anvendelse af privat NemID måtte ske med tvang.
”NemID giver også adgang til e-Boks, så medarbejderen kan se sin egen lønseddel. Men det er ikke, hvad jeg opfatter som tvang. Det er et tilbud. Hvis medarbejderen ikke ønsker at få adgang til sin lønseddel ved hjælp af NemID, så må vedkommende spørge sin chef og få informationerne dér. Pengene kommer under alle omstændigheder ind på kontoen. Der er ikke forskel på denne anvendelse af NemID i Odense Kommune og anvendelsen i Staten. Det samme er tilfældet med anvendelsen af NemId på Odense Kommunes Intranetportal. Så privat NemID sker frivilligt og ikke gennem tvang,” siger John Bonnerup.
NemID går gennem egetudviklet IT-system
Odense Kommunes anvendelse af NemID minder lidt om det projekt, Aarhus Kommune sætter på skinner om en måned. Odense Kommune bruger dog ikke Citrix som adgang til fagsystemerne. Så NemID anvendelsen går gennem et eget udviklet personale og organisationssystem, (APOS), som indeholder data om medarbejdere og organisationen.
CPR-nummeret i NemID indtastningen matches med CPR-oplysningerne i APOS. Hvis det ikke matcher, så er man med IT-sikkerhedslederens ord heller ikke ansat i Odense Kommune, og så kan man ikke logge sig på.
”Vi har undersøgt forskellige muligheder for en sikkerhedsløsning til identifikation af medarbejderne. Og vi har fundet NemID meget attraktiv, fordi den er så robust, at vi mener den kan og skal bruges som en standard. Når den kan bruges i finansverdenen, kan den også bruges hos os. Samtidig ser vi den som en nem måde at få digitaliseret alle medarbejdere, fordi de kender den i forvejen. Endelig har det den fordel, at brugere ikke skal udstyres med 2 log-in procedurer til ikke-følsomme personoplysninger,” siger John Bonnerup.
En tilsvarende NemID Erhverv, som endnu ikke er lanceret, eller et helt tredje alternativ ville let løbe op i 400.000-500.000 kr. om året, uden at det løfter sikkerheden i kommunen.
Hurtig digitalisering
Med NemID anvendelsen har de kommunale IT-afdelinger fået udbredt et sikkerheds log-in til alle IT-brugere.
”I dag har vi 9000 medarbejdere, der ikke er på vores netværk fra en arbejds-pc. De har nu fået muligheden for at komme på Intranet med NemID fra en privat pc. Så har vi mellem 6000-7000 medarbejdere, der gennem en NemID kan få en ny AD og ident log-in til fagsystemer. Så man kan ikke komme ind til systemer med følsomme personoplysninger ved hjælp af privat NemID. Og man kan heller ikke komme på kommunens netværk ved hjælp af NemId fra en privat pc og derfra videre til et fagsystem,” siger John Bonnerup.
Han tager det helt roligt, når Datatilsynet skal vurdere, om Odense Kommunes anvendelse af NemID er i strid med persondataloven.
John Bonnerup skønner, at op til 1000 medarbejdere benytter medarbejdersignatur for at få adgang til følsomme personoplysninger som en del af deres arbejde for kommunen.
Andre kommuner, som er i fuld gang med at digitalisere IT-brugere ved hjælp af NemID, er Odder, Frederikshavn, Gentofte, Rudersdal, Ikast-Brande, Åbenrå, Brøndby, Rødovre og Hjørring, Syddjurs, Slagelse. København Kommune overvejer også denne løsning.
\ kan ikke tvinge til at bruge privat nemid på jobbet
På det kommunale område har der været situationer, hvor arbejdsgivere har bedt de ansatte om at bruge privat NemID arbejdsmæssigt. Det skriver HK/STAT i Fagligt nyt nr. 259.
Om problemet også findes på de statslige arbejdspladser er uvist, men Datatilsynet har udtalt at følgende princip gælder i forhold til hvad en virksomhed kan kræve:
Til orientering skal det oplyses, at Datatilsynet har svaret: ”Offentlig ansattes anvendelse af NemID som adgangsgivende til myndighedens systemer i arbejdsmæssig sammenhæng er efter Datatilsynets opfattelse ikke i overensstemmelse med Persondatalovens § 41 stk. 3.
Dermed må kommunerne ikke mere kræve, at medarbejderne bruger deres NemID, når de logger sig ind på diverse IT-systemer i arbejdsmæssigt regi.
digital signatur på vej mod sidste salgsdato
Den digitale signatur, som vi kender i dag, gik i luften for 8 år siden, og er nu på vej ud af billedet.
Den sidste digitale signatur er blevet udstedt i juni 2011. Da den har 2 års løbetid betyder det, at den vil udløbe endeligt i sommeren 2013.
NemID har i løbet af blot 18 måneder totalt udmanøvreret digital signatur. Der er nu aktiveret over 3,4 mio. NemID, og gennemført tæt på ½ mia. transaktioner, ifølge en ny undersøgelse fra Økonomistyrelsen.
Det er langt mere end digital signatur nogensinde har opnået. I perioden frem til sidste salgsdato for digital signatur i sommeren 2013, vil borgere og virksomheder fortsat have begge muligheder for at logge sig på en række offentlige hjemmesider, fx. hos Skat og Borger.dk.
NemID bruges ikke kun i netbank. Ifølge en undersøgelse fra Økonomistyrelsen har 84 % af borgerne, svarende til 2,8 mio. brugt NemID til log-in på offentlige myndigheders hjemmesider.