Hringssvar
Flgende har afgivet hringssvar:
1. 41concepts 2. Advokatrdet 3. ATP 4. Banedanmark 5. Beskftigelsesministeriet 6. Bitbureauets 7. CHPCOM Projektet 8. Civilstyrelsen 9. Danmarks Rederiforening 10. Dansk Byggeri 11. Dansk Erhverv 12. DANSK IT 13. Danske Handicaporganisationer (DH) 14. Danske Regioner 15. Datatilsynet 16. Den Uafhngige Politiklagemyndighed 17. DI ITEK 18. Digitalimik Sullissinermut Aqutsisoqarfik 19. Domstolsstyrelsen 20. E-boks 21. Erhvervs- og Vkstministeriet 22. Finans & Leasing 23. Finansrdet 24. Finanstilsynet 25. Forbrugerrdet TNK 26. Foreningen for Dansk Internet Handel (FDIH) 27. Forsikring og Pension 28. Forsvarsministeriet 29. Henrik Schack 30. Hndvrksrdet 31. Institut for Menneskerettigheder 32. IT-Branchen 33. IT-Politisk Forening 34. Justitsministeriet 35. Kommercielle Linux-interessenter I Danmark
(KLID) 36. Kommunernes Landsforening (KL) 37. Konkurrence- og Forbrugerstyrelsen 38. Kulturministeriet 39. Landbrug & Fdevarer og Videncentret for
Landbrug 40. Lars Ole Belhage, Bjarne C. Jacobsen og Lars
Roark
41. Michael Mller 42. Miljministeriet 43. Ministeriet for Brn, Ligestilling, Integration
og Sociale Forhold 44. NaturErhvervstyrelsen 45. Niels Kleberg 46. Nimish Gautam 47. Odense Kommune 48. Peercraft ApS 49. PFA Pension 50. Projekt UDENFOR 51. Region Syddanmark 52. Rigspolitiet 53. Rdet for Digital Sikkerhed 54. Rdet for Socialt Udsatte 55. SAND 56. SKAT 57. Sor Kommune 58. Theis F. Hinz 59. Trafikstyrelsen 60. Uddannelses- og Forskningsministeriet 61. Udlndingestyrelsen 62. Undervisningsministeriet 63. ldre Sagen
41concepts Aps, 15. Juni 2014 Rrholmsgade 22, 4th 1352 Kbenhavn K. Hringsvar vedr. nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID) 1. Fremtidige forretningsmssige behov + overordnet Den nye NemId skal udgre en ben platform og ikke vre et lukket produkt. Platformen skal indeholde bne platformuafhngige snitflader (Web APIer), som software fra virksomheder, foreninger og tekniske privatpersoner kan koble sig op imod. Det skal muliggre konkurrence, innovation, universel integration og nem mulighed for sm lokale tilpasninger efter behov i de enkelte virksomheder, foreninger og lign. 2. Funktionalitet og anvendelse Den nye NemId skal indeholde 2 niveauer af sikkerhed, som bl.a. skal mulig-gre get brugervenlighed: A. Lse operation p godkendt enhed. F.eks. tilg e-post1 og sine informationer p borger.dk p sin private telefon uden brug af nglekort. Dette niveau er uden 2-faktor sikkerhed, men med en simpel applikations-specifik adgangsbeskyttelse el. evt. uden kode, som i en App p en lst mobil, hvor brugeren i forvejen skal lse mobilen op med kode for at tilg Appen. Krver en tidligere niveau-B godkendelse for at fungere. B. Godkende, skrive under, autorisere el. deautorisere personligt udstyr som telefoner, tablets og lign. til at lse p. Vil altid krve 2-faktor sikkerhed, men prcist hvordan det sker er applikations-specifik. 3. Behov for brugervenlighed. Systemet skal vre meget, meget mere brugervenligt end det er i dag. Men det opns ikke ved, at designe t statisk (frontend) produkt med t p forhnd bestemt antal krav. Der skal mere til for at NemID ren faktisk bliver nemt at bruge bde nu og i fremtiden. I stedet skal der designes en ben platform (se pkt. 1) med 2-niveauer af sikkerhed (se pkt. 2). P dette grundlag kan forskellige leverandrer, s konkurrere om det bedste - herunder mest brugervenlige - produkt. Konkurrence, innovation og brugernes frie valg vil sikre den bedst 1 Undertegnede kender ingen, der gider at lse deres e-post regelmssigt, fordi det er for besvrligt. En ikke s brugervenlig NemID er en vsentlig rsag. Manglende udbud og konkurrence p frontend Apps til ePost er en anden vigtig rsag. F.eks. mangler Apps helt til brug for virksomheder til at lse deres post.
mulig brugervenlighed i den frdige lsning. Den bne platform vil ogs give bedste mulighed for god brugervenlighed ogs i fremtiden, nr brugsmnstre ndre sig. 4. Teknik og infrastruktur. Som nvnt i pkt. 1 skal den nye NemId udgre en ben platform og ikke vre et lukket produkt. En platform, som software fra forskellige leverandrer og privatpersoner kan koble sig op imod. En ben platform hvor sikkerhed baserer sig p velprvede og sikre dele som kryptering, SSL m.m. og ikke myter om security by obscurity, der ogs tilfldigvis samtidigt passer i visse leverandres kram om at undg ubehagelig konkurrence ved at lukke alt til. Som nvnt i pkt. 2 skal platformen understtte adgange p flere niveauer, hvilket krver forskellige autorisering op mod servere. A. Kan ske ved en tidligere downloadet token/ngle, som er givet (evt. tidsbegrnset) via en tidligere Niveau B godkendelse + evt. password med mindre adgangen er sikret p anden vis (f.eks. er det undvendigt med password i applikationen, hvis brugeren har bnet sin telefon ved fingeraftryk el. personligt password). B. Sker via password + engangskode som i dag eller ved Biometri, som nyeste mobiltelefoner m.m. er begyndt at understtte. Begge metoder skal understttes af et fleksibelt API. Sledes vil eID og eSignering ogs vre adskilt. Arkitektturen i softwaren i platformen skal vre modulopdelt med bne snitflader imellem moduler, sledes at enkelte moduler kan skiftes ud og evt. leveres af forskellige leverandrer. Det vil ogs mindske risiko for NemID projektet og bne op for at flere leverandrer kan deltage. Bemrk dog, at det er vigtigt, at der stilles store krav til testability(!!) i arkitekturen, designet og koden (herunder testabiliy ind i snitfladers design, logging o.s.v.), s man ikke ender i et SOA-helvede med systemer fra 7 forskellige leverandrer, der ikke kan snakke sammen og man kan ikke umiddelbart finde ud af hvorfor (noget jeg ved der tit sker i det offentlige nr der er flere forskellige systemer og leverandrer) Sammen med den udviklede platform skal et offentligt tilgngeligt Software Development Kit (SDK) med eksempler p frontend lsninger frigives, som understtter frende mobilplatforme, tablets og computere. Central kode kan med fordel skrives i C, som understttes af alle platforme Mange ved det ikke, men man kan faktisk skrive sin forretningslogik (f.eks. krypteringsdelen) i C og hermed understtte alt, herunder Windows mobile Apps, iOS Apps til iPhone/IPads, Android native apps, Mac OS X, Windows, Linux og s videre. Bemrk dog at man desvrre ikke kan skrive alt i C p nogle af platformene, s f.eks. GUIen skal skrives specifikt til de fleste platforme men GUIen er heller ikke en del af SDKerne. Lsningen skal endeligt ikke basere sig p Java2 el. Javascript p klienten som er tungt, besvrligt, krver for meget datatrafik og hverken er fleksibelt, sikkert, robust nok el. understtter de brugervenlige anvendelser, der skal til. I stedet bruges SSL, kryptering, forms og andre standard-teknologier samt native Apps via SDKer. 2 Java hrer hjemme p serven, hvor det fungere godt - ikke p klienten.
5. Samspil med interessenter I den bne platform med bne APIer, fri konkurrence og hermed stor innovation vil de fleste frontend lsninger (og hermed leverandrer) udskiftes af borgere ud fra deres frie valg. P backenden vil der vre brug for 1+ stabile leverandrer til driften. 6. Fremtidig forretningsmodel Som nvnt i ovenstende er der brug for en model baseret p fri konkurrence p alle frontend systemer og flere lbende leverandrer. Efter sigende har man i UK noget af det samme, men vist ikke helt s bent. 7. Andre bemrkninger Tak for muligheden for at give input. Jeg kan kontaktes for yderligere information og afklaringer. Mvh Morten Christensen, M.Sc, CEO i 41concepts, tlf. 40 10 92 38, [email protected]
1
Til Digitaliseringsstyrelsen
26. juni 2014 Hringssvar Hring om nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID)
Hermed fremsendes ATPs bemrkninger til Hring om nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID). NemID er en forretningskritisk komponent for ATPs lsninger og har en afgrende betyd-ning for, at ATP kan drive en effektiv digital kundeservice. Generelt har der vret god til-fredshed med den eksisterende NemID og en hj volumen af transaktioner.1 Der er dog visse erfaringer fra den nuvrende lsning, som ATP nsker at adressere under de enkelte hringstemaer.
Fremtidige forretningsmssige behov ATP har i erfaringsopsamlingen identificeret barrierer for fuld digital kommunikation med borgere, der opholder sig i udlandet og udenlandske virksomheder der modtager ydelser i forbindelse med anvendelsen af den nuvrende NemID lsning.2 Anvendelse af digital post er knyttet sammen med anvendelsen af den nuvrende NemID-lsning. Som situationen ser ud i dag har ca. 55 pct. af borgerne nvnt ovenfor ikke et dansk pas og kan derfor ikke f tildelt NemID. Hertil kommer, at de resterende 45 pct., som har et dansk pas og ikke i forvejen har NemID, kun kan f en sdan udstedt ved fysisk fremmde p en dansk repr-sentation i udlandet, for at sikre autenciteten af den person NemID udstedes til. Samme udfordring har udenlandske og grnlandske virksomheder, der skal sge om danske ydel-ser. Et eksempel er NemRefusion, hvor sagen skal hndteres manuelt, da virksomheden ikke kan f tildelt en medarbejdersignatur uden et dansk CVR-nummer. ATP skal endelig gre opmrksom p, at der er en juridisk barriere for at udbrede obligato-risk anvendelsen af NemID. Hvis man vil gre nationale forhold/lovgivning gldende uden for Danmarks grnser, kan det have virkning som indirekte diskrimination, ikke mindst hvis der i tilgift er ekstra omkostninger ved det for borgeren.
1 I 2013 var der ca. 2,4 mio. log ind vedr. Udbetaling Danmark og 1,8 mio. log ind vedrrende Pen-sion og Sikring. Alt i alt ca. 4,2 mio. log ind i 2013. 2 ATP har i ordningerne ATP-livslang pension 16.500 borgere i udlandet der modtager ydelser, Fami-lieydelser har ca. 10.000 og International Pension og Social Sikring (IPOS) har 48.000. I alt sender ATP ca. 150.000 breve om ret til disse modtagere, og tallet er stigende.
2
Behov for brugervenlighed ATP har identificeret et behov for en brugervenlig lsning til fuldmagter (bde mellem perso-ner og til firmaer, f.eks. revisorer). ATP foreslr, at alle relevante mlgrupper inddrages i de indledende brugeranalyser, s deres forskelligartede behov afdkkes. Den nuvrende lsning har en hj kompleksitet p virksomhedssiden, og det giver udfordringer for mindre virksomheder. Det drejer sig specifikt om:
Tildeling af rettigheder nske om mere enkle tilmeldinger for fx enkeltmandsvirk-somheder og mindre virksomheder, hvor der gives rettighed til en samlet pakke, som dkker de flestes behov. Der er behov for nemmere adgang til dybe links til siden, hvor rettigheder tildeles og bedre hjlpe-vejledninger med guides og lign. For strre virksomheder har lsningen mange fine muligheder, og det er et stort skridt at kunne selvadministrere og tilslutte nye lsninger.
Fremsgning af brugeradministrator har tidligere vret svrt - det br kun vre t klik vk.
Begreberne er komplekse og blandes sammen f.eks. nr der skal udpeges ret-tighed, vises privilegium med en uforstelig tekst. Her burde der i stedet vises tek-sten for rettigheden: Fx: Ret til at tilg AUB.
Det skal fortsat vre muligt for administratorer at begrnse brugernes adgang til SE-numre i brugerrettighedsstyrings-systemet.
Samspil med interessenter Hovedbudskabet i erfaringsopsamlingen vedr. samspil med interessenter p support er:
Behov for en mere forpligtende driftshndbog med NemID/NemLog-in og de vrige offentlige komponenter (fx tilsvarende den ATP har med borger.dk). F.eks. ndpro-cedurer, nr NemID ikke virker, da NemID er indgangen til alle offentlige lsninger.
get fokus p support i forhold til ivrksttelser og fejlhndtering. Udfordringer med IT leverandrer og tilslutning af ordninger i det nuvrende set-
up.
Fremtidig forretningsmodel ATP har identificeret flgende behov i den fremtidige forretningsmodel:
Deadlines for fx NemLog-in blev udskudt flere gange inden lancering det gav usik-kerhed hos de involverede og problemstillinger med ressourcer.
Efter lancering af NemLog-in manglede adgang til nyt testmilj og viden om, hvordan dette benyttes. Der er behov for at have test-CPR-numre, som kan bruges i forbindel-se med test af NemID.
Der har vret udtrykt behov for udarbejdelse af en kommunikationsplan tidligt i pro-jektet herunder vejledninger og uddannelsesmateriale p NemLog-in. Fremadrettet vil dette vre et oplagt omrde at stte ind sledes, at tilstrkkeligt vejledningsmate-riale/guides foreligger i god tid inden lancering.
konomi Telefon [email protected] Version
IT 8234 0000 banedanmark.dk
Amerika Plads 15 Direkte Journalnr. Notatskabelon 1.0
2100 Kbenhavn +45 4188 1976 cst140623 Side 1(2)
Notat 27.06.2014
Offentlig hring om nste generation af den nationale identifikations- og digital
signaturinfrastruktur(NemID)
Hermed Banedanmarks bemrkninger til hringen indenfor de angivne temaer:
1. Fremtidige forretningsmssige behov, for henholdsvis
virksomheder, offentlige sektor og borgere i Danmark og udlandet samt
eventuelle juridiske forhold.
Der er for nrvrende ikke forretningsmssige behov for yderligere anvendelse af NemID.
Det nuvrende behov er som flger:
Banedanmark anvender medarbejdersignatur til flgende:
NEM Konto
NEM Refusion
Udbetaling Danmark
CVR
SKAT
Virk.dk
FerieKonto
ATP
Hringsportalen
De nuvrende funktioner anses som dkkende.
2. Funktionalitet og anvendelse, herunder eksempelvis niveaudelt
sikkerhed, lokal administration af autorisation, single sign-on mv.
Muligheden for single sign-on vil vre en lettelse i det daglige i forbindelse med de funktioner, der anvendes i stort omfang. Der er ikke konstateret behov
for strre niveaudeling.
3. Behov for brugervenlighed, herunder forskellige brugeres aktiviteter
fra bestilling til anvendelse og eventuel sprring mv.
Installationen er i dag acceptabel, men det er vigtigt at have fokus p ikke at gre denne funktion mere omstndelig.
Side 2/2
Ud fra en administrationsmssig (LRA) synsvinkel br en fremtidig lsning vre vsentligt mere enkel, mere overskuelig, mere gennemskuelig samt en
kende mere brugervenlig, s brugerne kan flge et enkelt og selvinstruerende
arbejdsflow.
I daglig anvendelse opfattes konceptet som let tilgngeligt. Enkelheden i denne del br fastholdes.
Det skal vre nemt og enkelt gennem hele forlbet, bde ved installation og i daglig anvendelse.
4. Teknik og infrastruktur, herunder eksempelvis adskillelse af eID og
eSignering, single sign-on, sammenhngende IT-arkitektur, sikkerhed mv.
Man br s vidt muligt ikke basere sig p proprietre systemer, produkter eller funktionalitet
Infrastrukturen br opbygges sledes, at single point of failure minimeres
Konsekvenserne ved DDOS-angreb skal minimeres
5. Samspil med interessenter, herunder tjenesteudbydere, administrative
procedurer, sikkerhedsprocedurer mv.
Ingen bemrkninger
6. Fremtidig forretningsmodel, herunder leverandrstyring, support,
betalingsstruktur, en model med flere leverandrer mv.
Ingen bemrkninger
De er velkommen til at vende tilbage, hvis dette giver anledning til yderligere sprgsml.
Med venlig hilsen
Carsten Stenstrm
Informationssikkerhedschef
+45 4188 1976
Hringssvar
Vedr. Offentlig hring om nste generation af den nationale identifikations- og digital
signaturinfrastruktur (NemID)
Afsender Beskftigelsesministeriet
Dato 24. juni 2014
Kre Morten
Beskftigelsesministeriet har ingen bemrkninger til det udsendte hringsmateriale.
Med venlig hilsen Carsten Richter Jensen Specialkonsulent E-mail: [email protected] Direkte tlf.: 72 20 51 65 Besgsadresse: Holmens Kanal 22
Beskftigelsesministeriet
Ved Stranden 8 - 1061 Kbenhavn K
Tlf.: +45 7220 5000
Fax: +45 3314 3108
Sikker e-mail: [email protected]
Hjemmeside: www.bm.dk
| The Ministry of Employment
| Ved Stranden 8 - 1061 Kbenhavn K
| Tlf.: +45 7220 5000
| Fax: +45 3314 3108
| Secure e-mail: [email protected]
| Website: www.bm.dk
DigitaliseringsstyrelsenAtt:MortenJrsum
viaemail:[email protected]
Hringssvarvedrrendenstegenerationafdennationaleidentifikationsogdigitalsignaturinfrastruktur(NemID)
NrDigitaliseringsstyrelsenstrptrsklentilatskullepbegyndearbejdetmeddennstegenerationafNemID,erdetmskeogsvrdatkiggetilbagepnuvrendelsning:
Lsningblevlancereti1.juli2010,hvilketvarkun6dageefterlanceringenafiPhone,...version4.Alligevelskullederg4rprcist,frNemIDssmtblevunderstttetpmobileplatformeidenneuge.
Bankerne,sommedejereaflsningen,indshurtigtbehovetforattilbydekunderneadgangviasmartphones.Sdelsteselvproblematikkenvedattilbydemobileapps,derviasrligeadgangekunnebenyttesigafpapkortettilvalideringaftransaktioner.
Mendetoffentligevarhgtetaf.ArkitekturenforinteraktionmedOCESnglerneiDanID'svaretgterskompleks,atselvidagerdetnogetafenopgaveatftilatkrepenmobiltelefon.OgdervarsletikketnktpatlsningenskullenogetandetendatservicereenJavaappletpenPC.
Etgodtdesignstartermedetgodtfundament.VihbermedflgendeforslagtilenkommendeNemID,atkunneinspireretilhvordanmankunneskabeetsdan.
benprocess
Viermegetgladeforatbliveinviterettilatafgivedettehringssvar.Ogvivilgernevremedendnulngereheniprocessen.Faktiskmenerviatdeteressentieltatprocessenogspecifikationenbliversbensmulig.
Vivilgernevremed.
Helgesensgade 7, st2100 Kbenhavn
Telefon: 89 88 06 78Email: [email protected]
Dato: 27. juni 2014
Opsplitningaffunktionalitet
NemIDeridagenblksprutte.Fordetfrsteerdertaleomtolsningerien,OCESbaseretPKIpdenenesideoglogintilnetbankerpdenanden.Skntdereroverlappendefunktionalitet,erdettomegetforskelligebehovhveraflsningernehar.Forbankernehandlerdetomatminimerekonomisketab,hvorforOCESbaseretPKIhandlerdetomatsikreidentiteter.
Fordetandeterderetmegetasymmetriskforholdtilhvadlsningenkan,iforholdtilhvaddenanvendestil.Vissefunktionaliteterbrugessandsynligvismegetmereendandre.MedenNemIDappletkanmanidagfxunderskrivePDFdokumenter,skntdennefunktionalitetipraksisganskesjldentbliverbrugtafdenalmindeligeborger.DerimodbliverNemIDhyppigtanvendttilatloggeindpeboks.dkellerborger.dk.
VifinderdetderfornaturligtatbyggedenkommendeNemIDopaffleremindrelsninger,efterfilosofien:doonething,doitwell.DettekunnefxbetydeatmanstadigbrugtepapkorttilSSO,menatunderskrifterkrvedeethardwaretokenmedOCESngler.
Dermedkanmanogsreducerebankerenesadgangtilkunatdkkeenafdemindrelsninger,sledesatderesbehovblivertilgodesetudenatdeterheleNemIDsomskalleveoptildisse.
Flerebehovflereudbydere
Vikanikkeforventeatalleborgereogvirksomhederharsammebehov.DerforvildetvrenaturligtatdervillekunnevreflereudbydereafNemIDsomkunnetilpasselsningertilbestemtemlgrupper.Dermedkunneudviklingenforegikonkurrencemedandrelsninger.
Idenforbindelseerdetmskevigtigtatfaststtekravtiludbyderepbaggrundafdenlsningdetilbyder.Someksempel:atenudbydersomudelukkendetilbyderenlsningderminderomNemIDphardware,ikkendvendigvisbehverathavesammekravtiloppetidsomenlsningderminderomdenalmindeligeNemID(dadetikkeerndvendigtatinvolvereudbyderenitransaktioner).
Medvenlighilsen,
ChristianPanton
25. juni 2014
Hringssvar fra CHPCOM-projektet om nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID)CHPCOM-projektet takker for muligheden for at komme med bemrkninger i forhold til nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID).
CHPCOM projektet implementer standarder for sikker kommunikation indenfor energisektoren. Dette er en kritisk forudstning for at vi i Danmark fortsat kan have en stabil el-forsyning i takt med at sektoren automatiseres yderligere og strstedelen af vores energi vil komme fra vedvarende energikilder.
Arbejdet i CHPCOM projektet sker med afst i regeringens Smart Grid strategi og EUs mandater om standardisering i forbindelse med Smart Grid.Det er et flles brancheprojekt med 20 partnere, heriblandt Dansk Energi, Dansk Fjernvarme, Foreningen Danske Kraftvarmevrker, Energinet.dk og EURISCO. CHPCOM er stttet af ForskEL til at fremme de internationale smartgrid relaterede datakommunikationsstandarder, specifikt omkring IEC61850, i den danske energisektor.
I etableringen af en sikker kommunikationsinfrastruktur indenfor energisektoren benyttes der eksisterende infrastruktur i s hj grad det er muligt, men der forudses ogs behov for etablering af ny/udbygning af eksisterende infrastruktur.
CHPCOM-projektet er derfor interesseret i en fortsat dialog om mulige synergier i mellem den nationale identifikations- og digital signaturinfrastruktur og it- og kommunikationsinfrastruktur indenfor energisektoren.
For eksempel, til sikring af kommunikationen i mellem forskellige aktrer indenfor energisektoren er der behov for udstedelse af certifikater til sikring af kommunikationen fra maskine-til-maskine og fra person-til-maskine.
Dette er et omrde der ikke ligger naturligt indenfor det omrde som NemID hidtil har adresseret, nemlig at levere et brugercertifikat, der kan benyttes af danske borgere.
Uanset om det mtte give mening at inkludere maskine-til-maskine-certifikater i den kommende OCES3-infrastruktur br certifikatpolitikkerne i denne infrastruktur understtte samspil med andre certifikatinfrastrukturer, som fx en specifik
25. juni 2014
certifikatinfrastruktur til forsyningssektoren hvor det primrt er kommunikation fra maskine-til-maskine, der skal sikres.
Et sdant samspil kan vre at administratorer, der skal bestille maskine-til-maskine-certifikater kan autenticitetssikres ved hjlp af et NemID medarbejder-certifikat. P denne mde kan udgifter til etablering af en separat lsning til udstedelse af akkreditiver til administratorer undgs.
Dette vurderes dog i dag ikke at vre muligt p grund af flgende afsnit 5.10 og 5.11 i DanIDs tjenesteudbyderaftale:5.10 Certifikater fra DanID m ikke bruges til at generere eller signere Certifikater for andre eller i vrigt danne grundlag for identifikation overfor tredjemand.
5.11 Tjenesteudbyder er indforstet med, at DanIDs ydelser ikke m viderefres eller benyttes til at gennemstille Bruger til anden Tjenesteudbyder, hvorved denne Tjenesteudbyder fr mulighed for at benytte den forudgende autentifikation foretaget med brug af NemID med mindre andet aftales. Aftale om gennemstilling forudstter, at den Tjenesteudbyder, der gennemstilles til ogs har indget en Tjenesteudbyderaftale med DanID, og at der afregnes transaktionsvederlag pr. Bruger. Ved en anden Tjenesteudbyder forsts en virksomhed, institution, organisation med et CVR-nummer, der er forskelligt fra det, som denne Aftale vedrrer.
De ovennvnte begrnsninger vurderes ogs at blokere for mere privacy-venlige lsninger, som vil kunne bygges med afst i NemIDs solide infrastruktur.
Uanset om der arbejdes videre med en multi-leverandr model for nste generation af NemID eller en der ligner den nuvrende model med blot n leverandr af NemID anbefaler CHPCOM-projektet at der ikke blokeres for at kunne danne afledte ngler p basis af et NemID certifikat.
Nu svel som i takt med at CHPCOM-projektet konkretiserer behovene for sikker it- og kommunikationsinfrastruktur indenfor energisektoren indgr projektet meget gerne i yderligere dialog medDigitaliseringsstyrelsen om behov og nsker vedrrende den fremtidige identifikations- og digital signaturinfrastruktur.
Med venlig hilsenP vegne af CHPCOM projektet
Brian Storm GraversenWork Package LeadCHPCOM WP5 Sikkerhed
Hringssvar
Vedr. Offentlig hring om nste generation af den nationale identifikations- og digital
signaturinfrastruktur (NemID)
Afsender Civilstyrelsen
Dato 27. juni 2014
Kre Morten
Vedhftet finder du kopi af hringssvar fra Rigspolitiet, Domstolsstyrelsen, Kriminalforsorgen,
Udlndingestyrelsen og Datatilsynet.
Det bemrkes, at hverken Den Uafhngige Politiklagemyndighed eller Civilstyrelsen har haft
bemrkninger.
Med venlig hilsen
Morten Chjeffer Rasmussen
Fuldmgtig
Budget- og Planlgningskontoret
Slotsholmsgade 10
1216 Kbenhavn K
Tlf. direkte: 7226 8437
Tlf.: 7226 8400
www.justitsministeriet.dk
Hringssvar
Vedr. Offentlig hring om nste generation af den nationale identifikations- og digital
signaturinfrastruktur (NemID)
Afsender Danmarks Rederiforening
Dato 27. juni 2014
Til Digitaliseringsstyrelsen
Danmarks Rederiforening har ikke umiddelbart bemrkninger til de listede hringstemaer, men vil med
interesse flge udviklingen af nste generation af identifikations- og digital signaturinfrastruktur, nr
rammen for en ny lsning er mere konkret.
Med venlig hilsen / Kind regards Stinne Taiger Iv Kontorchef/Head of Division, Lawyer, PhD Danmarks Rederiforening / Danish Shipowners' Association Amaliegade 33 DK-1256 Copenhagen K Tel.: +45 33 11 40 88 / Direct: +45 33 48 92 85 Mobile: +45 51 50 15 85 E-mail: [email protected] www.shipowners.dk
Hringssvar
Vedr. Offentlig hring om nste generation af den nationale identifikations- og digital
signaturinfrastruktur (NemID)
Afsender Dansk Byggeri
Dato 30. juni 2014
Offentlig hring om nste generation af NemID
Dansk Byggeri takker for muligheden for at afgive hringsvar. Vedlagt findes vores svar.
For Dansk Byggeri er det vsentligt, at en fremtidig lsning til brug i virksomheder/erhvervsmssige
sammenhnge er baseret p hj grad af brugervenlig til gavn isr for sm og mellemstore
virksomheder. Det betyder, at bestilling, anvendelse, vedligeholdelse opdatering og ndringer skal kunne
hndteres enkelt og forsteligt, sledes at brugere i sm og mellemstore virksomheder foranlediges til at
anvende lsninger, der opfylder krav til sikkerhed, juridiske aspekter mv.
Den fremtidige lsning skal hermed kunne hndtere de forskellige roller i virksomhedens administration
herunder som ejer/indehaver eller som ansat medarbejder med forskellige funktioner i forhold til
virksomhedens administration og lbende drift med relation til ogs branchemssige administrative krav.
Det er endvidere vigtigt, at den fremtidige lsning er orienteret mod de tekniske muligheder herunder
den stigenede digitalisering og de effektiviseringer, der kunne opst i denne sammenhng ogs mod
lanceringen ultimo 2017 og efterflgende..
Dansk Byggeri forventer endvidere at en national digital identifikations- og signaturinfrastruktur vil kunne
anvendes (oprettelse, drift, support og lbende vedligeholdelse) af virksomheder uden omkostninger for
virksomhederne.
Vi er naturligvis til rdighed for uddybning af ovennvnte.
Venlig hilsen
Jrn Jensen
Udviklingschef
Kursus&Udvikling
Tlf. direkte: 72 16 01 33 Mobil: 40 13 22 03
Vi samler byggeri, anlg og industri
Nrre Voldgade 106 1358 Kbenhavn K
www.danskbyggeri.dk Abonner p nyheder
/JSA
Side 1/4
-
Deres ref.: 2014- 5155-013
Digitaliseringsstyrelsen
Att.: Morten Jrsum
27. juni 2014
Offentlig hring om nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID)
Generelle bemrkninger
NemID har uden tvivl vre med til bane vejen for digitalisering af Danmark. Dels fordi lsningen
for de fleste er nemmere at bruge end den digitale signatur, NemID aflste. Dels i kraft af det bag-
vedliggende samarbejde mellem den offentlige og privat sektor. Brugervenlige lsninger og of-
fentligt/privat samarbejde er vejen frem, ikke mindst i takt med at digital kommunikation bliver
obligatorisk.
En nyt NemID skal stte nye ambitise ml som kan retfrdiggre en gentkning og et nyt ud-
bud af konceptet. De tre r frem til at kontrakten p den nuvrende NemID udlber er lang tid i
teknologir - og hvad der umiddelbart kan opfattes som en fjern tendens i dag, kan vre meget
nrvrende til den tid. Et eksempel er den gede mobilitet, som har vret drftet som tendens i
revis, men hvor der frst er fundet finansiering til lancering af en mobil variant af NemID medio
2014.
Dansk Erhverv hilser det derfor velkomment, at Digitaliseringsstyrelsen indleder arbejdet p et
nyt beslutningsgrundlag med en bred hring. Arbejdet br til stadighed indtnke kommunikation
og bred forankring i en verden, hvor det digitale for lngst er blevet mainstream og Dansk Er-
hverv forventer derfor ogs, at dette blot er frste af flere gange, offentligheden inddrages i sagen.
Specifikke bemrkninger
Dansk Erhverv har flgende bemrkninger til de syv temaer fra Digitaliseringsstyrelsen.
1. Fremtidige forretningsmssige behov, for henholdsvis virksomheder, offentlige
sektor og borgere i Danmark og udlandet samt eventuelle juridiske forhold.
Fremtidens vigtigste infrastruktur er digital og gr via internettet. P grund af internettets bne
og globale natur vil mange diskussioner om standarder mv. vre globale diskussioner. Den tekno-
logiske udvikling betyder, at visionen om et indre marked i EU rykker tttere p virkeligheden.
Internettet gr p tvrs af landegrnser, og s lnge man har en bredbndsforbindelse, kan man
Side 2/4
i princippet etablere virksomhed og samarbejde over landegrnser, ligesom man har mulighed
for at tilbyde sine produkter til et stort europisk marked. Dansk Erhverv nsker en langt hjere
grad af fllesmarkedstnkning og harmonisering p disse omrder.
Ikke mindst virksomheder har behov for lsninger, der fungerer gnidningsfrit p tvrs af natio-
nale systemer. EU har stort fokus p at realisere potentialerne i det digitale indre marked. En del
af dette er get samarbejde og bevgelighed p tvrs af unionen. Dansk Erhverv opfordrer derfor
til at sikre, at en kommende NemID er ajour og foreneligt med udviklingen af tilsvarende syste-
mer i resten af unionen.
Fuldmagtslsninger br indarbejdes p tvrs af lsninger, s en borger kan give en medborger en
begrnses fuldmagt fx afgrnset i tid eller til bestemte selvbetjeningslsninger. Det stiller ikke
kun krav til udformningen af selve NemID, men ogs til alle de myndigheder der integrerer ls-
ninger med NemID.
2. Funktionalitet og anvendelse, herunder eksempelvis niveaudelt sikkerhed, lokal
administration af autorisation, single sign-on mv.
Et springende punkt ved overgangen til NemID var den centrale opbevaring af nglefiler. Papkor-
tet (og senere den digitale ngleviser) er en pragmatisk lsnings, der tilgodeser brugervenlig-
hed. Fremadrettet br NemID kunne tilbydes, s brugeren (borgere, organisationen, virksomhe-
den) har mulighed for selv at opbevare nglefilen. For centralt placerede ngler er der selvsagt
behov for hjeste sikkerhed med brug af robuste teknologier og procedurer.
Virksomhedsforum (enklereregler.dk) behandler lbende udfordringer om samspillet mellem
virksomheder og den offentlige sektor, og har haft flere drftelser med relation til NemID. Flere af
de behandlede forslag har ikke (eller kun delvist) kunne gennemfres inden for rammerne af det
eksisterende NemID. Disse emner kan med fordel tages op til fornyet overvejelse.
Eksempelvis har man i dag een NemID (eet papkort) pr. person og CVR-nummer. Det betyder, en
person, der driver tre virksomheder i dag skal bruge tre forskellige NemID-nglekort til sine virk-
somheder, samt et i rollen om borger. Her ville det vre hensigtsmssigt, at man med n og
samme identitet kan administrere flere virksomheder (flere CVR-numre og roller). Se virksom-
hedsforum, forslag 239.
3. Behov for brugervenlighed, herunder forskellige brugeres aktiviteter fra bestil-
ling til anvendelse og eventuel sprring mv.
Hidtidige erfaringer har vist, at man nrmest kun kan undervurdere betydningen af brugerven-
lighed og genkendelighed p tvrs af lsninger. Brugerne af NemID er ogs brugere af store
kommercielle tjenester, som investerer massivt i brugervenlighed som konkurrenceparameter el-
ler prmis for overhovedet at have en rolle p markedet. Brugerne tager derfor hje forventnin-
ger til brugervenlighed med sig med strste selvflgelighed, nr de mder offentlige lsninger.
Side 3/4
Implementeringen af Digital Post til erhverv pr. 1. november 2013 viste, at der stadig er plads til
forbedringer ift. udvikling og brugervenlighed, og at der skal afsttes betydelige ressourcer til
opmrksomhedsskabende aktiviteter og support ved implementering (se Virksomhedsforum,
forslag 237). Fx finder flere enmandsvirksomheder det kontraintuitivt at skulle udstede en med-
arbejdersignatur til sig selv (se Virksomhedsforum, forslag 240).
4. Teknik og infrastruktur, herunder eksempelvis adskillelse af eID og eSignering,
single sign-on, sammenhngende IT-arkitektur, sikkerhed mv.
I dag er NemID nglen til alting med samme sikkerhed i alle lsninger. I takt med at mere og
mere kommunikation foregr digitalt ikke bare mellem virksomheder og det offentlige, men
mellem borgere, virksomheder og myndigheder p tvrs stiger behovet for forskellige grader af
sikkerhed, alt efter hvilken selvbetjeningslsning eller kommunikation der er tale om. En fremti-
digt NemID br derfor designes til at levere sikkerhed fra niveau lukket kuvert til niveau Fort
Knox.
Tendenser der kan synes fjerne i dag, kan blive dagligdag for borgerne og forretningskritisk for
virksomheder og offentlige myndigheder p kort tid. F snakkede om smartphones og det mobile
internet i 2007, men det har som bekendt for lngst fet sit folkelige gennembrud, hvor det frem-
str utidssvarende, at offentlige it-lsninger ikke for lngst har fulgt med. En kommende NemID
skal derfor kunne benyttes p tvrs af platforme hardware svel som software. Der br s vidt
muligt anvendes bne standarder, der ogs fremadrettet understtter (ogs kommende) platfor-
me, kommunikation med endnu ukendte tjenester, eller systemer i andre lande. Det kunne for ek-
sempel blive relevant inden for sundhedsteknologier (Quantified Self) og the internet of things.
I medieomtaler af identitetstyveri har der ind i mellem hersket uklarhed og sket sammenblanding
af identitetstyveri og svindel med betalingskort, lige som der er set regulatoriske tiltag omkring
CPR med tvivlsom effekt. Diskussionen om en kommende NemID kan forhbentlig vre medvir-
kende til at rydde op i misforstelser fx misopfattelsen af CPR-nummeret som en slags kodeord,
eller tanken om, at NemID skulle vre lsningen p alt, herunder ogs ved almindelig handel. Se
Dansk Erhvervs Lsningsforslag til kampen mod identitetstyveri.
5. Samspil med interessenter, herunder tjenesteudbydere, administrative
procedurer, sikkerhedsprocedurer mv.
NemID har vret ramt at nogle uheldige driftsforstyrrelser. I takt med at brugen og afhngighe-
den stiger, har disse uregelmssigheder bevget sig fra at vre irritationsmomenter til at udgre
reelle problemer. Een ting er kontrakter og bodsbestemmelser; noget andet er daglig praksis. Der-
for br beslutningsgrundlaget for den kommende NemID indeholde overvejelser om ndlsnin-
ger ved de driftsforstyrrelser, som selvflgelig ikke m ske, men som ikke desto mindre forekom-
mer i den praktiske virkelighed.
6. Fremtidig forretningsmodel, herunder leverandrstyring, support, betalings-
struktur, en model med flere leverandrer mv.
Side 4/4
Der ligger udfordringer i sprgsmlet om, hvorvidt en kommende NemID skal udbydes af en eller
flere leverandrer. P den ene side str nsket om konkurrenceudsttelse med flere leverandrer
(pris, innovation), og p den anden side behovet for at sikre tilstrkkelig volumen til at der kan
drives en rentabel forretning p en kommende NemID, som holdes ajour ift. sikkerhed og nye
funktioner. Uanset fremtidens brug af NemID er lsningen afgrnset til omkring fem millioner
danskere, hvad enten de er i rollen som borgere, organisationer eller virksomheder. I lighed med
IT-Branchen vil Dansk Erhverv derfor opfordre til, at man undersger eksempelvis engelske erfa-
ringer med en flerleverandrlsning.
7. Andre bemrkninger
-
Med venlig hilsen
Janus Sandsgaard
Chefkonsulent
Bredgade 25 A I DK 1260 Kbenhavn K I Tlf +45 3311 1560 I [email protected] I www.dit.dk I CVR 8397 3315
Vedr. Offentlig hring om nste generation af den nationale identifikations- og digital
signaturinfrastruktur (NemID)
Digitaliseringsstyrelsen har den 28. maj 2014 ivrksat en hring med henblik p at indhente input til
nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID).
DANSK IT har en rkke observationer vedrrende den nuvrende NemID-lsning. Disse indgr
sammen med en rkke anbefalinger i hringssvaret nedenfor.
En helt indledende bemrkning er, at det vil vre ndvendigt at gre det ganske klart, hvorfor der
er behov for en aflser for NemID. Trods begyndervanskeligheder og visse kritikpunkter er NemID
ved at blive bredt accepteret og forstet af det offentlige, virksomheder og ikke mindst
befolkningen, s de ndringer, der mtte blive introduceret, skal kunne opfattes som klare
forbedringer bredt i befolkningen for at modvirke en generel modstand mod den digitale udvikling.
Et vsentligt sprgsml som vi dog ikke tager endelig stilling til i dette hringssvar er, hvorvidt
der skal skabes et marked med flere udbydere af den nste generation af den nationale
identifikations- og digital signaturinfrastruktur, eller om der alene skal vre n (offentlig) udbyder.
Det er p den ene side et sprgsml om at sikre en samfundsmssig kontrol over den essentielle
infrastruktur og p den anden side sikre en markedsbaseret udvikling, der fremmer innovation og
sikrer konkurrence om at levere tidssvarende lsninger, der til stadighed modsvarer borgernes,
erhvervslivets og den offentlige sektors behov. Basalt set handler det om at lgge det rigtige snit i
forhold til hvilken del af infrastrukturen, der skal vre centralt kontrolleret, og hvilke dele, der kan
underlgges konkurrence. Det er under alle omstndigheder en diskussion, som DANSK IT
opfordrer Digitaliseringsstyrelsen til at give stor opmrksomhed i det videre arbejde.
27.juni 2014
Til Digitaliseringsstyrelsen Att. Morten Jrsum [email protected]
Bredgade 25 A I DK 1260 Kbenhavn K I Tlf +45 3311 1560 I [email protected] I www.dit.dk I CVR 8397 3315
1. Fremtidige forretningsmssige behov
Traditionelt har cpr-nummeret vret anvendt som et middel til unik identifikation og i visse
tilflde ogs autentifikation af en borger/bruger. Udviklingen de senere r og de mange sager,
hvor cpr-numre enten er lkket eller misbrugt, understreger behovet for udvikling af en
sikkerhedsmssig robust og holdbar lsning, der unikt identificerer den enkelte borger. Lsningen
br som default indeholde forskellige sikkerhedsniveauer og privatlivsbeskyttelse og samtidig vre
enkel at bruge.
DANSK IT anbefaler at orientere sig p europisk plan for at vurdere, om Danmark br forholde sig
til lsninger og trends der og som minimum sikre kompatibilitet med andres europiske
identitetssystemer.
Mulighed for delvis eller trinvis anonymitet: Der er situationer, hvor det kan vre nskvrdigt at
vre delvist anonym; fx kan der vre funktioner, hvor det kun er f oplysninger om brugeren, som
er ndvendige for at blive tilladt adgang til en bestemt funktion. Ved de fleste ehandels-
transaktioner vil der for eksempel alene vre behov for at sikre valide adresseinformationer.
2. Funktionalitet og anvendelse
Borgerne bliver mere og mere mobile, og forventer en strre og strre grad af personalisering. Det
betyder for det frste, at en kommende udgave af NemID funktionelt skal vre markant lettere at
anvende, nr den skal bruges p farten.
Derudover br der opbygges en form for trappe eller trinvis inddeling af autentifikationen, sledes
at man med f login-oplysninger kan tilg almindelige personlige oplysninger og at det frst er nr
srligt personflsomme oplysninger skal prsenteres, eller der skal foretages vsentlige
transaktioner, man skal bruge hjeste sikkerhedsniveau. Alts mulighed for differentierede
sikkerhedsniveauer og privatlivsbeskyttelse. Det br fremg, hvilket sikkerhedsniveau der er valgt
for en specifik kommunikation. Der br i videst muligt omfang gives brugeren mulighed for selv at
vlge sikkerhedsniveau, hvis det kan sikres, at der sker et oplyst valg p basis af en afvejning af
sikkerhed kontra bekvemmelighed.
Det skal desuden vre nemt at anvende lsningen p nye typer af enheder, hvad enten det mtte
vre fremtidens intelligente kleskabe, stvsugere, tv, telemedicinsk udstyr etc.
Bredgade 25 A I DK 1260 Kbenhavn K I Tlf +45 3311 1560 I [email protected] I www.dit.dk I CVR 8397 3315
Interfacet skal vre nemt at forst, s brugeren nemt kan overskue hvad han giver vk af
information.
Der br vre andre to-faktor autentikationsmekanismer end nglekort og password.
Borgerens digitale identitet br tilhre borgeren p samme mde som et pas til traditionel
identifikation. Det vil sige, at man br kunne autentificere sig over for en tredjepart og eventuelt f
etableret afledte identiteter uden at dette bliver registreret hos udstederen og uden at der kan
opkrves gebyr herfor i srdeleshed gebyrer for brug af afledte identiteter.
NemID til medarbejderbrug br hndteres som tilknyttede roller (attributter) for personen. Det vil
gre brugen lettere for personer med mange roller.
3. Behov for brugervenlighed
Det er vigtigt at den kommende lsning understtter brugere med srlige behov, fx i forbindelse
med handicap, uanset om det er en borger eller en offentligt ansat medarbejder.
I den forbindelse m der ogs tages hensyn til problemstillinger omkring fuldmagt og delegering,
hvor der eksempelvis br vre mulighed for at delegere rettigheder til begrnsede forml til
familiemedlemmer eller andre. Derved kan det undgs, at personer generelt udleverer hele deres
NemID-credentials til andre.
Det br vre muligt at kunne foretage en sprring online, hvis der er mistanke om misbrug.
Endvidere br lsningen kunne stilles til rdighed for brn og unge og tilgodese deres behov for
login i forbindelse med skoleplatforme, eksamener, bus- og tog-kort, bankkonti m.v.
I takt med at et bredere spektrum af tjenester m forventes at benytte en fremtidig id- og
signaturlsning, br det ogs fra begyndelsen gres muligt, at personer med kortvarig tilknytning til
Danmark fx turister, expats og udvekslingstuderende kan tilbydes adgang til lsningen p en
administrativ enkel og omkostningseffektiv mde.
Bredgade 25 A I DK 1260 Kbenhavn K I Tlf +45 3311 1560 I [email protected] I www.dit.dk I CVR 8397 3315
4. Teknik og infrastruktur
Den nye generation af Nemid br vre uafhngig af platforme og sledes kunne fungere p alle
kendte, relevante platforme.
Adskillelse af eID og eSignering vil vre at foretrkke. Desuden synes det ogs at vre
sikkerhedsmssigt hensigtsmssig at skelne mellem den digitale identifikation og de situationer,
hvor borgeren eller brugeren skal underskrive digitalt.
Systemet br konstrueres sledes at (avancerede) brugere har mulighed for at f fuldkommen
kontrol over deres eget nglemateriale.
Man br undersge muligheden for at introducere et sikret hardware-modul, som kan vise den
transaktion, man er ved at godkende/signere. Dette vil vanskeliggre man-in-the-middle-angreb,
som har vist sig at vre en udfordring ved det eksisterende system.
Lsningen br i videst muligt omfang benytte bne standarder blandt andet for bedre at kunne
interagere med kommende teknologier og standarder.
Den nye version af NemID skal vre robust over for kompromittering, sledes at de personlige
oplysninger, som bruger afgiver ved anvendelse af NemID, ikke kan anvendes af uvedkommende.
Der skal planlgges for, at lsningen kan kompromitteres p centralt hold uden tab af fortrolighed
og integritet. Dette kan eksempelvis opns ved at kryptere lagrede oplysninger og opretholde en
effektiv og robust adgangskontrol.
5. Samspil med interessenter
Det br vre et krav, at en anden offentlig myndighed end Digitaliseringsstyrelsen godkender
sikkerhedsdesign og implementering i den nste generation af NemID som valideringsmekanisme i
forhold til offentlige systemer.
Isr det private marked har behov for lsninger, der fungerer interoperabelt og brugervenligt p
tvrs af nationale grnser.
Bredgade 25 A I DK 1260 Kbenhavn K I Tlf +45 3311 1560 I [email protected] I www.dit.dk I CVR 8397 3315
I forhold til organisering har Se og Hr-sagen senest illustreret vigtigheden af organisatoriske
sikkerhedsrutiner m.v. Derfor br der i forbindelse med driften af systemerne stilles krav, som
eksempelvis indebrer, at
samme person m ikke have adgang til mere end t system
hardware til hvert kritisk system skal fysisk vre beskyttet og uafhngig af hardware til
andre kritiske systemer
kritiske funktioner skal involvere mindst to personer
Digitaliseringsstyrelsen gennemfrer egen kontrol med leverandrens it-sikkerhedspraksis
6. Fremtidig forretningsmodel
Ingen srlige bemrkninger til dette punkt men se det indledende afsnit om samfundsmssig
kontrol og skabelse af marked.
7. Andre bemrkninger
Det br helt generelt holdes for je, at den nye generation af NemID br vre s robust og plidelig,
at borgernes tillid til den offentlige, digitale infrastruktur kan bibeholdes.
Desuden br etableringen af lsningen vre baseret p en bevidsthed om, at der er en get
hastighed i udviklingen af bde tjenester, services og brugsscenarier. Det er eksempelvis en
konsekvens af udbredelsen af Internet of Things og et tilhrende behov for rettighedsstyring. Det
stiller nye krav til mulighederne for lbende at tilpasse lsningen, s den understtter udviklingen
frem for at blive betragtet som en klods om benet.
Med venlig hilsen Anders Sparre politisk chef
Blekinge Boulevard 2 2630 Taastrup, Danmark Tlf.: +45 3675 1777 Fax: +45 3675 1403 [email protected] www.handicap.dk
DHs medlemsorganisationer: ADHD-foreningen Astma-Allergi Danmark Danmarks Blderforening Danmarks Psoriasis Forening Dansk Blindesamfund Danske Dvblindes Fllesreprsentation Dansk Epilepsiforening Dansk Fibromyalgi-Forening Dansk Handicap Forbund Dansk Landsforening for Laryngectomerede - Strubelse Danske Dves Landsforbund Diabetesforeningen Foreningen af Stammere i Danmark Gigtforeningen Hjernesagen Hjerneskadeforeningen Hreforeningen Landsforeningen Autisme Landsforeningen LEV Landsforeningen Sind Landsforeningen til Bekmpelse af Cystisk Fibrose LungePatient.dk Muskelsvindfonden Nyreforeningen Ordblinde/ Dysleksiforeningen i Danmark Osteoporoseforeningen Parkinsonforeningen PTU - Landsforeningen af Polio-, Trafik- og Ulykkesskadede Sammenslutningen af Unge Med Handicap Scleroseforeningen Spastikerforeningen Stomiforeningen COPA
Til
Digitaliseringsstyrelsen,
e-mail: [email protected]
Taastrup, den 27. juni 2014 Sag 6-2014-00357 Dok. 162734 SL /mol/kft
Hringssvar: Offentlig hring om nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID)
Danske Handicaporganisationer (DH) har flgende bemrkninger til tema 3, Behov for
brugervenlighed:
I forbindelse med nste generation af NemID er det vigtigt, at der tages hjde for
tilgngelighed for personer med handicap allerede fra udarbejdelsen af
kravspecifikationerne. NemID skal ogs kunne benyttes af personer med handicap, hvoraf
nogle bruger srligt tilpassede it-programmer. I udviklingsfasen skal man stille krav om
tilgngelighed og henvise til de eksisterende standarder og retningslinjer. I de tilflde, hvor
der ikke findes standarder eller retningslinjer, skal behovene om tilgngelighed afdkkes
ved at inddrage personer med handicap og tilgngelighedseksperter i processen.
Tilgngelighed er vigtig for mange forskellige grupper af personer med handicap,
heriblandt personer med fysiske, kognitive og kommunikationsmssige handicap.
Hvor der er behov for det, skal der udvikles srlige lsninger for personer med handicap.
Dette behov skal afdkkes i samarbejde med handicaporganisationerne, der skal inddrages
lbende i dette arbejde. De nuvrende alternative lsninger har langtfra dkket de behov,
personer med handicap, der tidligere har vret selvhjulpne, er stdt p. F.eks. har hardware-
lsningen, der bl.a. skulle vre en lsning for mennesker med handicap, vist sig ikke at
vre brugbar, da man allerede i forbindelse med installationen stder ind i netop de
problemer, som man ogs mder, nr man bruger et almindeligt nglekort. Derudover
fungerer denne lsning kun p de offentlige lsninger og ikke bankernes. Desuden har
hardware-lsningen vre forbundet med en ekstra udgift for den enkelte borger. Derfor er
en mere simpel (og gratis der skal ikke vre en ekstra udgift alene fordi man har et handicap) ndvendig.
Desuden er det ikke muligt, at f et nyt login, hvis man ikke kan huske sit login. Hvis der
skrives forkert tre gange, m der i stedet bestille en ny, med de omkostninger der er
forbundet med dette.
2
Adgang til NemID for personer med handicap er afgrende for, at alle bliver inkluderet i det
digitale samfund, vi alle skal vre en del af med bl.a. obligatorisk digitalisering og digital
post. Den nuvrende NemID-lsning rummer en del udfordringer, som IT- og Telestyrelsen
for nogle r siden identificerede gennem en arbejdsgruppe, nedsat til formlet. Vi vedlgger
den afsluttende rapport. F.eks. br det vre muligt, at nglekort kan modtages elektronisk,
da det vil give personer med handicap mulighed for at benytte kompenserende programmer
som zoom og talesyntese til at aflse og anvende nglekortet.
Disse udfordringer skal lses i den nste generation af NemID, s den bliver tilgngelig for
alle.
Skulle ovenstende give anledning til sprgsml, kan disse rettes til chefkonsulent, Monica
Lland, p tlf.: 3638 8524 eller e-mail: [email protected].
Med venlig hilsen
Stig Langvad Formand
N O T A T
Bilag A: Regionernes visionsoplg for NemID
Resum
Regionerne ser frem til et konstruktivt og effektivt samarbejde om udbudspro-
cessen for NemID, som isr br fokusere p lokale forretningsbehov.
Regionernes formelle indspil udgres af nrvrende visionsoplg samt lben-
de deltagelse i workshops, hringer og ad hoc henvendelser. Det undersges
endvidere, om der er grundlag for indstationering i Digitaliseringsstyrelsen.
Baggrund
Regionerne har gennemfrt en flles opsamling om den nuvrende NemID-
lsning som led i forberedelsen af udbudsprocessen. Erfaringsopsamlingen fo-
kuserer p 1) velfungerende elementer i NemID, som br viderefres og 2) op-
lagte omrder til forbedring. Dette visionsoplg udgr en uddybning af erfa-
ringsopsamlingen samt regionernes formelle svar p den offentlige hring om
nste generation af den nationale identifikations- og digital signaturinfrastruk-
tur (NemID).
Lsning
Nedenfor opsamles regionernes indspil til udbuddet af NemID.
Velfungerende elementer i det nuvrende NemID
Regionerne kvitterer for den stabile og gensidigt forpligtende offentligt/private
forretningsmodel for det nuvrende NemID. Forretningsmodelen br fortsat
inkludere bankerne og udbygges med eventuel inddragelse af telesektoren og
forsikringsselskaberne. Endelig har ogs den tekniske model vist sig at vre
velfungerende over lngere tid sidelbende med udviklingen i den nationale og
lokale digitale infrastruktur.
Temaer for et kommende NemID
16-06-2014
Sag nr. 14/413
Aleksander Bjerrum
Tel. 35 29 84 90
E-mail: [email protected]
Side 2
Det er vigtig med en overordnet diskussion af de styrende temaer for et kom-
mende NemID, eksempelvis forholdet mellem staten som udbyder af infra-
struktur og lokale virksomheder som indkbere af services, markedsbaserede
modeller samt drftelser af sikkerhed. Helt centralt for det nste NemID er at
forholde sig til at lave en struktur for en lsning, der i princippet skal virke
frem til 2024 og matche forskellige tekniske forml p en gang. Endelig er det
vigtigt med en drftelse af sikkerhedsdagsordenen, isr i lyset af den politiske
bevgenhed p omrdet.
Nste generation af NemID skal skaleres til at rumme store virksomheder og
br bringe brugerne tttere p Bring Your Own Device-konceptet, hvor Ne-
mID i et strre omfang er platformsuafhngig og kan anvendelse p mobile
enheder.
Leverandrkontakt og styring
Betalingsstrukturen skal leve op til gngse standarder for gennemsigtig
og konomisk rimelig fakturering og det skal vre muligt at flge
hndteringen af sin henvendelse.
Leverandren af et kommende NemID skal forpligtes p konkrete ser-
viceml for den tekniske lsning, herunder isr oppetider, fejlhndte-
ring, lsningstider og lovrelaterede ndringer. Servicemlene, og op-
flgningen herp, forvaltes i samarbejdsmodel om drift og vedligehold
af fllesoffentlig infrastruktur.
Der br i den nye model rettes et strre fokus p brugervenligheden i
administrationen/hndteringen af NemID. Der mangler vigtige og for-
bedrede elementer som statistik-modul, visnings-modul og fejlhndte-
rings-modul.
Serviceml skal ses i sammenhng med centrale opdateringer og evt.
afledte lokale behov for at indkbe hjlpeprogrammer. Fx bruger den
nuvrende NemID programmeringssproget Java. Den nste javaopda-
tering fungerer ikke p Windows XP, som mange regioner fortsat bru-
ger. Det betyder, at regionerne m speede opgradering af anden soft-
ware op.
Den samlede lsning med al ndvendig dokumentation til udvikling,
implementering og drift skal vre offentliggjort og tilgngelig mindst
6 mneder fr en planlagt idriftsttelse.
Store organisationer, som regionerne, har brug for en bedre adgang til
udvikling, support og service end en hotline. Hver region br have sin
formelle kontaktperson hos leverandren med hurtig adgang samt mu-
lighed for at pvirke udviklingen af services i forbindels med styringen
og opflgningen af leverancer.
Side 3
Den fremtidige supportorganisation br flge 24/7/365-konceptet.
Planlagte rlige releases samt release-notes br tilg alle kunder
Lokal forankring
Et nyt NemID skal understtte fleksibel og effektiv lokal administration
af autorisation, herunder masseudstedelse og straksoprettelse. Eksem-
pelvis er der i dag udfordringer ved vikar- og nyansttelser, hvor der er
behov for straksopretning.
Der br vre bedre muligheder for test, herunder flere testmiljer, ud-
vikling, kvalitetstest, staging og undervisning.
Lsningen skal forholde sig til forskellen mellem autentificering og
bemyndigelse med tanke for det store behov for at kunne hndtere flere
sikkerhedsniveauer lokalt ligesom dobbelt-sikring br undgs.
Der br fastholdes en sammenhng mellem autentifikation og signatur,
sledes at den en funktionalitet ikke kan eksistere uden den anden
Autentifikation og bemyndigelse skal vre synkroniserede, s de udl-
ber p samme tid.
Det skal vre muligt for store virksomheder at have en super-
administrator som kan opstte administrator rettigheder for grupper af
administratorer.
Anvendelsen af NemID skal genere grundlag for ledelsesinformation.
Det drejer sig eksempelvis om statistikker. Eksempelvis kan det vre
mulighed for at se p antallet af brugere og gruppering af brugere ude-
fra kriterier og tid. Desuden skal det i statistiklister vre muligt med
hjere detaljegrad p specifikke dataelementer.
Implementeringen af NemID skal tage hjde for omfanget af system-
tekniske konksekvenser i lokale systemer. Dette er isr med tanke p,
at lsningen skal indtnkes i systemets arkitektur.
Behov for strre handlefrihed til anvendelse p forskellige platforme,
herunder diverse gngse tablets og smartphones, fx IOS, Andriod,
Windows Phone / Surface mv.
Der br findes en lsning, s udenlandske ansatte har mulighed for at
benytte tjenester, der er anvendes med NemID.
get mulighed for integration med andre offentlige instanser.
Teknik og infrastruktur
Mulighed for single signon (afdkning af srligt tekniske og juridiske
aspekter i ny digital signatur).
Yderligere udbygning/mulighed for anvendelse af web-services
Side 4
Overvgning, monitorering og display af aktuel status af web-services
fra leverandrens side
Udviklingen af fremtidig NemID br flges af et overordnet arkitektur-
rd, s der sikres compliance med andre nationale/regionale systemer.
Fderationslsninger br udbygges til brug for regioner og kommuner.
Der br arbejdes p en yderligere understttelse af fderationslsningen
i NSP. Adgang til relevante statslige systemer og fllesregionale sy-
stemer skal flyttes til adgang via NSP.
Afhngigheder (juridiske mv.)
Der skal laves centrale retningslinjer, for hvornr der skal bruges med-
arbejder-, funktions- eller virksomhedssignatur.
Ved e-mail af 28. maj 2014 har Digitaliseringsstyrelsen anmodet om Datatil-
synets eventuelle kommentarer til hring om nste generation af den nationa-
le identifikations- og digital signaturinfrastruktur (NemID).
Hringen indeholder ingen nrmere beskrivelse af en kommende lsning.
Digitaliseringsstyrelsen har imidlertid i overskriftsform angivet en rkke temaer,
indenfor hvilke styrelsen nsker bemrkninger.
I den anledning skal Datatilsynet fremkomme med flgende overordnede be-
mrkninger:
1. Datatilsynet skal generelt understrege, at den til enhver tid gldende per-
sondatalovgivning skal iagttages i forbindelse med udstedelsen af signaturen.
Efter Datatilsynets opfattelse ligger ansvaret for, at sikkerheden i den nye
lsning er tilstrkkelig hj, hos svel Digitaliseringsstyrelsen som en evt.
kommende leverandr.
2. Herudover skal persondatalovgivningen iagttages, nr signaturen bruges
hos myndigheder og virksomheder f.eks. i selvbetjeningslsninger for bor-gerne eller ved medarbejderes log-in til myndigheders eller virksomheders
systemer.
3. Datatilsynet kan generelt pege p flgende regler i persondataloven:
Grundbetingelserne i persondatalovens 5 om god databehandlings-skik, saglighed, proportionalitet, datakvalitet og sletning.
Behandlingsbetingelserne i persondatalovens 6 om almindelige per-sonoplysninger, 7 og 8 om flsomme personoplysninger samt 11
om personnumre.
Reglerne om de registreredes personers rettigheder i kapitel 8-10, her-under.
o Den dataansvarliges oplysningspligt ved modtagelse/indsamling af oplysninger, jf. persondatalovens 28 og 29.
o Den registreredes ret til indsigt og vrige rettigheder.
Digitaliseringsstyrelsen
Landgreven 4
Postboks 2193
1017 Kbenhavn K
Sendt til: [email protected]
25. juni 2014 Vedrrende hring om nste generation af den nationale identidikations-
og digital signaturinfrastruktur (NemID) Datatilsynet Borgergade 28, 5. 1300 Kbenhavn K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail [email protected] www.datatilsynet.dk J.nr. 2014-122-0597 Sagsbehandler Trine Cseh-Lessel Direkte 3319 3219
2
Reglerne om datasikkerhed i 41 og 42 kravet om forndne sikker-hedsforanstaltninger, skriftlig databehandleraftale og kontrol med data-
behandleren.
De nrmere krav i sikkerhedsbekendtgrelsen, hvis den dataansvarlige er en offentlige myndighed, samt eventuelle sikkerhedskrav i vilkr fra
Datatilsynet, hvis den dataansvarlige er en privat virksomhed.
Reglerne om anmeldelse til og tilladelse/udtalelse fra Datatilsynet i ka-pitel 12 og 13 samt reglerne om tilladelse fra Datatilsynet i bl.a. 27,
stk. 4.
4. Beskyttelsen af personoplysninger og privatliv br efter Datatilsynets op-
fattelse indg som en integreret del af systemudviklingen. Databeskyttelsen
skal indbygges i lsningen fra en start. Der br i den forbindelse tages hensyn
til, at forskellige brugere kan have forskellige nsker og behov i forhold til
brug af tjenesten, og der br etableres valgfrihed for brugerne, hvor dette er
relevant.
Datatilsynet skal i den forbindelse anbefale, at der foretages en analyse af
konsekvenserne for privatlivet (PIA) i forhold til den ptnkte nationale iden-
tifikations- og digital signaturinfrastruktur.
5. Datatilsynet skal endvidere pege p de elementer, der indgr i Kommissio-
nens forslag til databeskyttelsesforordning1.
Datatilsynet kan umiddelbart fremhve flgende elementer fra forslaget:
Retten til dataportabilitet (artikel 18). Princippet om ansvarlighed (artikel 22). Indbygget databeskyttelse og databeskyttelse gennem indstillinger (arti-
kel 23).
Kravet om dokumentation (artikel 28). Konsekvensanalyse vedrrende databeskyttelse (artikel 33). Forudgende godkendelse og forudgende hring (artikel 34).
Det er uvist, hvordan reglerne bliver i deres endelige udformning. Datatilsynet
skal derfor foresl, at Digitaliseringsstyrelsen flger udviklingen og tager
skridt til at sikre, at nste generation af den nationale identifikations- og digi-
tal signaturinfrastruktur (NemID) kan leve op til de kommende regler, nr de
engang trder i kraft.
Med venlig hilsen
Lena Andersen
Kontorchef
1 Com(2012) 11 final. Forslag til EUROPA-PARLAMENTETS OG RDETS FORORD-
NING om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger
og om fri udveksling af sdanne oplysninger (generel forordning om databeskyttelse).
Hringssvar
Vedr. Offentlig hring om nste generation af den nationale identifikations- og digital
signaturinfrastruktur (NemID)
Afsender Den Uafhngige Politiklagemyndighed
Dato 27. juni 2014
Kre Morten
Vedhftet finder du kopi af hringssvar fra Rigspolitiet, Domstolsstyrelsen, Kriminalforsorgen,
Udlndingestyrelsen og Datatilsynet.
Det bemrkes, at hverken Den Uafhngige Politiklagemyndighed eller Civilstyrelsen har haft
bemrkninger.
Med venlig hilsen
Morten Chjeffer Rasmussen
Fuldmgtig
Budget- og Planlgningskontoret
Slotsholmsgade 10
1216 Kbenhavn K
Tlf. direkte: 7226 8437
Tlf.: 7226 8400
www.justitsministeriet.dk
Hring vedr. nste generation digital signatur DI og DI ITEK takker for henvendelsen af 28. maj 2014 vedrrende hring af "nste
generation af den nationale identifikations- og digital signaturinfrastruktur (NemID)".
Vi har i den anledning flgende bemrkninger til forslaget.
Overordnet er det vigtigt, at den fremtidige lsning er baseret p strst mulig konkur-
rence p markedet, fungerer p tvrs af platforme og hardware, kan anvendes internat i-
onalt, er let at administrere, er fleksibel for brugerne og kan justeres til den internati o-
nale udvikling.
Det er vigtigt, at lsningen er anvendelig til en lang rkke forskellige forml fra digit a-
le selvbetjeningslsninger i det offentlige til autentifikationstjenester p private inte r-
nettjenester, og for bde borgere og medarbejdere i virksomheder og offentlige myn-
digheder.
Endelig er det vigtigt, at Digitaliseringsstyrelsen i det fremtidige arbejde med nste
generation digital signatur sikrer sig en bred opbakning fra de danske aktrer, og de r-
med fr lavet et solidt grundlag for det kommende udbud.
De mere detaljerede bemrkninger flger den struktur, som Digitaliseringsstyrelsen har
foreslet i hringsbrevet.
Fremtidige forretningsmssige behov
1. Pseudonymer og afledte identiteter
Den fremtidige lsning br bne op for en fleksibel anvendelse af attributter, s den
muliggr forskellige typer af anvendelse i bde offentlige og private tjenester . Lsnin-
gen br sledes tillade, at enkeltstende attributter kan anvendes til at sikre brugeren
anonymitet - f.eks. ved alene at autentificere at brugeren er over 18 r. Lsningen br
ligeledes kunne anvendes sledes, at brugeren fleksibelt kan anvende attributter i en
konkret situation og dermed kan oprette afledte identiteter eller pseudonymer.
2. Videregivelse af identiteter
Digitaliseringsstyrelsen
Att.: Morten Jrsum
Landgreven 4
Postboks 2193
1017 Kbenhavn K
18. juni 2014
HEM
Det er vigtigt, at der fastholdes en sikker initial identifikationsproces guidet af sikre
processer og kontroller. P baggrund af den sikre initiale identitet br brugeren let kun-
ne videregive eventuelle afledte identiteter til andre identity management services.
Anvendelsen af afledte identiteter br ikke kunne registreres af den oprindelige udby-
der, ligesom denne ikke br kunne tage betaling for anvendelsen af afledte identiteter.
3. Kompatibilitet med eksisterende identity management systemer
Der er p den globale markedsplads en massiv konkurrence om at tilbyde identity ma-
nagement for brugerne. Der er tilsvarende blandt brugerne vidt forskellige rsager til at
have tillid til de forskellige serviceudbydere. Den fremtidige lsning br tage hjde for
denne situation og sikre en hj grad af kompatibilitet med eksisterende identity mana-
gement-systemer.
4. Kompatibilitet med eksisterende standarder
Danmark br ikke lse sig fast p en national lsning, der ikke kan finde global anven-
delse. Lsningen br derfor vre baseret p og vre kompatibel med internationale b-
ne standarder p omrdet. Dette er vsentligt for svel brugernes anvendelse af og ti l-
lid til lsningen som udbydernes muligheder for at agere p et globalt marked.
Funktionalitet og anvendelse
1. Fleksibel lsning
Det er centralt, at den fremtidige lsning fungerer p tvrs af platforme - f.eks. java,
.net og linux - og p tvrs af hardware enheder - f.eks. PC, tablet og Smartphones.
2. Flere sikkerhedsniveauer
Der er behov for, at den fremtidige lsning kan anvende flere sikkerhedsniveauer a f-
hngigt af den service, som lsningen skal bruges i. Der er f.eks. ikke samme behov
for sikkerhed, nr der logges p skat.dk, som nr der logges p dba.dk. Sikkerhedsni-
veauerne br bl.a. afhnge af risikoprofilen for services og dataklassifikationen. Ser-
viceudbyderen kan f.eks. anvende password, to-faktor autentifikation eller biometri af-
hngig af det behov for sikkerhed, som det vurderes, at den pgldende tjeneste br
udbyde.
3. n medarbejdersignatur
Den fremtidige lsning br sikre, at medarbejdersignaturers rettigheder kan justeres s-
ledes, at der kun skal oprettes n signatur pr. medarbejder, og at denne kan bruges p
tvrs af CVR-numre - f.eks. indenfor samme koncern.
4. Administration af medarbejdersignatur
Administrationen af medarbejdersignaturerne opleves som ganske besvrlig. Nr der
skal tildeles rettigheder til den enkelte bruger, skal der logges ind mange forskellige
steder. Det vil vre nyttigt, hvis administrator alene skulle logge ind t sted, og herfra
kunne fordele alle rettigheder til medarbejderen. Tilsvarende ville det vre nyttigt, hvis
administrator kunne kopiere en rolle med et givent st rettigheder fra n bruger til en
anden bruger, s man ikke skal starte forfra for hver bruger.
Behov for brugervenlighed
1. Sprog
Mange danske virksomheder agerer i en global kontekst og har derfor behov for support
p flere sprog - isr engelsk.
2. Fleksible signaturer
For nogle virksomheder er det nyttigt at have en medarbejdersignatur, som er forskellig
fra brugerens private signatur. For andre virksomheder - typisk enkeltmandsvirksomhe-
der - er det besvrligt at have forskellige signaturer. Der br gives hjere grad af flek-
sibilitet p dette omrde, sledes at det er op til brugerne, om den ene eller den anden
model skal anvendes.
3. Sikker e-mail
Det er fra flere sider blevet ppeget, at mange virksomheder har vanskeligt ved at inte-
grere den nuvrende lsning i deres e-mail. Der br arbejdes p at lave en enkel og
brugervenlig lsning til at modtage et certifikat til sin egen mailklient (og i tilknytning
hertil ogs til de gngse webmailklienter).
4. Delegering af signaturer
Det br vre muligt at delegere anvendelsen af signaturer til andre. Srligt it -svage
familiemedlemmer kan have en fordel af at delegere signaturen til et nrt familiemed-
lem, som kan foretage transaktioner p vedkommendes vegne.
Teknik og infrastruktur
1. Opbevaring af ngler
Det er vigtigt at sikre hj grad af fleksibilitet i forhold til den fremtidige opbevaring af
ngler, sledes at brugerne kan vlge den model, som passer til deres behov. Desuden
anbefales det, at undersge mulighederne for at kunne tilvejebringe en signaturlsning
for virksomheder, som baseres p en hardware-model, hvor udstyret ikke skal tilsluttes
terminalen.
2. Mulig adskillelse af signatur og single sign-on
Det br overvejes at adskille den digitale signatur fra single sign-on. Det m antages, at
der i praksis meget sjldent er brug for en egentlig dokumentsignering, ligesom brugen
af signaturen kan give udfordringer efter udlb af signaturen.
Samspil med interessenter
1. Samarbejde med identity management leverandrer
Der br sikres et samarbejde mellem andre leverandrer af identity management syste-
mer. Dels nationale leverandrer, f.eks. jvf. eID-direktivet, og dels private leverandrer
p det globale marked. Det kan ikke understreges nok, hvor vigtigt det er, at den fre m-
tidige lsning kan bruges i en global kontekst.
2. Samspil med danske interessenter
Det er vigtigt, at Digitaliseringsstyrelsen i forlngelsen af denne hring fastholder en
ben proces og inddrager de danske aktrer, som har en interesse i dette omrde, sl e-
des at det kommende udbud i stort muligt omfang afspejler de nsker , de forskellige
aktrer har.
Fremtidig forretningsmodel
1. Flere udbydere
Der br fra Digitaliseringsstyrelsen lgges op til en struktur, hvor det kan sikres, at fle-
re leverandrer kan lse opgaverne. Dette skal have til forml at skabe konkurrence p
omrdet, at sikre etablering af flere markedsdrevne forretningsmodeller samt at sikre , at
de forskellige krav til attributhndtering, som den offentlige og private sektor har, im-
dekommes. For at n dette m er det vigtigt, at Digitaliseringsstyrelsen, som anbefalet
ovenfor, baserer sig p bne internationale standarder.
2. Attribut ontologier
Det private marked har ofte brug for andre attributter end den offentlige sektor. Samt i-
dig anvender den konkrete lsning, NemID, kun PID, RID og CPR som attributter. Den
fremtidige lsning br indrettes sledes, at den kan indkooperere de attribut ontologier,
som standardiseres af markedsaktrerne. P den mde sikrer man, at f.eks. reputation
kan tilknyttes en brugers signatur og understtter dermed udviklingen af nye markeds-
baserede forretningsmodeller.
DI ITEK str naturligvis til rdighed for en uddybelse af ovenstende kommentarer.
Med venlig hilsen
Henning Mortensen
Chefkonsulent, DI ITEK
Naalakkersuisut
Government of Greenland
Digitaliseringsstyrelsen
1
Uunga Til
Digitaliseringsstyrelsen i Danmark
Assinga uunga Kopi til
Charlotte Dacoby
Offentlig hring om nste generation af den nationale identifikations- og
digital signaturinfrastruktur (NemID)
Vi takker for hringsbrevet og muligheden for at kommentere p fremtidens
NemID lsning.
Digitaliseringsstyrelsen henstiller til:
at der ogs i den nye NemID lsning tages hensyn til de grnlandske
forhold
at den grnlandske applet, som er udviklet og finansieret frem til 2017
understttes af den nye NemID lsning
at den nuvrende kommunikationsproces fortsttes sledes at
Grnland orienteres og dermed kan varetage oversttelse til grnlandsk
Lige som der arbejdes p at gre NemID tilgngelig for virksomheder i
Grnland.
Med venlig hilsen
Dorte Bge Srensen
Styrelseschef for Digitaliseringsstyrelsen
Tlf.: +299 587531
Mail: [email protected]
27-06-2014
Postboks 1078
3900 Nuuk
Tel. (+299) 34 50 00
E-mail: [email protected]
www.nanoq.gl
Domstolsstyrelsen
Justitsministeriet Slotsholmsgade 10 1216 Kbenhavn K
Sendes alene pr. e-mail til [email protected]
Hring om nste generation af den nationale identifikationstal signaturinfrastruktur (NemID)
Justitsministeriet har ved e-mail af 11. juni 2014 anmodet om eventuelle bemrkninger i forbindelse med Digitaliseringsstyrelsens hring om generation af den nationale identifikations(NemID), jf. Digitaliseringsstyrelsens brev af 28. maj 2014.
Domstolsstyrelsen kan i den anledning oplyse flgende:
Ad 2 Funktionalitet og anvendelseMed gede krav om digital selvbetjening er der et stigende behov for vefungerende og nemt tilgngelig rel fuldmagt, for eksempel ved vrgeml, men ogs i form af en specifik fuldmagt, for eksempel hvis en borger i en specifik sag er reprsenteret af en advokat og derfor har behov for at give den pgldende reprsentafuldmagt til at f adgang til visse digitale tjenester eller dokumenter i forbidelse med den specifikke sag. Brug af fuldmagter skal i dag hndteres i den enkelte myndigheds systemer, hvorved mange bruger ressourcer p at udvikle samme funktionalitet. sges, om fuldmagtsgivning kan lses med en fllesoffentlig digital lsning tilknyttet NemID.
Ad 3 Behov for brugervenlighedDer br vre mulighed for fuld anvendelse af NemID fra mobile platformeog det vil tillige ge brugervenligheden, hvis engangspassword kan tilg brugeren digitalt.
Ad 5 Samspil med interessenterI sikkerhedssprgsml og ved mistanke om sikkerhedshndelser virker det nuvrende setup ikke tilstrkkeligt. Der mangler en synlig adgang for myndigheder og borgere til at indrapportere mistanke om sikkerhedshdelser, og der br i organiseringen omkring NemID vre et proaktivt bredskab til hndtering af sikkerhed, herunderkommunikation til offentligheden, sledes at derhedsniveauet i en s vital fllesoffentlig infrastruktur.
Med venlig hilsen
Niels Juhl
[email protected] med kopi til [email protected]
Hring om nste generation af den nationale identifikations- og digi-signaturinfrastruktur (NemID)
mail af 11. juni 2014 anmodet om eventuelle bemrkninger i forbindelse med Digitaliseringsstyrelsens hring om nste
identifikations- og digital signaturinfrastruktur , jf. Digitaliseringsstyrelsens brev af 28. maj 2014.
Domstolsstyrelsen kan i den anledning oplyse flgende:
Ad 2 Funktionalitet og anvendelse Med gede krav om digital selvbetjening er der et stigende behov for vel-fungerende og nemt tilgngelig fuldmagtsgivning. Bde i form af en gene-
ved vrgeml, men ogs i form af en specifik hvis en borger i en specifik sag er reprsenteret af
og derfor har behov for at give den pgldende reprsentant fuldmagt til at f adgang til visse digitale tjenester eller dokumenter i forbin-delse med den specifikke sag. Brug af fuldmagter skal i dag hndteres i den enkelte myndigheds systemer, hvorved mange bruger ressourcer p at udvikle samme funktionalitet. Det vil vre hensigtsmssigt, at det under-
om fuldmagtsgivning kan lses med en fllesoffentlig digital lsning
Ad 3 Behov for brugervenlighed Der br vre mulighed for fuld anvendelse af NemID fra mobile platforme,
ige ge brugervenligheden, hvis engangspassword kan tilg
Ad 5 Samspil med interessenter I sikkerhedssprgsml og ved mistanke om sikkerhedshndelser virker det nuvrende setup ikke tilstrkkeligt. Der mangler en synlig adgang for
gheder og borgere til at indrapportere mistanke om sikkerhedshn-delser, og der br i organiseringen omkring NemID vre et proaktivt be-redskab til hndtering af sikkerhed, herunder til at sikre den ndvendige kommunikation til offentligheden, sledes at der ikke opstr tvivl om sikker-hedsniveauet i en s vital fllesoffentlig infrastruktur.
Store Kongensgade 1-3 1264 Kbenhavn K Tlf. +45 70 10 33 22 [email protected] CVR-nr. 21659509 EAN-nr. 5798000161184
J.nr. 2014-4101-0033-9 Sagsbeh. Jacob Sndergaard +45 99 68 43 07 [email protected] 23. juni 2014
i-
nste
e-
hvis en borger i en specifik sag er reprsenteret af nt n-
den enkelte myndigheds systemer, hvorved mange bruger ressourcer p at
om fuldmagtsgivning kan lses med en fllesoffentlig digital lsning
,
I sikkerhedssprgsml og ved mistanke om sikkerhedshndelser virker det
r-
Ballerup d. 25/6 2014
Digitaliseringsstyrelsen
Att. Morten Jrsum
Landgreven 4
Postboks 2193
DK-1017 Kbenhavn K
Pr. e-mail: [email protected]
Hringssvar vedrrende nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID)
e-Boks A/S skal hermed afgive sine kommentarer til offentlig hring vedrrende nste generation af
den nationale identifikations- og digital signaturinfrastruktur (NemID).
e-Boks A/S sttter en flles infrastruktur for identifikation og digital signatur, som tilgodeser krav til
sikkerhed og behov for brugervenlighed p tvrs af platforme. En flles infrastruktur p dette
omrde, som kan anvendes p tvrs af offentlige myndigheder og private virksomheder, er et vigtigt
fundament for at opn potentielt store samfundsmssige gevinster ved digitalisering.
Det er vigtigt at sikre, at alle tjenesteudbydere fr samme muligheder for anvendelse af den flles
infrastruktur, s lsningen opleves sammenhngende og ensartet af brugerne p tvrs af de
forskellige tjenesteudbyderes lsninger. Det er en forudstning for at udnytte muligheden for private
aktrer for at udvikle vrdiskabende lsninger for myndigheder, virksomheder og borgere i Danmark.
Specifikt har e-Boks A/S flgende kommentarer til tema 2: Funktionalitet og anvendelse:
1) Der br skabes mulighed for at etablere single sign-on-fderationer mellem tjenesteudbydere,
uafhngigt af sektor og p tvrs af den offentlige og den private sektor. I en rkke
brugssituationer er der en naturlig sammenhng mellem forskellige tjenesteudbyderes ydelser, fx
ifm. forsikringsydelser, e-Boks, sagsbehandling og lign. En lsning, der understtter single-sign-on-
fderationer ud over den offentlige sektor, vil derfor give mulighed for yderligere digitalisering og
automatisering i samspillet mellem sdanne aktrers ydelser, uden at der opstilles barrierer for
brugervenligheden ved at krve fornyet log-on ved skift mellem de involverede tjenesteudbyderes
services.
2) En ny lsning br understtte differentierede sikkerhedsniveauer for alle tjenesteudbydere
uafhngigt af sektor. Der er stor forskel p, hvilket sikkerhedsniveau der krves for forskellige
typer af transaktioner. Dette kendes allerede fra en rkke bankers skaldte kiggeadgang, hvor
mindre flsomme oplysninger kan tilgs med et lavere sikkerhedsniveau, mens gennemfrsel af
transaktioner, aftaleindgelse m.v. krver autentifikation p et hjere sikkerhedsniveau. Et
tilsvarende behov findes hos tjenesteudbydere uden for den finansielle sektor, hvor en mulighed
for at tilpasse kravene til sikkerhedsniveau til karateren af den enkelte transaktion og
flsomheden af de tilgngelige informationer vil bidrage til strre brugervenlighed i lsninger, der
anvender NemID. Understttelse af differentierede sikkerhedsniveauer vil dermed kunne bidrage
til en get udbredelse blandt tjenesteudbydere og til at nedbryde brugervenlighedsmssige
barrierer.
3) Mobile tjenester bliver stadig mere udbredt og i fremtiden vil det for nogle services i fremtiden
vre eneste adgangsvej, s den er afgrende at nste generation NemId kan anvendes p mobile
devices med samme hensyn som angivet ovenfor, herunder muligheder for differentierede
sikkerhedsniveauer.
Med venlig hilsen
e-Boks A/S
26. juni 2014 14/04919-7
sos-dep
ERHVERVS- OG
VKSTMINISTERIET
Slotsholmsgade 10-12
1216 Kbenhavn K
Tlf. 33 92 33 50
Fax. 33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
www.evm.dk
Digitaliseringsstyrelsen
Landgreven4
Postboks 2193
1017 Kbenhavn K
Offentlig hring om nste generation af den nationale identifikati-
ons- og digital signaturinfrastruktur (NemID)
Erhvervs- og Vkstministeriet har modtaget ovenstende hring fra Digi-
taliseringsstyrelsen. Erhvervs- og Vkstministeriet har sendt materialet i
hring hos Erhvervsstyrelsen, Finanstilsynet, Patent- og Varemrkesty-
relsen, Sikkerhedsstyrelsen og Sfartsstyrelsen og har p den baggrund
flgende bemrkninger.
I nedenstende dkker betegnelsen virksomheder alle virksomheds-
former medmindre andet nvnes. NemID refererer i hringssvaret til
NemID til erhverv, herunder NemID medarbejdersignaturer.
I forbindelse med udbuddet af NemID skal Erhvervs- og Vkstministeriet
pege p flgende overordnede betragtninger.
At NemID til erhverv skal designes p en mde, s virksomhedernes
forretningsmssige behov og vkstmuligheder gennem offentlig digi-
talisering, fr bevgenhed da det er forventningen, at der ligger et
uudnyttet effektiviserings- og vkstpotentiale for et samlet erhvervs-
liv ved en nytnkning af fokus for, hvordan offentlig digitalisering
gennemfres fremadrettet.
At anvendelsen af NemID i dag reelt er obligatorisk, da den er tt
knyttet til obligatorisk anvendelse af andre flles offentlige digitale
services som f.eks. Digital Post. Dette br afspejles i forretningsmo-
dellen for NemID, designet af den og sammenhngen til de vrige
fllesoffentlige digitale services.
Opflgningen p de forslag som regeringens Virksomhedsforum for
enklere regler har stillet vedr. NemID br ligeledes indg i forberedel-
sen af nste generation af NemID.
Disse tre forhold br give anledning til, at en nrmere og selvstndig
analyse afdkker ikke blot de forretningsmssige behov i forhold til Ne-
2/8
mID, men ogs samspillet og indbyrdes afhngigheder mellem de for-
skellige fllesoffentlige services og komponenter.
Hringssvaret indeholder derudover dels nogle overordnede kommentarer
om udviklingen af NemID og dels nogle helt konkrete input, som er regi-
streret p baggrund af Erhvervs- og Vkstministeriets opgave med bru-
gersupport for Virk.dk. De konkrete input er listet i punkform under de
relevante overskrifter
1. Fremtidige forretningsmssige behov
Behov for analyse ogs fra et helikopterperspektiv
I takt med at det p flere og flere omrder bliver obligatorisk for virksom-
heder at kommunikere digitalt med det offentlige, fr NemID en mere
central betydning for virksomhedernes forretning. Uhensigtsmssigheder
ved NemID er ikke acceptable, nr det offentlige reelt gr anvendelsen af
NemID obligatorisk for alle, der nsker at drive virksomhed i Danmark.
At anvendelsen reelt er blevet obligatorisk br derfor give anledning til, at
omrdet analyseres nrmere ogs fra et helikopterperspektiv. Det er sle-
des ikke tilstrkkeligt kun at analysere NemID lsningen. Det er ndven-
digt at anskue NemID i den bredere sammenhng, som den indgr i, da
NemID er en lsning der aldrig benyttes alene, men indgr i digitale pro-
cesser. Der br fortages analyser af, om virksomhedernes behov kan im-
dekommes mere hensigtsmssigt gennem et ndret koncept for NemID,
samt om snitfladen mellem NemID og de vrige fllesoffentlige digitale
services kan optimeres til gavn for bde virksomheder og den offentlige
sektor.
Erhvervs- og Vkstministeriet forventer, at se dette brede analysebehov p
virksomhedsomrdet afspejlet i projektplanen for udbuddet af NemID.
Brugssituationer og mlgrupper der br indg i analysen
NemID til virksomheder er vsentligt mere kompliceret end NemID til
borgere alene af den grund, at flere brugere skal agere inden for samme
enhed (CVR-nummer). NemID findes ogs p virksomhedsomrdet bde
som nglefil og nglekort. NemID til virksomheder skal sledes under-
sttte flere brugssituationer og forretningsmssige behov end p borger-
omrdet, f.eks.:
3/8
anvendelse i strre organisationer hvor forskellige brugere skal have
forskellige adgang, uden at det plgge virksomheden undige admi-
nistrative opgaver og tidskrvende log-in procedurer
sm virksomheder og foreninger der i praksis overlader deres forplig-
tigelser til en tredje part (advokat, administrator eller lign.)
anvendelse i koncerner med mange CVR-numre og behov for at agere
p tvrs af disse
anvendelse af professionelle brugere, der agere p vegne af mange
virksomheder og derfor har behov for at tvrgende overblik
anvendelse af foreninger der har et CVR-nummer, men ikke anser sig
selv som virksomheder og som typisk kan have jvnlig udskiftning af
den tegningsberettigede
Det er vsentligt, at alle disse forskellige anvendelsesmnstre og ml-
grupper indgr i de forretningsmssige analyser omkring en ny NemID til
erhvervsomrdet.
Forretningsmssige analysepunkter
Som afspejlet i brugssituationerne har mange virksomhedsbrugere behov
for a
Top Related