Ansattes brug af NemID er sikker nok

af Mette Sørensen

fredag 16 september, 2011 Kl. 20:01

Efter Datatilsynets vurdering er det i strid med persondataloven, at de ansatte logger på arbejdspladsens systemer med deres private NemID. Det er ifølge Datatilsynet en uheldig sammenblanding af det private og det arbejdsmæssige.

Forundret
Men digitaliseringschefen i Odense Kommune, Allan Bager, er forundret over Datatilsynets vurdering:

-Vores medarbejdere bruger deres private pas på forretningsrejser – her er det ikke nødvendigt med et særligt firmapas, og når medarbejderne kører i kommunens biler, skal de heller ikke bruge et særligt Odense Kommune-kørekort. De bruger selvfølgelig deres private pas eller kørekort. Hvorfor kan vi ikke gøre det samme med NemID? spørger Allan Bager.

Derfor er holdningen i Odense Kommune, at man fortsætter med NemID indtil videre. Kommunen går dog i dialog med Datatilsynet for at drøfte sagen.

Kun identifikation
Ligesom netbankerne bruger Odense Kommune kun NemID til at identificere den ansatte – altså: hvem er det, der prøver at logge på.

Og ligesom netbankerne bruges denne identifikation til at finde ud af, hvilke konti man må se i sin netbank, bruger Odense Kommune identifikationen til at slå op i Odense Kommunes systemer og finde ud af, hvilke data medarbejderen må se på Odense Kommunes intranet.

Ved at sammenholde cpr-nummeret fra NemID med en liste over cpr-numre på kommunens ansatte sikrer kommunen, at kun de ansatte får adgang.

Sikkerhed i orden
It-sikkerhedsleder John Bonnerup er ikke bekymret over fremgangsmåden.

- Vi har foretaget en sikkerhedsvurdering og ser ingen problemer i det. Når vi bruger NemID på denne måde, får vi kun adgang til informationer om medarbejderen, som vi kender i forvejen, siger han.

Standarder giver bedre og billigere løsninger
Der er tale om en helt standardiseret brug af NemID, og sikkerheden er dermed lige så høj som i andre standardiserede anvendelser af NemID, f.eks. til netbankerne, e-Boks eller Borger.dk. Samtidig ser kommunen en strategisk fordel i, at udbredelsen af NemID blandt de ansatte øges.

Odense Kommune lægger også vægt på, at den valgte løsning er både sikker, billig og kendt af brugerne. Odense Kommune har vurderet, at hvis det samme skulle administreres med NemID Erhverv eller en traditionel brugernavn/password-løsning, ville det i begge tilfælde beløbe sig til 400.000-500.000 kr ekstra årligt – uden at det i sig selv ville give nogen merværdi.

- Vi bakker fuldt ud op om NemID og andre nationale standarder og ser ingen grund til at opfinde vores egen adgangsstyring, siger Allan Bager.

- NemID Erhverv er endnu ikke klar til brug, men det eneste den en dag vil kunne give os i forhold til NemID Privat, er sammenhængen imellem et cpr-nummer og vores organisation, og det kan vi sagtens selv klare ved brug af vores organisationskomponent APOS, som i øvrigt også bygger på national standard. I en tid, hvor kommunerne fattes penge, er det meget svært at se, hvorfor vi skulle bruge ekstra penge på tekniske løsninger, der ikke giver os mere sikkerhed, tilføjer Allan Bager.

Ansatte vælger selv
De ansatte i Odense Kommune kan selv vælge, om de indtaster deres personlige adgangskoder til NemID hjemme ved deres private pc, som de selv har sikkerhedsansvaret for, eller på en pc på deres arbejdsplads, hvor Odense Kommune har ansvaret for it-sikkerheden. Dermed tvinges de ansatte ikke til at udsætte sig for unødige sikkerhedsrisici.

Odense Kommune står langt fra alene
De ansatte i kommunerne Odder, Rudersdal, Gentofte, Frederikshavn, Ikast-Brande, Åbenrå, Brøndby, Rødovre og Hjørring kan også bruge deres private NemID til at få adgang til kommunens intranet.

I lighed med Odense Kommune sender staten kun lønsedler til de ansattes digitale postkasse. Enhver statslig medarbejder skal som følge heraf have en privat NemID (eller, en tid endnu, en digital signatur) for at kunne se sin lønseddel. Staten går således foran med krav til de ansatte om NemID.

Lovgivningen bør følge med
Allan Bager vil nu tage kontakt til Datatilsynet for at bede dem revurdere deres synspunkt. Om nødvendigt vil Odense Kommune se nærmere på det lovgrundlag, som Datatilsynet baserer sin udtalelse på.

- Hvis der skulle være juridiske forhold, der forhindrer dette, bør lovgivningen laves om, eventuelt efter et frikommuneforsøg, siger Allan Bager.