KOU, Alm.del - 2011-12 - Bilag 45: Henvendelse vedr. NemID-løsninger

"Som jeg nævnte findes der allerede praktiske løsninger, som er baseret på internationale standarder ogsom tilgodeser privatlivskriterier. Først og fremmest WAYF (http://wayf.dk/index.php/da/om-wayf) derhåndterer hele uddannelsessektoren. Selv har jeg siden 2008 drevet tjenesten Net-Safe (https://www.net-safe.info/about/#what) med ca. 70.000 registrerede brugere (primært fra Heste-Nettet.dk), som senere i2012 relanceres under navnet Peercraft baseret på den snart kommende OpenId Connect standard, sombl.a. Microsoft og Google også vil understøtte.Jeg har selv gennem 6 år været involveret med arbejdet omkring OpenID standarden (http://openid.net). Vihar dog indtil nu holdt en meget lav profil i Danmark. De første par udgaver af OpenID har nemlig været hhvfor usikre (OpenID1 - mest til blogkommentarer) og for kompliceret med for mange frihedsgrader atimplementere (OpenID2). Den kommende OpenID Connect er bl.a. inspireret af Facebooks succes medFacebook Connect. I forbindelse med certifikater udstedt efter Lov om Elektroniske Signaturer (https://www.retsinformation.dk/forms/r0710.aspx?id=6193) som NemID vel at mærke IKKE lever op til, vilman med OpenID Connect kunne opnå sikkerhedsklasse 3 (hvor NemID er sikkerhedsklasse 2 ogalmindeligt brugernavn/adgangskode er klasse 1).Selv i Digitaliseringsstyrelsen er der internt fuld opmærksomhed på manglerne og problemerne ved at knyttelogin sammen med CPR-nummer, som det gøres med NemID. Styrelsen har for snart et år siden publiceretdenne rapport:http://digitaliser.dk/resource/781482hvor et væsentligt rationale er at man tilmed kan spare penge på IT-systemer ved at bygge generisk sikreløsninger uden CPR-nummer som tværgående personhenførbar reference.Principperne i rapporten er fint i tråd med det amerikanske NSTIC projekt (National Strategy for TrustedIdentities in Cyberspace).Kort Intro:http://www.whitehouse.gov/blog/2011/04/26/national-strategy-trusted-identities-cyberspace-and-your-privacyRapport:http://www.whitehouse.gov/sites/default/files/rss_viewer/NSTICstrategy_041511.pdfWebsite:http://www.nist.gov/nstic/index.htmlDog er det bemærkelsesværdigt at NSTIC tager udgangspunkt i at der skal være flere udbydere (=valgmulighed for borgerne) og at man fra starten går efter løsninger, der med fordel kan anvendes både ioffentligt og privat regi. Samt at man som udgangspunkt starter med anvendelser, der ikke kræver så megetsikkerhed og tillid, for med tiden at udbygge til højere sikkerhedsniveauer.Det er også bemærkelsesværdigt at selvom USA er langt større end Danmark efterlyser man samarbejdemed andre lande i erkendelse af at nogle kan være længere fremme på forskellige områder samt at "TheIdentity Ecosystem" skal kunne fungere globalt (se f.eks. side 40 i rapporten)Jeg ville ønske at vi i Danmark kunne etablere et tilsvarende privat-offentligt forum, som kunne sikreawareness, vidensudveksling og først og fremmest en kritisk masse, så vi istedetfor at få tilfældige lokale ogikke-interoperable løsninger som NemID (= køb bankernes brugerdatabase og acceptér deres særprægedeog hjemmestrikkede teknik) kunne være med til at præge den internationale udvikling, så vi sikrer atfremtidige internationale standarder kan leve op til danske krav og værdier, f.eks. med hensyn tilprivatlivsbeskyttelse og forbrugerrettigheder.Jeg håber at dette har givet dig et indtryk af at et Danmark "beyond NemID" ikke er en hverken unødvendigeller urealistisk ambition - især ikke hvis vi tænker smart og får mange af de interesserede og relevanteaktører til at samarbejde om ny løsninger, der ikke nødvendigvis behøver at koste det offentlige nogetudover sin egen deltagelse og opbakning til projektet. Det gør det f.eks. ikke i USA."