Hringssvar

Flgende har afgivet hringssvar:

1. 41concepts 2. Advokatrdet 3. ATP 4. Banedanmark 5. Beskftigelsesministeriet 6. Bitbureauets 7. CHPCOM Projektet 8. Civilstyrelsen 9. Danmarks Rederiforening 10. Dansk Byggeri 11. Dansk Erhverv 12. DANSK IT 13. Danske Handicaporganisationer (DH) 14. Danske Regioner 15. Datatilsynet 16. Den Uafhngige Politiklagemyndighed 17. DI ITEK 18. Digitalimik Sullissinermut Aqutsisoqarfik 19. Domstolsstyrelsen 20. E-boks 21. Erhvervs- og Vkstministeriet 22. Finans & Leasing 23. Finansrdet 24. Finanstilsynet 25. Forbrugerrdet TNK 26. Foreningen for Dansk Internet Handel (FDIH) 27. Forsikring og Pension 28. Forsvarsministeriet 29. Henrik Schack 30. Hndvrksrdet 31. Institut for Menneskerettigheder 32. IT-Branchen 33. IT-Politisk Forening 34. Justitsministeriet 35. Kommercielle Linux-interessenter I Danmark

(KLID) 36. Kommunernes Landsforening (KL) 37. Konkurrence- og Forbrugerstyrelsen 38. Kulturministeriet 39. Landbrug & Fdevarer og Videncentret for

Landbrug 40. Lars Ole Belhage, Bjarne C. Jacobsen og Lars

Roark

41. Michael Mller 42. Miljministeriet 43. Ministeriet for Brn, Ligestilling, Integration

og Sociale Forhold 44. NaturErhvervstyrelsen 45. Niels Kleberg 46. Nimish Gautam 47. Odense Kommune 48. Peercraft ApS 49. PFA Pension 50. Projekt UDENFOR 51. Region Syddanmark 52. Rigspolitiet 53. Rdet for Digital Sikkerhed 54. Rdet for Socialt Udsatte 55. SAND 56. SKAT 57. Sor Kommune 58. Theis F. Hinz 59. Trafikstyrelsen 60. Uddannelses- og Forskningsministeriet 61. Udlndingestyrelsen 62. Undervisningsministeriet 63. ldre Sagen

41concepts Aps, 15. Juni 2014 Rrholmsgade 22, 4th 1352 Kbenhavn K. Hringsvar vedr. nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID) 1. Fremtidige forretningsmssige behov + overordnet Den nye NemId skal udgre en ben platform og ikke vre et lukket produkt. Platformen skal indeholde bne platformuafhngige snitflader (Web APIer), som software fra virksomheder, foreninger og tekniske privatpersoner kan koble sig op imod. Det skal muliggre konkurrence, innovation, universel integration og nem mulighed for sm lokale tilpasninger efter behov i de enkelte virksomheder, foreninger og lign. 2. Funktionalitet og anvendelse Den nye NemId skal indeholde 2 niveauer af sikkerhed, som bl.a. skal mulig-gre get brugervenlighed: A. Lse operation p godkendt enhed. F.eks. tilg e-post1 og sine informationer p borger.dk p sin private telefon uden brug af nglekort. Dette niveau er uden 2-faktor sikkerhed, men med en simpel applikations-specifik adgangsbeskyttelse el. evt. uden kode, som i en App p en lst mobil, hvor brugeren i forvejen skal lse mobilen op med kode for at tilg Appen. Krver en tidligere niveau-B godkendelse for at fungere. B. Godkende, skrive under, autorisere el. deautorisere personligt udstyr som telefoner, tablets og lign. til at lse p. Vil altid krve 2-faktor sikkerhed, men prcist hvordan det sker er applikations-specifik. 3. Behov for brugervenlighed. Systemet skal vre meget, meget mere brugervenligt end det er i dag. Men det opns ikke ved, at designe t statisk (frontend) produkt med t p forhnd bestemt antal krav. Der skal mere til for at NemID ren faktisk bliver nemt at bruge bde nu og i fremtiden. I stedet skal der designes en ben platform (se pkt. 1) med 2-niveauer af sikkerhed (se pkt. 2). P dette grundlag kan forskellige leverandrer, s konkurrere om det bedste - herunder mest brugervenlige - produkt. Konkurrence, innovation og brugernes frie valg vil sikre den bedst 1 Undertegnede kender ingen, der gider at lse deres e-post regelmssigt, fordi det er for besvrligt. En ikke s brugervenlig NemID er en vsentlig rsag. Manglende udbud og konkurrence p frontend Apps til ePost er en anden vigtig rsag. F.eks. mangler Apps helt til brug for virksomheder til at lse deres post.

mulig brugervenlighed i den frdige lsning. Den bne platform vil ogs give bedste mulighed for god brugervenlighed ogs i fremtiden, nr brugsmnstre ndre sig. 4. Teknik og infrastruktur. Som nvnt i pkt. 1 skal den nye NemId udgre en ben platform og ikke vre et lukket produkt. En platform, som software fra forskellige leverandrer og privatpersoner kan koble sig op imod. En ben platform hvor sikkerhed baserer sig p velprvede og sikre dele som kryptering, SSL m.m. og ikke myter om security by obscurity, der ogs tilfldigvis samtidigt passer i visse leverandres kram om at undg ubehagelig konkurrence ved at lukke alt til. Som nvnt i pkt. 2 skal platformen understtte adgange p flere niveauer, hvilket krver forskellige autorisering op mod servere. A. Kan ske ved en tidligere downloadet token/ngle, som er givet (evt. tidsbegrnset) via en tidligere Niveau B godkendelse + evt. password med mindre adgangen er sikret p anden vis (f.eks. er det undvendigt med password i applikationen, hvis brugeren har bnet sin telefon ved fingeraftryk el. personligt password). B. Sker via password + engangskode som i dag eller ved Biometri, som nyeste mobiltelefoner m.m. er begyndt at understtte. Begge metoder skal understttes af et fleksibelt API. Sledes vil eID og eSignering ogs vre adskilt. Arkitektturen i softwaren i platformen skal vre modulopdelt med bne snitflader imellem moduler, sledes at enkelte moduler kan skiftes ud og evt. leveres af forskellige leverandrer. Det vil ogs mindske risiko for NemID projektet og bne op for at flere leverandrer kan deltage. Bemrk dog, at det er vigtigt, at der stilles store krav til testability(!!) i arkitekturen, designet og koden (herunder testabiliy ind i snitfladers design, logging o.s.v.), s man ikke ender i et SOA-helvede med systemer fra 7 forskellige leverandrer, der ikke kan snakke sammen og man kan ikke umiddelbart finde ud af hvorfor (noget jeg ved der tit sker i det offentlige nr der er flere forskellige systemer og leverandrer) Sammen med den udviklede platform skal et offentligt tilgngeligt Software Development Kit (SDK) med eksempler p frontend lsninger frigives, som understtter frende mobilplatforme, tablets og computere. Central kode kan med fordel skrives i C, som understttes af alle platforme Mange ved det ikke, men man kan faktisk skrive sin forretningslogik (f.eks. krypteringsdelen) i C og hermed understtte alt, herunder Windows mobile Apps, iOS Apps til iPhone/IPads, Android native apps, Mac OS X, Windows, Linux og s videre. Bemrk dog at man desvrre ikke kan skrive alt i C p nogle af platformene, s f.eks. GUIen skal skrives specifikt til de fleste platforme men GUIen er heller ikke en del af SDKerne. Lsningen skal endeligt ikke basere sig p Java2 el. Javascript p klienten som er tungt, besvrligt, krver for meget datatrafik og hverken er fleksibelt, sikkert, robust nok el. understtter de brugervenlige anvendelser, der skal til. I stedet bruges SSL, kryptering, forms og andre standard-teknologier samt native Apps via SDKer. 2 Java hrer hjemme p serven, hvor det fungere godt - ikke p klienten.

5. Samspil med interessenter I den bne platform med bne APIer, fri konkurrence og hermed stor innovation vil de fleste frontend lsninger (og hermed leverandrer) udskiftes af borgere ud fra deres frie valg. P backenden vil der vre brug for 1+ stabile leverandrer til driften. 6. Fremtidig forretningsmodel Som nvnt i ovenstende er der brug for en model baseret p fri konkurrence p alle frontend systemer og flere lbende leverandrer. Efter sigende har man i UK noget af det samme, men vist ikke helt s bent. 7. Andre bemrkninger Tak for muligheden for at give input. Jeg kan kontaktes for yderligere information og afklaringer. Mvh Morten Christensen, M.Sc, CEO i 41concepts, tlf. 40 10 92 38, mmc@41concepts.com

1

Til Digitaliseringsstyrelsen

26. juni 2014 Hringssvar Hring om nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID)

Hermed fremsendes ATPs bemrkninger til Hring om nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID). NemID er en forretningskritisk komponent for ATPs lsninger og har en afgrende betyd-ning for, at ATP kan drive en effektiv digital kundeservice. Generelt har der vret god til-fredshed med den eksisterende NemID og en hj volumen af transaktioner.1 Der er dog visse erfaringer fra den nuvrende lsning, som ATP nsker at adressere under de enkelte hringstemaer.

Fremtidige forretningsmssige behov ATP har i erfaringsopsamlingen identificeret barrierer for fuld digital kommunikation med borgere, der opholder sig i udlandet og udenlandske virksomheder der modtager ydelser i forbindelse med anvendelsen af den nuvrende NemID lsning.2 Anvendelse af digital post er knyttet sammen med anvendelsen af den nuvrende NemID-lsning. Som situationen ser ud i dag har ca. 55 pct. af borgerne nvnt ovenfor ikke et dansk pas og kan derfor ikke f tildelt NemID. Hertil kommer, at de resterende 45 pct., som har et dansk pas og ikke i forvejen har NemID, kun kan f en sdan udstedt ved fysisk fremmde p en dansk repr-sentation i udlandet, for at sikre autenciteten af den person NemID udstedes til. Samme udfordring har udenlandske og grnlandske virksomheder, der skal sge om danske ydel-ser. Et eksempel er NemRefusion, hvor sagen skal hndteres manuelt, da virksomheden ikke kan f tildelt en medarbejdersignatur uden et dansk CVR-nummer. ATP skal endelig gre opmrksom p, at der er en juridisk barriere for at udbrede obligato-risk anvendelsen af NemID. Hvis man vil gre nationale forhold/lovgivning gldende uden for Danmarks grnser, kan det have virkning som indirekte diskrimination, ikke mindst hvis der i tilgift er ekstra omkostninger ved det for borgeren.

1 I 2013 var der ca. 2,4 mio. log ind vedr. Udbetaling Danmark og 1,8 mio. log ind vedrrende Pen-sion og Sikring. Alt i alt ca. 4,2 mio. log ind i 2013. 2 ATP har i ordningerne ATP-livslang pension 16.500 borgere i udlandet der modtager ydelser, Fami-lieydelser har ca. 10.000 og International Pension og Social Sikring (IPOS) har 48.000. I alt sender ATP ca. 150.000 breve om ret til disse modtagere, og tallet er stigende.

2

Behov for brugervenlighed ATP har identificeret et behov for en brugervenlig lsning til fuldmagter (bde mellem perso-ner og til firmaer, f.eks. revisorer). ATP foreslr, at alle relevante mlgrupper inddrages i de indledende brugeranalyser, s deres forskelligartede behov afdkkes. Den nuvrende lsning har en hj kompleksitet p virksomhedssiden, og det giver udfordringer for mindre virksomheder. Det drejer sig specifikt om:

Tildeling af rettigheder nske om mere enkle tilmeldinger for fx enkeltmandsvirk-somheder og mindre virksomheder, hvor der gives rettighed til en samlet pakke, som dkker de flestes behov. Der er behov for nemmere adgang til dybe links til siden, hvor rettigheder tildeles og bedre hjlpe-vejledninger med guides og lign. For strre virksomheder har lsningen mange fine muligheder, og det er et stort skridt at kunne selvadministrere og tilslutte nye lsninger.

Fremsgning af brugeradministrator har tidligere vret svrt - det br kun vre t klik vk.

Begreberne er komplekse og blandes sammen f.eks. nr der skal udpeges ret-tighed, vises privilegium med en uforstelig tekst. Her burde der i stedet vises tek-sten for rettigheden: Fx: Ret til at tilg AUB.

Det skal fortsat vre muligt for administratorer at begrnse brugernes adgang til SE-numre i brugerrettighedsstyrings-systemet.

Samspil med interessenter Hovedbudskabet i erfaringsopsamlingen vedr. samspil med interessenter p support er:

Behov for en mere forpligtende driftshndbog med NemID/NemLog-in og de vrige offentlige komponenter (fx tilsvarende den ATP har med borger.dk). F.eks. ndpro-cedurer, nr NemID ikke virker, da NemID er indgangen til alle offentlige lsninger.

get fokus p support i forhold til ivrksttelser og fejlhndtering. Udfordringer med IT leverandrer og tilslutning af ordninger i det nuvrende set-

up.

Fremtidig forretningsmodel ATP har identificeret flgende behov i den fremtidige forretningsmodel:

Deadlines for fx NemLog-in blev udskudt flere gange inden lancering det gav usik-kerhed hos de involverede og problemstillinger med ressourcer.

Efter lancering af NemLog-in manglede adgang til nyt testmilj og viden om, hvordan dette benyttes. Der er behov for at have test-CPR-numre, som kan bruges i forbindel-se med test af NemID.

Der har vret udtrykt behov for udarbejdelse af en kommunikationsplan tidligt i pro-jektet herunder vejledninger og uddannelsesmateriale p NemLog-in. Fremadrettet vil dette vre et oplagt omrde at stte ind sledes, at tilstrkkeligt vejledningsmate-riale/guides foreligger i god tid inden lancering.

konomi Telefon cstr@bane.dk Version

IT 8234 0000 banedanmark.dk

Amerika Plads 15 Direkte Journalnr. Notatskabelon 1.0

2100 Kbenhavn +45 4188 1976 cst140623 Side 1(2)

Notat 27.06.2014

Offentlig hring om nste generation af den nationale identifikations- og digital

signaturinfrastruktur(NemID)

Hermed Banedanmarks bemrkninger til hringen indenfor de angivne temaer:

1. Fremtidige forretningsmssige behov, for henholdsvis

virksomheder, offentlige sektor og borgere i Danmark og udlandet samt

eventuelle juridiske forhold.

Der er for nrvrende ikke forretningsmssige behov for yderligere anvendelse af NemID.

Det nuvrende behov er som flger:

Banedanmark anvender medarbejdersignatur til flgende:

NEM Konto

NEM Refusion

Udbetaling Danmark

CVR

SKAT

Virk.dk

FerieKonto

ATP

Hringsportalen

De nuvrende funktioner anses som dkkende.

2. Funktionalitet og anvendelse, herunder eksempelvis niveaudelt

sikkerhed, lokal administration af autorisation, single sign-on mv.

Muligheden for single sign-on vil vre en lettelse i det daglige i forbindelse med de funktioner, der anvendes i stort omfang. Der er ikke konstateret behov

for strre niveaudeling.

3. Behov for brugervenlighed, herunder forskellige brugeres aktiviteter

fra bestilling til anvendelse og eventuel sprring mv.

Installationen er i dag acceptabel, men det er vigtigt at have fokus p ikke at gre denne funktion mere omstndelig.

Side 2/2

Ud fra en administrationsmssig (LRA) synsvinkel br en fremtidig lsning vre vsentligt mere enkel, mere overskuelig, mere gennemskuelig samt en

kende mere brugervenlig, s brugerne kan flge et enkelt og selvinstruerende

arbejdsflow.

I daglig anvendelse opfattes konceptet som let tilgngeligt. Enkelheden i denne del br fastholdes.

Det skal vre nemt og enkelt gennem hele forlbet, bde ved installation og i daglig anvendelse.

4. Teknik og infrastruktur, herunder eksempelvis adskillelse af eID og

eSignering, single sign-on, sammenhngende IT-arkitektur, sikkerhed mv.

Man br s vidt muligt ikke basere sig p proprietre systemer, produkter eller funktionalitet

Infrastrukturen br opbygges sledes, at single point of failure minimeres

Konsekvenserne ved DDOS-angreb skal minimeres

5. Samspil med interessenter, herunder tjenesteudbydere, administrative

procedurer, sikkerhedsprocedurer mv.

Ingen bemrkninger

6. Fremtidig forretningsmodel, herunder leverandrstyring, support,

betalingsstruktur, en model med flere leverandrer mv.

Ingen bemrkninger

De er velkommen til at vende tilbage, hvis dette giver anledning til yderligere sprgsml.

Med venlig hilsen

Carsten Stenstrm

Informationssikkerhedschef

cstr@bane.dk

+45 4188 1976

Hringssvar

Vedr. Offentlig hring om nste generation af den nationale identifikations- og digital

signaturinfrastruktur (NemID)

Afsender Beskftigelsesministeriet

Dato 24. juni 2014

Kre Morten

Beskftigelsesministeriet har ingen bemrkninger til det udsendte hringsmateriale.

Med venlig hilsen Carsten Richter Jensen Specialkonsulent E-mail: crj@bm.dk Direkte tlf.: 72 20 51 65 Besgsadresse: Holmens Kanal 22

Beskftigelsesministeriet

Ved Stranden 8 - 1061 Kbenhavn K

Tlf.: +45 7220 5000

Fax: +45 3314 3108

Sikker e-mail: bm@bm.dk

Hjemmeside: www.bm.dk

| The Ministry of Employment

| Ved Stranden 8 - 1061 Kbenhavn K

| Tlf.: +45 7220 5000

| Fax: +45 3314 3108

| Secure e-mail: bm@bm.dk

| Website: www.bm.dk

DigitaliseringsstyrelsenAtt:MortenJrsum

viaemail:kis@digst.dk

Hringssvarvedrrendenstegenerationafdennationaleidentifikationsogdigitalsignaturinfrastruktur(NemID)

NrDigitaliseringsstyrelsenstrptrsklentilatskullepbegyndearbejdetmeddennstegenerationafNemID,erdetmskeogsvrdatkiggetilbagepnuvrendelsning:

Lsningblevlancereti1.juli2010,hvilketvarkun6dageefterlanceringenafiPhone,...version4.Alligevelskullederg4rprcist,frNemIDssmtblevunderstttetpmobileplatformeidenneuge.

Bankerne,sommedejereaflsningen,indshurtigtbehovetforattilbydekunderneadgangviasmartphones.Sdelsteselvproblematikkenvedattilbydemobileapps,derviasrligeadgangekunnebenyttesigafpapkortettilvalideringaftransaktioner.

Mendetoffentligevarhgtetaf.ArkitekturenforinteraktionmedOCESnglerneiDanID'svaretgterskompleks,atselvidagerdetnogetafenopgaveatftilatkrepenmobiltelefon.OgdervarsletikketnktpatlsningenskullenogetandetendatservicereenJavaappletpenPC.

Etgodtdesignstartermedetgodtfundament.VihbermedflgendeforslagtilenkommendeNemID,atkunneinspireretilhvordanmankunneskabeetsdan.

benprocess

Viermegetgladeforatbliveinviterettilatafgivedettehringssvar.Ogvivilgernevremedendnulngereheniprocessen.Faktiskmenerviatdeteressentieltatprocessenogspecifikationenbliversbensmulig.

Vivilgernevremed.

Helgesensgade 7, st2100 Kbenhavn

Telefon: 89 88 06 78Email: post@bitbureaet.dk

Dato: 27. juni 2014

Opsplitningaffunktionalitet

NemIDeridagenblksprutte.Fordetfrsteerdertaleomtolsningerien,OCESbaseretPKIpdenenesideoglogintilnetbankerpdenanden.Skntdereroverlappendefunktionalitet,erdettomegetforskelligebehovhveraflsningernehar.Forbankernehandlerdetomatminimerekonomisketab,hvorforOCESbaseretPKIhandlerdetomatsikreidentiteter.

Fordetandeterderetmegetasymmetriskforholdtilhvadlsningenkan,iforholdtilhvaddenanvendestil.Vissefunktionaliteterbrugessandsynligvismegetmereendandre.MedenNemIDappletkanmanidagfxunderskrivePDFdokumenter,skntdennefunktionalitetipraksisganskesjldentbliverbrugtafdenalmindeligeborger.DerimodbliverNemIDhyppigtanvendttilatloggeindpeboks.dkellerborger.dk.

VifinderdetderfornaturligtatbyggedenkommendeNemIDopaffleremindrelsninger,efterfilosofien:doonething,doitwell.DettekunnefxbetydeatmanstadigbrugtepapkorttilSSO,menatunderskrifterkrvedeethardwaretokenmedOCESngler.

Dermedkanmanogsreducerebankerenesadgangtilkunatdkkeenafdemindrelsninger,sledesatderesbehovblivertilgodesetudenatdeterheleNemIDsomskalleveoptildisse.

Flerebehovflereudbydere

Vikanikkeforventeatalleborgereogvirksomhederharsammebehov.DerforvildetvrenaturligtatdervillekunnevreflereudbydereafNemIDsomkunnetilpasselsningertilbestemtemlgrupper.Dermedkunneudviklingenforegikonkurrencemedandrelsninger.

Idenforbindelseerdetmskevigtigtatfaststtekravtiludbyderepbaggrundafdenlsningdetilbyder.Someksempel:atenudbydersomudelukkendetilbyderenlsningderminderomNemIDphardware,ikkendvendigvisbehverathavesammekravtiloppetidsomenlsningderminderomdenalmindeligeNemID(dadetikkeerndvendigtatinvolvereudbyderenitransaktioner).

Medvenlighilsen,

ChristianPanton

25. juni 2014

Hringssvar fra CHPCOM-projektet om nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID)CHPCOM-projektet takker for muligheden for at komme med bemrkninger i forhold til nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID).

CHPCOM projektet implementer standarder for sikker kommunikation indenfor energisektoren. Dette er en kritisk forudstning for at vi i Danmark fortsat kan have en stabil el-forsyning i takt med at sektoren automatiseres yderligere og strstedelen af vores energi vil komme fra vedvarende energikilder.

Arbejdet i CHPCOM projektet sker med afst i regeringens Smart Grid strategi og EUs mandater om standardisering i forbindelse med Smart Grid.Det er et flles brancheprojekt med 20 partnere, heriblandt Dansk Energi, Dansk Fjernvarme, Foreningen Danske Kraftvarmevrker, Energinet.dk og EURISCO. CHPCOM er stttet af ForskEL til at fremme de internationale smartgrid relaterede datakommunikationsstandarder, specifikt omkring IEC61850, i den danske energisektor.

I etableringen af en sikker kommunikationsinfrastruktur indenfor energisektoren benyttes der eksisterende infrastruktur i s hj grad det er muligt, men der forudses ogs behov for etablering af ny/udbygning af eksisterende infrastruktur.

CHPCOM-projektet er derfor interesseret i en fortsat dialog om mulige synergier i mellem den nationale identifikations- og digital signaturinfrastruktur og it- og kommunikationsinfrastruktur indenfor energisektoren.

For eksempel, til sikring af kommunikationen i mellem forskellige aktrer indenfor energisektoren er der behov for udstedelse af certifikater til sikring af kommunikationen fra maskine-til-maskine og fra person-til-maskine.

Dette er et omrde der ikke ligger naturligt indenfor det omrde som NemID hidtil har adresseret, nemlig at levere et brugercertifikat, der kan benyttes af danske borgere.

Uanset om det mtte give mening at inkludere maskine-til-maskine-certifikater i den kommende OCES3-infrastruktur br certifikatpolitikkerne i denne infrastruktur understtte samspil med andre certifikatinfrastrukturer, som fx en specifik

25. juni 2014

certifikatinfrastruktur til forsyningssektoren hvor det primrt er kommunikation fra maskine-til-maskine, der skal sikres.

Et sdant samspil kan vre at administratorer, der skal bestille maskine-til-maskine-certifikater kan autenticitetssikres ved hjlp af et NemID medarbejder-certifikat. P denne mde kan udgifter til etablering af en separat lsning til udstedelse af akkreditiver til administratorer undgs.

Dette vurderes dog i dag ikke at vre muligt p grund af flgende afsnit 5.10 og 5.11 i DanIDs tjenesteudbyderaftale:5.10 Certifikater fra DanID m ikke bruges til at generere eller signere Certifikater for andre eller i vrigt danne grundlag for identifikation overfor tredjemand.

5.11 Tjenesteudbyder er indforstet med, at DanIDs ydelser ikke m viderefres eller benyttes til at gennemstille Bruger til anden Tjenesteudbyder, hvorved denne Tjenesteudbyder fr mulighed for at benytte den forudgende autentifikation foretaget med brug af NemID med mindre andet aftales. Aftale om gennemstilling forudstter, at den Tjenesteudbyder, der gennemstilles til ogs har indget en Tjenesteudbyderaftale med DanID, og at der afregnes transaktionsvederlag pr. Bruger. Ved en anden Tjenesteudbyder forsts en virksomhed, institution, organisation med et CVR-nummer, der er forskelligt fra det, som denne Aftale vedrrer.

De ovennvnte begrnsninger vurderes ogs at blokere for mere privacy-venlige lsninger, som vil kunne bygges med afst i NemIDs solide infrastruktur.

Uanset om der arbejdes videre med en multi-leverandr model for nste generation af NemID eller en der ligner den nuvrende model med blot n leverandr af NemID anbefaler CHPCOM-projektet at der ikke blokeres for at kunne danne afledte ngler p basis af et NemID certifikat.

Nu svel som i takt med at CHPCOM-projektet konkretiserer behovene for sikker it- og kommunikationsinfrastruktur indenfor energisektoren indgr projektet meget gerne i yderligere dialog medDigitaliseringsstyrelsen om behov og nsker vedrrende den fremtidige identifikations- og digital signaturinfrastruktur.

Med venlig hilsenP vegne af CHPCOM projektet

Brian Storm GraversenWork Package LeadCHPCOM WP5 Sikkerhed

Hringssvar

Vedr. Offentlig hring om nste generation af den nationale identifikations- og digital

signaturinfrastruktur (NemID)

Afsender Civilstyrelsen

Dato 27. juni 2014

Kre Morten

Vedhftet finder du kopi af hringssvar fra Rigspolitiet, Domstolsstyrelsen, Kriminalforsorgen,

Udlndingestyrelsen og Datatilsynet.

Det bemrkes, at hverken Den Uafhngige Politiklagemyndighed eller Civilstyrelsen har haft

bemrkninger.

Med venlig hilsen

Morten Chjeffer Rasmussen

Fuldmgtig

Budget- og Planlgningskontoret

Slotsholmsgade 10

1216 Kbenhavn K

Tlf. direkte: 7226 8437

Tlf.: 7226 8400

www.justitsministeriet.dk

jm@jm.dk

Hringssvar

Vedr. Offentlig hring om nste generation af den nationale identifikations- og digital

signaturinfrastruktur (NemID)

Afsender Danmarks Rederiforening

Dato 27. juni 2014

Til Digitaliseringsstyrelsen

Danmarks Rederiforening har ikke umiddelbart bemrkninger til de listede hringstemaer, men vil med

interesse flge udviklingen af nste generation af identifikations- og digital signaturinfrastruktur, nr

rammen for en ny lsning er mere konkret.

Med venlig hilsen / Kind regards Stinne Taiger Iv Kontorchef/Head of Division, Lawyer, PhD Danmarks Rederiforening / Danish Shipowners' Association Amaliegade 33 DK-1256 Copenhagen K Tel.: +45 33 11 40 88 / Direct: +45 33 48 92 85 Mobile: +45 51 50 15 85 E-mail: sti@shipowners.dk www.shipowners.dk

Hringssvar

Vedr. Offentlig hring om nste generation af den nationale identifikations- og digital

signaturinfrastruktur (NemID)

Afsender Dansk Byggeri

Dato 30. juni 2014

Offentlig hring om nste generation af NemID

Dansk Byggeri takker for muligheden for at afgive hringsvar. Vedlagt findes vores svar.

For Dansk Byggeri er det vsentligt, at en fremtidig lsning til brug i virksomheder/erhvervsmssige

sammenhnge er baseret p hj grad af brugervenlig til gavn isr for sm og mellemstore

virksomheder. Det betyder, at bestilling, anvendelse, vedligeholdelse opdatering og ndringer skal kunne

hndteres enkelt og forsteligt, sledes at brugere i sm og mellemstore virksomheder foranlediges til at

anvende lsninger, der opfylder krav til sikkerhed, juridiske aspekter mv.

Den fremtidige lsning skal hermed kunne hndtere de forskellige roller i virksomhedens administration

herunder som ejer/indehaver eller som ansat medarbejder med forskellige funktioner i forhold til

virksomhedens administration og lbende drift med relation til ogs branchemssige administrative krav.

Det er endvidere vigtigt, at den fremtidige lsning er orienteret mod de tekniske muligheder herunder

den stigenede digitalisering og de effektiviseringer, der kunne opst i denne sammenhng ogs mod

lanceringen ultimo 2017 og efterflgende..

Dansk Byggeri forventer endvidere at en national digital identifikations- og signaturinfrastruktur vil kunne

anvendes (oprettelse, drift, support og lbende vedligeholdelse) af virksomheder uden omkostninger for

virksomhederne.

Vi er naturligvis til rdighed for uddybning af ovennvnte.

Venlig hilsen

Jrn Jensen

Udviklingschef

Kursus&Udvikling

Tlf. direkte: 72 16 01 33 Mobil: 40 13 22 03

Vi samler byggeri, anlg og industri

Nrre Voldgade 106 1358 Kbenhavn K

www.danskbyggeri.dk Abonner p nyheder

/JSA

jsa@danskerhverv.dk

Side 1/4

-

Deres ref.: 2014- 5155-013

Digitaliseringsstyrelsen

Att.: Morten Jrsum

kis@digst.dk

27. juni 2014

Offentlig hring om nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID)

Generelle bemrkninger

NemID har uden tvivl vre med til bane vejen for digitalisering af Danmark. Dels fordi lsningen

for de fleste er nemmere at bruge end den digitale signatur, NemID aflste. Dels i kraft af det bag-

vedliggende samarbejde mellem den offentlige og privat sektor. Brugervenlige lsninger og of-

fentligt/privat samarbejde er vejen frem, ikke mindst i takt med at digital kommunikation bliver

obligatorisk.

En nyt NemID skal stte nye ambitise ml som kan retfrdiggre en gentkning og et nyt ud-

bud af konceptet. De tre r frem til at kontrakten p den nuvrende NemID udlber er lang tid i

teknologir - og hvad der umiddelbart kan opfattes som en fjern tendens i dag, kan vre meget

nrvrende til den tid. Et eksempel er den gede mobilitet, som har vret drftet som tendens i

revis, men hvor der frst er fundet finansiering til lancering af en mobil variant af NemID medio

2014.

Dansk Erhverv hilser det derfor velkomment, at Digitaliseringsstyrelsen indleder arbejdet p et

nyt beslutningsgrundlag med en bred hring. Arbejdet br til stadighed indtnke kommunikation

og bred forankring i en verden, hvor det digitale for lngst er blevet mainstream og Dansk Er-

hverv forventer derfor ogs, at dette blot er frste af flere gange, offentligheden inddrages i sagen.

Specifikke bemrkninger

Dansk Erhverv har flgende bemrkninger til de syv temaer fra Digitaliseringsstyrelsen.

1. Fremtidige forretningsmssige behov, for henholdsvis virksomheder, offentlige

sektor og borgere i Danmark og udlandet samt eventuelle juridiske forhold.

Fremtidens vigtigste infrastruktur er digital og gr via internettet. P grund af internettets bne

og globale natur vil mange diskussioner om standarder mv. vre globale diskussioner. Den tekno-

logiske udvikling betyder, at visionen om et indre marked i EU rykker tttere p virkeligheden.

Internettet gr p tvrs af landegrnser, og s lnge man har en bredbndsforbindelse, kan man

Side 2/4

i princippet etablere virksomhed og samarbejde over landegrnser, ligesom man har mulighed

for at tilbyde sine produkter til et stort europisk marked. Dansk Erhverv nsker en langt hjere

grad af fllesmarkedstnkning og harmonisering p disse omrder.

Ikke mindst virksomheder har behov for lsninger, der fungerer gnidningsfrit p tvrs af natio-

nale systemer. EU har stort fokus p at realisere potentialerne i det digitale indre marked. En del

af dette er get samarbejde og bevgelighed p tvrs af unionen. Dansk Erhverv opfordrer derfor

til at sikre, at en kommende NemID er ajour og foreneligt med udviklingen af tilsvarende syste-

mer i resten af unionen.

Fuldmagtslsninger br indarbejdes p tvrs af lsninger, s en borger kan give en medborger en

begrnses fuldmagt fx afgrnset i tid eller til bestemte selvbetjeningslsninger. Det stiller ikke

kun krav til udformningen af selve NemID, men ogs til alle de myndigheder der integrerer ls-

ninger med NemID.

2. Funktionalitet og anvendelse, herunder eksempelvis niveaudelt sikkerhed, lokal

administration af autorisation, single sign-on mv.

Et springende punkt ved overgangen til NemID var den centrale opbevaring af nglefiler. Papkor-

tet (og senere den digitale ngleviser) er en pragmatisk lsnings, der tilgodeser brugervenlig-

hed. Fremadrettet br NemID kunne tilbydes, s brugeren (borgere, organisationen, virksomhe-

den) har mulighed for selv at opbevare nglefilen. For centralt placerede ngler er der selvsagt

behov for hjeste sikkerhed med brug af robuste teknologier og procedurer.

Virksomhedsforum (enklereregler.dk) behandler lbende udfordringer om samspillet mellem

virksomheder og den offentlige sektor, og har haft flere drftelser med relation til NemID. Flere af

de behandlede forslag har ikke (eller kun delvist) kunne gennemfres inden for rammerne af det

eksisterende NemID. Disse emner kan med fordel tages op til fornyet overvejelse.

Eksempelvis har man i dag een NemID (eet papkort) pr. person og CVR-nummer. Det betyder, en

person, der driver tre virksomheder i dag skal bruge tre forskellige NemID-nglekort til sine virk-

somheder, samt et i rollen om borger. Her ville det vre hensigtsmssigt, at man med n og

samme identitet kan administrere flere virksomheder (flere CVR-numre og roller). Se virksom-

hedsforum, forslag 239.

3. Behov for brugervenlighed, herunder forskellige brugeres aktiviteter fra bestil-

ling til anvendelse og eventuel sprring mv.

Hidtidige erfaringer har vist, at man nrmest kun kan undervurdere betydningen af brugerven-

lighed og genkendelighed p tvrs af lsninger. Brugerne af NemID er ogs brugere af store

kommercielle tjenester, som investerer massivt i brugervenlighed som konkurrenceparameter el-

ler prmis for overhovedet at have en rolle p markedet. Brugerne tager derfor hje forventnin-

ger til brugervenlighed med sig med strste selvflgelighed, nr de mder offentlige lsninger.

Side 3/4

Implementeringen af Digital Post til erhverv pr. 1. november 2013 viste, at der stadig er plads til

forbedringer ift. udvikling og brugervenlighed, og at der skal afsttes betydelige ressourcer til

opmrksomhedsskabende aktiviteter og support ved implementering (se Virksomhedsforum,

forslag 237). Fx finder flere enmandsvirksomheder det kontraintuitivt at skulle udstede en med-

arbejdersignatur til sig selv (se Virksomhedsforum, forslag 240).

4. Teknik og infrastruktur, herunder eksempelvis adskillelse af eID og eSignering,

single sign-on, sammenhngende IT-arkitektur, sikkerhed mv.

I dag er NemID nglen til alting med samme sikkerhed i alle lsninger. I takt med at mere og

mere kommunikation foregr digitalt ikke bare mellem virksomheder og det offentlige, men

mellem borgere, virksomheder og myndigheder p tvrs stiger behovet for forskellige grader af

sikkerhed, alt efter hvilken selvbetjeningslsning eller kommunikation der er tale om. En fremti-

digt NemID br derfor designes til at levere sikkerhed fra niveau lukket kuvert til niveau Fort

Knox.

Tendenser der kan synes fjerne i dag, kan blive dagligdag for borgerne og forretningskritisk for

virksomheder og offentlige myndigheder p kort tid. F snakkede om smartphones og det mobile

internet i 2007, men det har som bekendt for lngst fet sit folkelige gennembrud, hvor det frem-

str utidssvarende, at offentlige it-lsninger ikke for lngst har fulgt med. En kommende NemID

skal derfor kunne benyttes p tvrs af platforme hardware svel som software. Der br s vidt

muligt anvendes bne standarder, der ogs fremadrettet understtter (ogs kommende) platfor-

me, kommunikation med endnu ukendte tjenester, eller systemer i andre lande. Det kunne for ek-

sempel blive relevant inden for sundhedsteknologier (Quantified Self) og the internet of things.

I medieomtaler af identitetstyveri har der ind i mellem hersket uklarhed og sket sammenblanding

af identitetstyveri og svindel med betalingskort, lige som der er set regulatoriske tiltag omkring

CPR med tvivlsom effekt. Diskussionen om en kommende NemID kan forhbentlig vre medvir-

kende til at rydde op i misforstelser fx misopfattelsen af CPR-nummeret som en slags kodeord,

eller tanken om, at NemID skulle vre lsningen p alt, herunder ogs ved almindelig handel. Se

Dansk Erhvervs Lsningsforslag til kampen mod identitetstyveri.

5. Samspil med interessenter, herunder tjenesteudbydere, administrative

procedurer, sikkerhedsprocedurer mv.

NemID har vret ramt at nogle uheldige driftsforstyrrelser. I takt med at brugen og afhngighe-

den stiger, har disse uregelmssigheder bevget sig fra at vre irritationsmomenter til at udgre

reelle problemer. Een ting er kontrakter og bodsbestemmelser; noget andet er daglig praksis. Der-

for br beslutningsgrundlaget for den kommende NemID indeholde overvejelser om ndlsnin-

ger ved de driftsforstyrrelser, som selvflgelig ikke m ske, men som ikke desto mindre forekom-

mer i den praktiske virkelighed.

6. Fremtidig forretningsmodel, herunder leverandrstyring, support, betalings-

struktur, en model med flere leverandrer mv.

Side 4/4

Der ligger udfordringer i sprgsmlet om, hvorvidt en kommende NemID skal udbydes af en eller

flere leverandrer. P den ene side str nsket om konkurrenceudsttelse med flere leverandrer

(pris, innovation), og p den anden side behovet for at sikre tilstrkkelig volumen til at der kan

drives en rentabel forretning p en kommende NemID, som holdes ajour ift. sikkerhed og nye

funktioner. Uanset fremtidens brug af NemID er lsningen afgrnset til omkring fem millioner

danskere, hvad enten de er i rollen som borgere, organisationer eller virksomheder. I lighed med

IT-Branchen vil Dansk Erhverv derfor opfordre til, at man undersger eksempelvis engelske erfa-

ringer med en flerleverandrlsning.

7. Andre bemrkninger

-

Med venlig hilsen

Janus Sandsgaard

Chefkonsulent

Bredgade 25 A I DK 1260 Kbenhavn K I Tlf +45 3311 1560 I dit@dit.dk I www.dit.dk I CVR 8397 3315

Vedr. Offentlig hring om nste generation af den nationale identifikations- og digital

signaturinfrastruktur (NemID)

Digitaliseringsstyrelsen har den 28. maj 2014 ivrksat en hring med henblik p at indhente input til

nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID).

DANSK IT har en rkke observationer vedrrende den nuvrende NemID-lsning. Disse indgr

sammen med en rkke anbefalinger i hringssvaret nedenfor.

En helt indledende bemrkning er, at det vil vre ndvendigt at gre det ganske klart, hvorfor der

er behov for en aflser for NemID. Trods begyndervanskeligheder og visse kritikpunkter er NemID

ved at blive bredt accepteret og forstet af det offentlige, virksomheder og ikke mindst

befolkningen, s de ndringer, der mtte blive introduceret, skal kunne opfattes som klare

forbedringer bredt i befolkningen for at modvirke en generel modstand mod den digitale udvikling.

Et vsentligt sprgsml som vi dog ikke tager endelig stilling til i dette hringssvar er, hvorvidt

der skal skabes et marked med flere udbydere af den nste generation af den nationale

identifikations- og digital signaturinfrastruktur, eller om der alene skal vre n (offentlig) udbyder.

Det er p den ene side et sprgsml om at sikre en samfundsmssig kontrol over den essentielle

infrastruktur og p den anden side sikre en markedsbaseret udvikling, der fremmer innovation og

sikrer konkurrence om at levere tidssvarende lsninger, der til stadighed modsvarer borgernes,

erhvervslivets og den offentlige sektors behov. Basalt set handler det om at lgge det rigtige snit i

forhold til hvilken del af infrastrukturen, der skal vre centralt kontrolleret, og hvilke dele, der kan

underlgges konkurrence. Det er under alle omstndigheder en diskussion, som DANSK IT

opfordrer Digitaliseringsstyrelsen til at give stor opmrksomhed i det videre arbejde.

27.juni 2014

Til Digitaliseringsstyrelsen Att. Morten Jrsum kis@digst.dk

Bredgade 25 A I DK 1260 Kbenhavn K I Tlf +45 3311 1560 I dit@dit.dk I www.dit.dk I CVR 8397 3315

1. Fremtidige forretningsmssige behov

Traditionelt har cpr-nummeret vret anvendt som et middel til unik identifikation og i visse

tilflde ogs autentifikation af en borger/bruger. Udviklingen de senere r og de mange sager,

hvor cpr-numre enten er lkket eller misbrugt, understreger behovet for udvikling af en

sikkerhedsmssig robust og holdbar lsning, der unikt identificerer den enkelte borger. Lsningen

br som default indeholde forskellige sikkerhedsniveauer og privatlivsbeskyttelse og samtidig vre

enkel at bruge.

DANSK IT anbefaler at orientere sig p europisk plan for at vurdere, om Danmark br forholde sig

til lsninger og trends der og som minimum sikre kompatibilitet med andres europiske

identitetssystemer.

Mulighed for delvis eller trinvis anonymitet: Der er situationer, hvor det kan vre nskvrdigt at

vre delvist anonym; fx kan der vre funktioner, hvor det kun er f oplysninger om brugeren, som

er ndvendige for at blive tilladt adgang til en bestemt funktion. Ved de fleste ehandels-

transaktioner vil der for eksempel alene vre behov for at sikre valide adresseinformationer.

2. Funktionalitet og anvendelse

Borgerne bliver mere og mere mobile, og forventer en strre og strre grad af personalisering. Det

betyder for det frste, at en kommende udgave af NemID funktionelt skal vre markant lettere at

anvende, nr den skal bruges p farten.

Derudover br der opbygges en form for trappe eller trinvis inddeling af autentifikationen, sledes

at man med f login-oplysninger kan tilg almindelige personlige oplysninger og at det frst er nr

srligt personflsomme oplysninger skal prsenteres, eller der skal foretages vsentlige

transaktioner, man skal bruge hjeste sikkerhedsniveau. Alts mulighed for differentierede

sikkerhedsniveauer og privatlivsbeskyttelse. Det br fremg, hvilket sikkerhedsniveau der er valgt

for en specifik kommunikation. Der br i videst muligt omfang gives brugeren mulighed for selv at

vlge sikkerhedsniveau, hvis det kan sikres, at der sker et oplyst valg p basis af en afvejning af

sikkerhed kontra bekvemmelighed.

Det skal desuden vre nemt at anvende lsningen p nye typer af enheder, hvad enten det mtte

vre fremtidens intelligente kleskabe, stvsugere, tv, telemedicinsk udstyr etc.

Bredgade 25 A I DK 1260 Kbenhavn K I Tlf +45 3311 1560 I dit@dit.dk I www.dit.dk I CVR 8397 3315

Interfacet skal vre nemt at forst, s brugeren nemt kan overskue hvad han giver vk af

information.

Der br vre andre to-faktor autentikationsmekanismer end nglekort og password.

Borgerens digitale identitet br tilhre borgeren p samme mde som et pas til traditionel

identifikation. Det vil sige, at man br kunne autentificere sig over for en tredjepart og eventuelt f

etableret afledte identiteter uden at dette bliver registreret hos udstederen og uden at der kan

opkrves gebyr herfor i srdeleshed gebyrer for brug af afledte identiteter.

NemID til medarbejderbrug br hndteres som tilknyttede roller (attributter) for personen. Det vil

gre brugen lettere for personer med mange roller.

3. Behov for brugervenlighed

Det er vigtigt at den kommende lsning understtter brugere med srlige behov, fx i forbindelse

med handicap, uanset om det er en borger eller en offentligt ansat medarbejder.

I den forbindelse m der ogs tages hensyn til problemstillinger omkring fuldmagt og delegering,

hvor der eksempelvis br vre mulighed for at delegere rettigheder til begrnsede forml til

familiemedlemmer eller andre. Derved kan det undgs, at personer generelt udleverer hele deres

NemID-credentials til andre.

Det br vre muligt at kunne foretage en sprring online, hvis der er mistanke om misbrug.

Endvidere br lsningen kunne stilles til rdighed for brn og unge og tilgodese deres behov for

login i forbindelse med skoleplatforme, eksamener, bus- og tog-kort, bankkonti m.v.

I takt med at et bredere spektrum af tjenester m forventes at benytte en fremtidig id- og

signaturlsning, br det ogs fra begyndelsen gres muligt, at personer med kortvarig tilknytning til

Danmark fx turister, expats og udvekslingstuderende kan tilbydes adgang til lsningen p en

administrativ enkel og omkostningseffektiv mde.

Bredgade 25 A I DK 1260 Kbenhavn K I Tlf +45 3311 1560 I dit@dit.dk I www.dit.dk I CVR 8397 3315

4. Teknik og infrastruktur

Den nye generation af Nemid br vre uafhngig af platforme og sledes kunne fungere p alle

kendte, relevante platforme.

Adskillelse af eID og eSignering vil vre at foretrkke. Desuden synes det ogs at vre

sikkerhedsmssigt hensigtsmssig at skelne mellem den digitale identifikation og de situationer,

hvor borgeren eller brugeren skal underskrive digitalt.

Systemet br konstrueres sledes at (avancerede) brugere har mulighed for at f fuldkommen

kontrol over deres eget nglemateriale.

Man br undersge muligheden for at introducere et sikret hardware-modul, som kan vise den

transaktion, man er ved at godkende/signere. Dette vil vanskeliggre man-in-the-middle-angreb,

som har vist sig at vre en udfordring ved det eksisterende system.

Lsningen br i videst muligt omfang benytte bne standarder blandt andet for bedre at kunne

interagere med kommende teknologier og standarder.

Den nye version af NemID skal vre robust over for kompromittering, sledes at de personlige

oplysninger, som bruger afgiver ved anvendelse af NemID, ikke kan anvendes af uvedkommende.

Der skal planlgges for, at lsningen kan kompromitteres p centralt hold uden tab af fortrolighed

og integritet. Dette kan eksempelvis opns ved at kryptere lagrede oplysninger og opretholde en

effektiv og robust adgangskontrol.

5. Samspil med interessenter

Det br vre et krav, at en anden offentlig myndighed end Digitaliseringsstyrelsen godkender

sikkerhedsdesign og implementering i den nste generation af NemID som valideringsmekanisme i

forhold til offentlige systemer.

Isr det private marked har behov for lsninger, der fungerer interoperabelt og brugervenligt p

tvrs af nationale grnser.

Bredgade 25 A I DK 1260 Kbenhavn K I Tlf +45 3311 1560 I dit@dit.dk I www.dit.dk I CVR 8397 3315

I forhold til organisering har Se og Hr-sagen senest illustreret vigtigheden af organisatoriske

sikkerhedsrutiner m.v. Derfor br der i forbindelse med driften af systemerne stilles krav, som

eksempelvis indebrer, at

samme person m ikke have adgang til mere end t system

hardware til hvert kritisk system skal fysisk vre beskyttet og uafhngig af hardware til

andre kritiske systemer

kritiske funktioner skal involvere mindst to personer

Digitaliseringsstyrelsen gennemfrer egen kontrol med leverandrens it-sikkerhedspraksis

6. Fremtidig forretningsmodel

Ingen srlige bemrkninger til dette punkt men se det indledende afsnit om samfundsmssig

kontrol og skabelse af marked.

7. Andre bemrkninger

Det br helt generelt holdes for je, at den nye generation af NemID br vre s robust og plidelig,

at borgernes tillid til den offentlige, digitale infrastruktur kan bibeholdes.

Desuden br etableringen af lsningen vre baseret p en bevidsthed om, at der er en get

hastighed i udviklingen af bde tjenester, services og brugsscenarier. Det er eksempelvis en

konsekvens af udbredelsen af Internet of Things og et tilhrende behov for rettighedsstyring. Det

stiller nye krav til mulighederne for lbende at tilpasse lsningen, s den understtter udviklingen

frem for at blive betragtet som en klods om benet.

Med venlig hilsen Anders Sparre politisk chef

Blekinge Boulevard 2 2630 Taastrup, Danmark Tlf.: +45 3675 1777 Fax: +45 3675 1403 dh@handicap.dk www.handicap.dk

DHs medlemsorganisationer: ADHD-foreningen Astma-Allergi Danmark Danmarks Blderforening Danmarks Psoriasis Forening Dansk Blindesamfund Danske Dvblindes Fllesreprsentation Dansk Epilepsiforening Dansk Fibromyalgi-Forening Dansk Handicap Forbund Dansk Landsforening for Laryngectomerede - Strubelse Danske Dves Landsforbund Diabetesforeningen Foreningen af Stammere i Danmark Gigtforeningen Hjernesagen Hjerneskadeforeningen Hreforeningen Landsforeningen Autisme Landsforeningen LEV Landsforeningen Sind Landsforeningen til Bekmpelse af Cystisk Fibrose LungePatient.dk Muskelsvindfonden Nyreforeningen Ordblinde/ Dysleksiforeningen i Danmark Osteoporoseforeningen Parkinsonforeningen PTU - Landsforeningen af Polio-, Trafik- og Ulykkesskadede Sammenslutningen af Unge Med Handicap Scleroseforeningen Spastikerforeningen Stomiforeningen COPA

Til

Digitaliseringsstyrelsen,

e-mail: kis@digst.dk

Taastrup, den 27. juni 2014 Sag 6-2014-00357 Dok. 162734 SL /mol/kft

Hringssvar: Offentlig hring om nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID)

Danske Handicaporganisationer (DH) har flgende bemrkninger til tema 3, Behov for

brugervenlighed:

I forbindelse med nste generation af NemID er det vigtigt, at der tages hjde for

tilgngelighed for personer med handicap allerede fra udarbejdelsen af

kravspecifikationerne. NemID skal ogs kunne benyttes af personer med handicap, hvoraf

nogle bruger srligt tilpassede it-programmer. I udviklingsfasen skal man stille krav om

tilgngelighed og henvise til de eksisterende standarder og retningslinjer. I de tilflde, hvor

der ikke findes standarder eller retningslinjer, skal behovene om tilgngelighed afdkkes

ved at inddrage personer med handicap og tilgngelighedseksperter i processen.

Tilgngelighed er vigtig for mange forskellige grupper af personer med handicap,

heriblandt personer med fysiske, kognitive og kommunikationsmssige handicap.

Hvor der er behov for det, skal der udvikles srlige lsninger for personer med handicap.

Dette behov skal afdkkes i samarbejde med handicaporganisationerne, der skal inddrages

lbende i dette arbejde. De nuvrende alternative lsninger har langtfra dkket de behov,

personer med handicap, der tidligere har vret selvhjulpne, er stdt p. F.eks. har hardware-

lsningen, der bl.a. skulle vre en lsning for mennesker med handicap, vist sig ikke at

vre brugbar, da man allerede i forbindelse med installationen stder ind i netop de

problemer, som man ogs mder, nr man bruger et almindeligt nglekort. Derudover

fungerer denne lsning kun p de offentlige lsninger og ikke bankernes. Desuden har

hardware-lsningen vre forbundet med en ekstra udgift for den enkelte borger. Derfor er

en mere simpel (og gratis der skal ikke vre en ekstra udgift alene fordi man har et handicap) ndvendig.

Desuden er det ikke muligt, at f et nyt login, hvis man ikke kan huske sit login. Hvis der

skrives forkert tre gange, m der i stedet bestille en ny, med de omkostninger der er

forbundet med dette.

2

Adgang til NemID for personer med handicap er afgrende for, at alle bliver inkluderet i det

digitale samfund, vi alle skal vre en del af med bl.a. obligatorisk digitalisering og digital

post. Den nuvrende NemID-lsning rummer en del udfordringer, som IT- og Telestyrelsen

for nogle r siden identificerede gennem en arbejdsgruppe, nedsat til formlet. Vi vedlgger

den afsluttende rapport. F.eks. br det vre muligt, at nglekort kan modtages elektronisk,

da det vil give personer med handicap mulighed for at benytte kompenserende programmer

som zoom og talesyntese til at aflse og anvende nglekortet.

Disse udfordringer skal lses i den nste generation af NemID, s den bliver tilgngelig for

alle.

Skulle ovenstende give anledning til sprgsml, kan disse rettes til chefkonsulent, Monica

Lland, p tlf.: 3638 8524 eller e-mail: mol@handicap.dk.

Med venlig hilsen

Stig Langvad Formand

N O T A T

Bilag A: Regionernes visionsoplg for NemID

Resum

Regionerne ser frem til et konstruktivt og effektivt samarbejde om udbudspro-

cessen for NemID, som isr br fokusere p lokale forretningsbehov.

Regionernes formelle indspil udgres af nrvrende visionsoplg samt lben-

de deltagelse i workshops, hringer og ad hoc henvendelser. Det undersges

endvidere, om der er grundlag for indstationering i Digitaliseringsstyrelsen.

Baggrund

Regionerne har gennemfrt en flles opsamling om den nuvrende NemID-

lsning som led i forberedelsen af udbudsprocessen. Erfaringsopsamlingen fo-

kuserer p 1) velfungerende elementer i NemID, som br viderefres og 2) op-

lagte omrder til forbedring. Dette visionsoplg udgr en uddybning af erfa-

ringsopsamlingen samt regionernes formelle svar p den offentlige hring om

nste generation af den nationale identifikations- og digital signaturinfrastruk-

tur (NemID).

Lsning

Nedenfor opsamles regionernes indspil til udbuddet af NemID.

Velfungerende elementer i det nuvrende NemID

Regionerne kvitterer for den stabile og gensidigt forpligtende offentligt/private

forretningsmodel for det nuvrende NemID. Forretningsmodelen br fortsat

inkludere bankerne og udbygges med eventuel inddragelse af telesektoren og

forsikringsselskaberne. Endelig har ogs den tekniske model vist sig at vre

velfungerende over lngere tid sidelbende med udviklingen i den nationale og

lokale digitale infrastruktur.

Temaer for et kommende NemID

16-06-2014

Sag nr. 14/413

Aleksander Bjerrum

Tel. 35 29 84 90

E-mail: alb@regioner.dk

Side 2

Det er vigtig med en overordnet diskussion af de styrende temaer for et kom-

mende NemID, eksempelvis forholdet mellem staten som udbyder af infra-

struktur og lokale virksomheder som indkbere af services, markedsbaserede

modeller samt drftelser af sikkerhed. Helt centralt for det nste NemID er at

forholde sig til at lave en struktur for en lsning, der i princippet skal virke

frem til 2024 og matche forskellige tekniske forml p en gang. Endelig er det

vigtigt med en drftelse af sikkerhedsdagsordenen, isr i lyset af den politiske

bevgenhed p omrdet.

Nste generation af NemID skal skaleres til at rumme store virksomheder og

br bringe brugerne tttere p Bring Your Own Device-konceptet, hvor Ne-

mID i et strre omfang er platformsuafhngig og kan anvendelse p mobile

enheder.

Leverandrkontakt og styring

Betalingsstrukturen skal leve op til gngse standarder for gennemsigtig

og konomisk rimelig fakturering og det skal vre muligt at flge

hndteringen af sin henvendelse.

Leverandren af et kommende NemID skal forpligtes p konkrete ser-

viceml for den tekniske lsning, herunder isr oppetider, fejlhndte-

ring, lsningstider og lovrelaterede ndringer. Servicemlene, og op-

flgningen herp, forvaltes i samarbejdsmodel om drift og vedligehold

af fllesoffentlig infrastruktur.

Der br i den nye model rettes et strre fokus p brugervenligheden i

administrationen/hndteringen af NemID. Der mangler vigtige og for-

bedrede elementer som statistik-modul, visnings-modul og fejlhndte-

rings-modul.

Serviceml skal ses i sammenhng med centrale opdateringer og evt.

afledte lokale behov for at indkbe hjlpeprogrammer. Fx bruger den

nuvrende NemID programmeringssproget Java. Den nste javaopda-

tering fungerer ikke p Windows XP, som mange regioner fortsat bru-

ger. Det betyder, at regionerne m speede opgradering af anden soft-

ware op.

Den samlede lsning med al ndvendig dokumentation til udvikling,

implementering og drift skal vre offentliggjort og tilgngelig mindst

6 mneder fr en planlagt idriftsttelse.

Store organisationer, som regionerne, har brug for en bedre adgang til

udvikling, support og service end en hotline. Hver region br have sin

formelle kontaktperson hos leverandren med hurtig adgang samt mu-

lighed for at pvirke udviklingen af services i forbindels med styringen

og opflgningen af leverancer.

Side 3

Den fremtidige supportorganisation br flge 24/7/365-konceptet.

Planlagte rlige releases samt release-notes br tilg alle kunder

Lokal forankring

Et nyt NemID skal understtte fleksibel og effektiv lokal administration

af autorisation, herunder masseudstedelse og straksoprettelse. Eksem-

pelvis er der i dag udfordringer ved vikar- og nyansttelser, hvor der er

behov for straksopretning.

Der br vre bedre muligheder for test, herunder flere testmiljer, ud-

vikling, kvalitetstest, staging og undervisning.

Lsningen skal forholde sig til forskellen mellem autentificering og

bemyndigelse med tanke for det store behov for at kunne hndtere flere

sikkerhedsniveauer lokalt ligesom dobbelt-sikring br undgs.

Der br fastholdes en sammenhng mellem autentifikation og signatur,

sledes at den en funktionalitet ikke kan eksistere uden den anden

Autentifikation og bemyndigelse skal vre synkroniserede, s de udl-

ber p samme tid.

Det skal vre muligt for store virksomheder at have en super-

administrator som kan opstte administrator rettigheder for grupper af

administratorer.

Anvendelsen af NemID skal genere grundlag for ledelsesinformation.

Det drejer sig eksempelvis om statistikker. Eksempelvis kan det vre

mulighed for at se p antallet af brugere og gruppering af brugere ude-

fra kriterier og tid. Desuden skal det i statistiklister vre muligt med

hjere detaljegrad p specifikke dataelementer.

Implementeringen af NemID skal tage hjde for omfanget af system-

tekniske konksekvenser i lokale systemer. Dette er isr med tanke p,

at lsningen skal indtnkes i systemets arkitektur.

Behov for strre handlefrihed til anvendelse p forskellige platforme,

herunder diverse gngse tablets og smartphones, fx IOS, Andriod,

Windows Phone / Surface mv.

Der br findes en lsning, s udenlandske ansatte har mulighed for at

benytte tjenester, der er anvendes med NemID.

get mulighed for integration med andre offentlige instanser.

Teknik og infrastruktur

Mulighed for single signon (afdkning af srligt tekniske og juridiske

aspekter i ny digital signatur).

Yderligere udbygning/mulighed for anvendelse af web-services

Side 4

Overvgning, monitorering og display af aktuel status af web-services

fra leverandrens side

Udviklingen af fremtidig NemID br flges af et overordnet arkitektur-

rd, s der sikres compliance med andre nationale/regionale systemer.

Fderationslsninger br udbygges til brug for regioner og kommuner.

Der br arbejdes p en yderligere understttelse af fderationslsningen

i NSP. Adgang til relevante statslige systemer og fllesregionale sy-

stemer skal flyttes til adgang via NSP.

Afhngigheder (juridiske mv.)

Der skal laves centrale retningslinjer, for hvornr der skal bruges med-

arbejder-, funktions- eller virksomhedssignatur.

Ved e-mail af 28. maj 2014 har Digitaliseringsstyrelsen anmodet om Datatil-

synets eventuelle kommentarer til hring om nste generation af den nationa-

le identifikations- og digital signaturinfrastruktur (NemID).

Hringen indeholder ingen nrmere beskrivelse af en kommende lsning.

Digitaliseringsstyrelsen har imidlertid i overskriftsform angivet en rkke temaer,

indenfor hvilke styrelsen nsker bemrkninger.

I den anledning skal Datatilsynet fremkomme med flgende overordnede be-

mrkninger:

1. Datatilsynet skal generelt understrege, at den til enhver tid gldende per-

sondatalovgivning skal iagttages i forbindelse med udstedelsen af signaturen.

Efter Datatilsynets opfattelse ligger ansvaret for, at sikkerheden i den nye

lsning er tilstrkkelig hj, hos svel Digitaliseringsstyrelsen som en evt.

kommende leverandr.

2. Herudover skal persondatalovgivningen iagttages, nr signaturen bruges

hos myndigheder og virksomheder f.eks. i selvbetjeningslsninger for bor-gerne eller ved medarbejderes log-in til myndigheders eller virksomheders

systemer.

3. Datatilsynet kan generelt pege p flgende regler i persondataloven:

Grundbetingelserne i persondatalovens 5 om god databehandlings-skik, saglighed, proportionalitet, datakvalitet og sletning.

Behandlingsbetingelserne i persondatalovens 6 om almindelige per-sonoplysninger, 7 og 8 om flsomme personoplysninger samt 11

om personnumre.

Reglerne om de registreredes personers rettigheder i kapitel 8-10, her-under.

o Den dataansvarliges oplysningspligt ved modtagelse/indsamling af oplysninger, jf. persondatalovens 28 og 29.

o Den registreredes ret til indsigt og vrige rettigheder.

Digitaliseringsstyrelsen

Landgreven 4

Postboks 2193

1017 Kbenhavn K

Sendt til: kis@digst.dk

25. juni 2014 Vedrrende hring om nste generation af den nationale identidikations-

og digital signaturinfrastruktur (NemID) Datatilsynet Borgergade 28, 5. 1300 Kbenhavn K CVR-nr. 11-88-37-29 Telefon 3319 3200 Fax 3319 3218 E-mail dt@datatilsynet.dk www.datatilsynet.dk J.nr. 2014-122-0597 Sagsbehandler Trine Cseh-Lessel Direkte 3319 3219

2

Reglerne om datasikkerhed i 41 og 42 kravet om forndne sikker-hedsforanstaltninger, skriftlig databehandleraftale og kontrol med data-

behandleren.

De nrmere krav i sikkerhedsbekendtgrelsen, hvis den dataansvarlige er en offentlige myndighed, samt eventuelle sikkerhedskrav i vilkr fra

Datatilsynet, hvis den dataansvarlige er en privat virksomhed.

Reglerne om anmeldelse til og tilladelse/udtalelse fra Datatilsynet i ka-pitel 12 og 13 samt reglerne om tilladelse fra Datatilsynet i bl.a. 27,

stk. 4.

4. Beskyttelsen af personoplysninger og privatliv br efter Datatilsynets op-

fattelse indg som en integreret del af systemudviklingen. Databeskyttelsen

skal indbygges i lsningen fra en start. Der br i den forbindelse tages hensyn

til, at forskellige brugere kan have forskellige nsker og behov i forhold til

brug af tjenesten, og der br etableres valgfrihed for brugerne, hvor dette er

relevant.

Datatilsynet skal i den forbindelse anbefale, at der foretages en analyse af

konsekvenserne for privatlivet (PIA) i forhold til den ptnkte nationale iden-

tifikations- og digital signaturinfrastruktur.

5. Datatilsynet skal endvidere pege p de elementer, der indgr i Kommissio-

nens forslag til databeskyttelsesforordning1.

Datatilsynet kan umiddelbart fremhve flgende elementer fra forslaget:

Retten til dataportabilitet (artikel 18). Princippet om ansvarlighed (artikel 22). Indbygget databeskyttelse og databeskyttelse gennem indstillinger (arti-

kel 23).

Kravet om dokumentation (artikel 28). Konsekvensanalyse vedrrende databeskyttelse (artikel 33). Forudgende godkendelse og forudgende hring (artikel 34).

Det er uvist, hvordan reglerne bliver i deres endelige udformning. Datatilsynet

skal derfor foresl, at Digitaliseringsstyrelsen flger udviklingen og tager

skridt til at sikre, at nste generation af den nationale identifikations- og digi-

tal signaturinfrastruktur (NemID) kan leve op til de kommende regler, nr de

engang trder i kraft.

Med venlig hilsen

Lena Andersen

Kontorchef

1 Com(2012) 11 final. Forslag til EUROPA-PARLAMENTETS OG RDETS FORORD-

NING om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger

og om fri udveksling af sdanne oplysninger (generel forordning om databeskyttelse).

Hringssvar

Vedr. Offentlig hring om nste generation af den nationale identifikations- og digital

signaturinfrastruktur (NemID)

Afsender Den Uafhngige Politiklagemyndighed

Dato 27. juni 2014

Kre Morten

Vedhftet finder du kopi af hringssvar fra Rigspolitiet, Domstolsstyrelsen, Kriminalforsorgen,

Udlndingestyrelsen og Datatilsynet.

Det bemrkes, at hverken Den Uafhngige Politiklagemyndighed eller Civilstyrelsen har haft

bemrkninger.

Med venlig hilsen

Morten Chjeffer Rasmussen

Fuldmgtig

Budget- og Planlgningskontoret

Slotsholmsgade 10

1216 Kbenhavn K

Tlf. direkte: 7226 8437

Tlf.: 7226 8400

www.justitsministeriet.dk

jm@jm.dk

Hring vedr. nste generation digital signatur DI og DI ITEK takker for henvendelsen af 28. maj 2014 vedrrende hring af "nste

generation af den nationale identifikations- og digital signaturinfrastruktur (NemID)".

Vi har i den anledning flgende bemrkninger til forslaget.

Overordnet er det vigtigt, at den fremtidige lsning er baseret p strst mulig konkur-

rence p markedet, fungerer p tvrs af platforme og hardware, kan anvendes internat i-

onalt, er let at administrere, er fleksibel for brugerne og kan justeres til den internati o-

nale udvikling.

Det er vigtigt, at lsningen er anvendelig til en lang rkke forskellige forml fra digit a-

le selvbetjeningslsninger i det offentlige til autentifikationstjenester p private inte r-

nettjenester, og for bde borgere og medarbejdere i virksomheder og offentlige myn-

digheder.

Endelig er det vigtigt, at Digitaliseringsstyrelsen i det fremtidige arbejde med nste

generation digital signatur sikrer sig en bred opbakning fra de danske aktrer, og de r-

med fr lavet et solidt grundlag for det kommende udbud.

De mere detaljerede bemrkninger flger den struktur, som Digitaliseringsstyrelsen har

foreslet i hringsbrevet.

Fremtidige forretningsmssige behov

1. Pseudonymer og afledte identiteter

Den fremtidige lsning br bne op for en fleksibel anvendelse af attributter, s den

muliggr forskellige typer af anvendelse i bde offentlige og private tjenester . Lsnin-

gen br sledes tillade, at enkeltstende attributter kan anvendes til at sikre brugeren

anonymitet - f.eks. ved alene at autentificere at brugeren er over 18 r. Lsningen br

ligeledes kunne anvendes sledes, at brugeren fleksibelt kan anvende attributter i en

konkret situation og dermed kan oprette afledte identiteter eller pseudonymer.

2. Videregivelse af identiteter

Digitaliseringsstyrelsen

Att.: Morten Jrsum

Landgreven 4

Postboks 2193

1017 Kbenhavn K

18. juni 2014

HEM

Det er vigtigt, at der fastholdes en sikker initial identifikationsproces guidet af sikre

processer og kontroller. P baggrund af den sikre initiale identitet br brugeren let kun-

ne videregive eventuelle afledte identiteter til andre identity management services.

Anvendelsen af afledte identiteter br ikke kunne registreres af den oprindelige udby-

der, ligesom denne ikke br kunne tage betaling for anvendelsen af afledte identiteter.

3. Kompatibilitet med eksisterende identity management systemer

Der er p den globale markedsplads en massiv konkurrence om at tilbyde identity ma-

nagement for brugerne. Der er tilsvarende blandt brugerne vidt forskellige rsager til at

have tillid til de forskellige serviceudbydere. Den fremtidige lsning br tage hjde for

denne situation og sikre en hj grad af kompatibilitet med eksisterende identity mana-

gement-systemer.

4. Kompatibilitet med eksisterende standarder

Danmark br ikke lse sig fast p en national lsning, der ikke kan finde global anven-

delse. Lsningen br derfor vre baseret p og vre kompatibel med internationale b-

ne standarder p omrdet. Dette er vsentligt for svel brugernes anvendelse af og ti l-

lid til lsningen som udbydernes muligheder for at agere p et globalt marked.

Funktionalitet og anvendelse

1. Fleksibel lsning

Det er centralt, at den fremtidige lsning fungerer p tvrs af platforme - f.eks. java,

.net og linux - og p tvrs af hardware enheder - f.eks. PC, tablet og Smartphones.

2. Flere sikkerhedsniveauer

Der er behov for, at den fremtidige lsning kan anvende flere sikkerhedsniveauer a f-

hngigt af den service, som lsningen skal bruges i. Der er f.eks. ikke samme behov

for sikkerhed, nr der logges p skat.dk, som nr der logges p dba.dk. Sikkerhedsni-

veauerne br bl.a. afhnge af risikoprofilen for services og dataklassifikationen. Ser-

viceudbyderen kan f.eks. anvende password, to-faktor autentifikation eller biometri af-

hngig af det behov for sikkerhed, som det vurderes, at den pgldende tjeneste br

udbyde.

3. n medarbejdersignatur

Den fremtidige lsning br sikre, at medarbejdersignaturers rettigheder kan justeres s-

ledes, at der kun skal oprettes n signatur pr. medarbejder, og at denne kan bruges p

tvrs af CVR-numre - f.eks. indenfor samme koncern.

4. Administration af medarbejdersignatur

Administrationen af medarbejdersignaturerne opleves som ganske besvrlig. Nr der

skal tildeles rettigheder til den enkelte bruger, skal der logges ind mange forskellige

steder. Det vil vre nyttigt, hvis administrator alene skulle logge ind t sted, og herfra

kunne fordele alle rettigheder til medarbejderen. Tilsvarende ville det vre nyttigt, hvis

administrator kunne kopiere en rolle med et givent st rettigheder fra n bruger til en

anden bruger, s man ikke skal starte forfra for hver bruger.

Behov for brugervenlighed

1. Sprog

Mange danske virksomheder agerer i en global kontekst og har derfor behov for support

p flere sprog - isr engelsk.

2. Fleksible signaturer

For nogle virksomheder er det nyttigt at have en medarbejdersignatur, som er forskellig

fra brugerens private signatur. For andre virksomheder - typisk enkeltmandsvirksomhe-

der - er det besvrligt at have forskellige signaturer. Der br gives hjere grad af flek-

sibilitet p dette omrde, sledes at det er op til brugerne, om den ene eller den anden

model skal anvendes.

3. Sikker e-mail

Det er fra flere sider blevet ppeget, at mange virksomheder har vanskeligt ved at inte-

grere den nuvrende lsning i deres e-mail. Der br arbejdes p at lave en enkel og

brugervenlig lsning til at modtage et certifikat til sin egen mailklient (og i tilknytning

hertil ogs til de gngse webmailklienter).

4. Delegering af signaturer

Det br vre muligt at delegere anvendelsen af signaturer til andre. Srligt it -svage

familiemedlemmer kan have en fordel af at delegere signaturen til et nrt familiemed-

lem, som kan foretage transaktioner p vedkommendes vegne.

Teknik og infrastruktur

1. Opbevaring af ngler

Det er vigtigt at sikre hj grad af fleksibilitet i forhold til den fremtidige opbevaring af

ngler, sledes at brugerne kan vlge den model, som passer til deres behov. Desuden

anbefales det, at undersge mulighederne for at kunne tilvejebringe en signaturlsning

for virksomheder, som baseres p en hardware-model, hvor udstyret ikke skal tilsluttes

terminalen.

2. Mulig adskillelse af signatur og single sign-on

Det br overvejes at adskille den digitale signatur fra single sign-on. Det m antages, at

der i praksis meget sjldent er brug for en egentlig dokumentsignering, ligesom brugen

af signaturen kan give udfordringer efter udlb af signaturen.

Samspil med interessenter

1. Samarbejde med identity management leverandrer

Der br sikres et samarbejde mellem andre leverandrer af identity management syste-

mer. Dels nationale leverandrer, f.eks. jvf. eID-direktivet, og dels private leverandrer

p det globale marked. Det kan ikke understreges nok, hvor vigtigt det er, at den fre m-

tidige lsning kan bruges i en global kontekst.

2. Samspil med danske interessenter

Det er vigtigt, at Digitaliseringsstyrelsen i forlngelsen af denne hring fastholder en

ben proces og inddrager de danske aktrer, som har en interesse i dette omrde, sl e-

des at det kommende udbud i stort muligt omfang afspejler de nsker , de forskellige

aktrer har.

Fremtidig forretningsmodel

1. Flere udbydere

Der br fra Digitaliseringsstyrelsen lgges op til en struktur, hvor det kan sikres, at fle-

re leverandrer kan lse opgaverne. Dette skal have til forml at skabe konkurrence p

omrdet, at sikre etablering af flere markedsdrevne forretningsmodeller samt at sikre , at

de forskellige krav til attributhndtering, som den offentlige og private sektor har, im-

dekommes. For at n dette m er det vigtigt, at Digitaliseringsstyrelsen, som anbefalet

ovenfor, baserer sig p bne internationale standarder.

2. Attribut ontologier

Det private marked har ofte brug for andre attributter end den offentlige sektor. Samt i-

dig anvender den konkrete lsning, NemID, kun PID, RID og CPR som attributter. Den

fremtidige lsning br indrettes sledes, at den kan indkooperere de attribut ontologier,

som standardiseres af markedsaktrerne. P den mde sikrer man, at f.eks. reputation

kan tilknyttes en brugers signatur og understtter dermed udviklingen af nye markeds-

baserede forretningsmodeller.

DI ITEK str naturligvis til rdighed for en uddybelse af ovenstende kommentarer.

Med venlig hilsen

Henning Mortensen

Chefkonsulent, DI ITEK

Naalakkersuisut

Government of Greenland

Digitaliseringsstyrelsen

1

Uunga Til

Digitaliseringsstyrelsen i Danmark

Assinga uunga Kopi til

Charlotte Dacoby

Offentlig hring om nste generation af den nationale identifikations- og

digital signaturinfrastruktur (NemID)

Vi takker for hringsbrevet og muligheden for at kommentere p fremtidens

NemID lsning.

Digitaliseringsstyrelsen henstiller til:

at der ogs i den nye NemID lsning tages hensyn til de grnlandske

forhold

at den grnlandske applet, som er udviklet og finansieret frem til 2017

understttes af den nye NemID lsning

at den nuvrende kommunikationsproces fortsttes sledes at

Grnland orienteres og dermed kan varetage oversttelse til grnlandsk

Lige som der arbejdes p at gre NemID tilgngelig for virksomheder i

Grnland.

Med venlig hilsen

Dorte Bge Srensen

Styrelseschef for Digitaliseringsstyrelsen

Tlf.: +299 587531

Mail: dobs@nanoq.gl

27-06-2014

Postboks 1078

3900 Nuuk

Tel. (+299) 34 50 00

E-mail: digitalisering@nanoq.gl

www.nanoq.gl

Domstolsstyrelsen

Justitsministeriet Slotsholmsgade 10 1216 Kbenhavn K

Sendes alene pr. e-mail til jm@jm.dk

Hring om nste generation af den nationale identifikationstal signaturinfrastruktur (NemID)

Justitsministeriet har ved e-mail af 11. juni 2014 anmodet om eventuelle bemrkninger i forbindelse med Digitaliseringsstyrelsens hring om generation af den nationale identifikations(NemID), jf. Digitaliseringsstyrelsens brev af 28. maj 2014.

Domstolsstyrelsen kan i den anledning oplyse flgende:

Ad 2 Funktionalitet og anvendelseMed gede krav om digital selvbetjening er der et stigende behov for vefungerende og nemt tilgngelig rel fuldmagt, for eksempel ved vrgeml, men ogs i form af en specifik fuldmagt, for eksempel hvis en borger i en specifik sag er reprsenteret af en advokat og derfor har behov for at give den pgldende reprsentafuldmagt til at f adgang til visse digitale tjenester eller dokumenter i forbidelse med den specifikke sag. Brug af fuldmagter skal i dag hndteres i den enkelte myndigheds systemer, hvorved mange bruger ressourcer p at udvikle samme funktionalitet. sges, om fuldmagtsgivning kan lses med en fllesoffentlig digital lsning tilknyttet NemID.

Ad 3 Behov for brugervenlighedDer br vre mulighed for fuld anvendelse af NemID fra mobile platformeog det vil tillige ge brugervenligheden, hvis engangspassword kan tilg brugeren digitalt.

Ad 5 Samspil med interessenterI sikkerhedssprgsml og ved mistanke om sikkerhedshndelser virker det nuvrende setup ikke tilstrkkeligt. Der mangler en synlig adgang for myndigheder og borgere til at indrapportere mistanke om sikkerhedshdelser, og der br i organiseringen omkring NemID vre et proaktivt bredskab til hndtering af sikkerhed, herunderkommunikation til offentligheden, sledes at derhedsniveauet i en s vital fllesoffentlig infrastruktur.

Med venlig hilsen

Niels Juhl

jm@jm.dk med kopi til mcr@jm.dk

Hring om nste generation af den nationale identifikations- og digi-signaturinfrastruktur (NemID)

mail af 11. juni 2014 anmodet om eventuelle bemrkninger i forbindelse med Digitaliseringsstyrelsens hring om nste

identifikations- og digital signaturinfrastruktur , jf. Digitaliseringsstyrelsens brev af 28. maj 2014.

Domstolsstyrelsen kan i den anledning oplyse flgende:

Ad 2 Funktionalitet og anvendelse Med gede krav om digital selvbetjening er der et stigende behov for vel-fungerende og nemt tilgngelig fuldmagtsgivning. Bde i form af en gene-

ved vrgeml, men ogs i form af en specifik hvis en borger i en specifik sag er reprsenteret af

og derfor har behov for at give den pgldende reprsentant fuldmagt til at f adgang til visse digitale tjenester eller dokumenter i forbin-delse med den specifikke sag. Brug af fuldmagter skal i dag hndteres i den enkelte myndigheds systemer, hvorved mange bruger ressourcer p at udvikle samme funktionalitet. Det vil vre hensigtsmssigt, at det under-

om fuldmagtsgivning kan lses med en fllesoffentlig digital lsning

Ad 3 Behov for brugervenlighed Der br vre mulighed for fuld anvendelse af NemID fra mobile platforme,

ige ge brugervenligheden, hvis engangspassword kan tilg

Ad 5 Samspil med interessenter I sikkerhedssprgsml og ved mistanke om sikkerhedshndelser virker det nuvrende setup ikke tilstrkkeligt. Der mangler en synlig adgang for

gheder og borgere til at indrapportere mistanke om sikkerhedshn-delser, og der br i organiseringen omkring NemID vre et proaktivt be-redskab til hndtering af sikkerhed, herunder til at sikre den ndvendige kommunikation til offentligheden, sledes at der ikke opstr tvivl om sikker-hedsniveauet i en s vital fllesoffentlig infrastruktur.

Store Kongensgade 1-3 1264 Kbenhavn K Tlf. +45 70 10 33 22 post@domstolsstyrelsen.dk CVR-nr. 21659509 EAN-nr. 5798000161184

J.nr. 2014-4101-0033-9 Sagsbeh. Jacob Sndergaard +45 99 68 43 07 jas@domstolsstyrelsen.dk 23. juni 2014

i-

nste

e-

hvis en borger i en specifik sag er reprsenteret af nt n-

den enkelte myndigheds systemer, hvorved mange bruger ressourcer p at

om fuldmagtsgivning kan lses med en fllesoffentlig digital lsning

,

I sikkerhedssprgsml og ved mistanke om sikkerhedshndelser virker det

r-

Ballerup d. 25/6 2014

Digitaliseringsstyrelsen

Att. Morten Jrsum

Landgreven 4

Postboks 2193

DK-1017 Kbenhavn K

Pr. e-mail: kis@digst.dk

Hringssvar vedrrende nste generation af den nationale identifikations- og digital signaturinfrastruktur (NemID)

e-Boks A/S skal hermed afgive sine kommentarer til offentlig hring vedrrende nste generation af

den nationale identifikations- og digital signaturinfrastruktur (NemID).

e-Boks A/S sttter en flles infrastruktur for identifikation og digital signatur, som tilgodeser krav til

sikkerhed og behov for brugervenlighed p tvrs af platforme. En flles infrastruktur p dette

omrde, som kan anvendes p tvrs af offentlige myndigheder og private virksomheder, er et vigtigt

fundament for at opn potentielt store samfundsmssige gevinster ved digitalisering.

Det er vigtigt at sikre, at alle tjenesteudbydere fr samme muligheder for anvendelse af den flles

infrastruktur, s lsningen opleves sammenhngende og ensartet af brugerne p tvrs af de

forskellige tjenesteudbyderes lsninger. Det er en forudstning for at udnytte muligheden for private

aktrer for at udvikle vrdiskabende lsninger for myndigheder, virksomheder og borgere i Danmark.

Specifikt har e-Boks A/S flgende kommentarer til tema 2: Funktionalitet og anvendelse:

1) Der br skabes mulighed for at etablere single sign-on-fderationer mellem tjenesteudbydere,

uafhngigt af sektor og p tvrs af den offentlige og den private sektor. I en rkke

brugssituationer er der en naturlig sammenhng mellem forskellige tjenesteudbyderes ydelser, fx

ifm. forsikringsydelser, e-Boks, sagsbehandling og lign. En lsning, der understtter single-sign-on-

fderationer ud over den offentlige sektor, vil derfor give mulighed for yderligere digitalisering og

automatisering i samspillet mellem sdanne aktrers ydelser, uden at der opstilles barrierer for

brugervenligheden ved at krve fornyet log-on ved skift mellem de involverede tjenesteudbyderes

services.

2) En ny lsning br understtte differentierede sikkerhedsniveauer for alle tjenesteudbydere

uafhngigt af sektor. Der er stor forskel p, hvilket sikkerhedsniveau der krves for forskellige

typer af transaktioner. Dette kendes allerede fra en rkke bankers skaldte kiggeadgang, hvor

mindre flsomme oplysninger kan tilgs med et lavere sikkerhedsniveau, mens gennemfrsel af

transaktioner, aftaleindgelse m.v. krver autentifikation p et hjere sikkerhedsniveau. Et

tilsvarende behov findes hos tjenesteudbydere uden for den finansielle sektor, hvor en mulighed

for at tilpasse kravene til sikkerhedsniveau til karateren af den enkelte transaktion og

flsomheden af de tilgngelige informationer vil bidrage til strre brugervenlighed i lsninger, der

anvender NemID. Understttelse af differentierede sikkerhedsniveauer vil dermed kunne bidrage

til en get udbredelse blandt tjenesteudbydere og til at nedbryde brugervenlighedsmssige

barrierer.

3) Mobile tjenester bliver stadig mere udbredt og i fremtiden vil det for nogle services i fremtiden

vre eneste adgangsvej, s den er afgrende at nste generation NemId kan anvendes p mobile

devices med samme hensyn som angivet ovenfor, herunder muligheder for differentierede

sikkerhedsniveauer.

Med venlig hilsen

e-Boks A/S

26. juni 2014 14/04919-7

sos-dep

ERHVERVS- OG

VKSTMINISTERIET

Slotsholmsgade 10-12

1216 Kbenhavn K

Tlf. 33 92 33 50

Fax. 33 12 37 78

CVR-nr. 10092485

EAN nr. 5798000026001

evm@evm.dk

www.evm.dk

Digitaliseringsstyrelsen

Landgreven4

Postboks 2193

1017 Kbenhavn K

Offentlig hring om nste generation af den nationale identifikati-

ons- og digital signaturinfrastruktur (NemID)

Erhvervs- og Vkstministeriet har modtaget ovenstende hring fra Digi-

taliseringsstyrelsen. Erhvervs- og Vkstministeriet har sendt materialet i

hring hos Erhvervsstyrelsen, Finanstilsynet, Patent- og Varemrkesty-

relsen, Sikkerhedsstyrelsen og Sfartsstyrelsen og har p den baggrund

flgende bemrkninger.

I nedenstende dkker betegnelsen virksomheder alle virksomheds-

former medmindre andet nvnes. NemID refererer i hringssvaret til

NemID til erhverv, herunder NemID medarbejdersignaturer.

I forbindelse med udbuddet af NemID skal Erhvervs- og Vkstministeriet

pege p flgende overordnede betragtninger.

At NemID til erhverv skal designes p en mde, s virksomhedernes

forretningsmssige behov og vkstmuligheder gennem offentlig digi-

talisering, fr bevgenhed da det er forventningen, at der ligger et

uudnyttet effektiviserings- og vkstpotentiale for et samlet erhvervs-

liv ved en nytnkning af fokus for, hvordan offentlig digitalisering

gennemfres fremadrettet.

At anvendelsen af NemID i dag reelt er obligatorisk, da den er tt

knyttet til obligatorisk anvendelse af andre flles offentlige digitale

services som f.eks. Digital Post. Dette br afspejles i forretningsmo-

dellen for NemID, designet af den og sammenhngen til de vrige

fllesoffentlige digitale services.

Opflgningen p de forslag som regeringens Virksomhedsforum for

enklere regler har stillet vedr. NemID br ligeledes indg i forberedel-

sen af nste generation af NemID.

Disse tre forhold br give anledning til, at en nrmere og selvstndig

analyse afdkker ikke blot de forretningsmssige behov i forhold til Ne-

2/8

mID, men ogs samspillet og indbyrdes afhngigheder mellem de for-

skellige fllesoffentlige services og komponenter.

Hringssvaret indeholder derudover dels nogle overordnede kommentarer

om udviklingen af NemID og dels nogle helt konkrete input, som er regi-

streret p baggrund af Erhvervs- og Vkstministeriets opgave med bru-

gersupport for Virk.dk. De konkrete input er listet i punkform under de

relevante overskrifter

1. Fremtidige forretningsmssige behov

Behov for analyse ogs fra et helikopterperspektiv

I takt med at det p flere og flere omrder bliver obligatorisk for virksom-

heder at kommunikere digitalt med det offentlige, fr NemID en mere

central betydning for virksomhedernes forretning. Uhensigtsmssigheder

ved NemID er ikke acceptable, nr det offentlige reelt gr anvendelsen af

NemID obligatorisk for alle, der nsker at drive virksomhed i Danmark.

At anvendelsen reelt er blevet obligatorisk br derfor give anledning til, at

omrdet analyseres nrmere ogs fra et helikopterperspektiv. Det er sle-

des ikke tilstrkkeligt kun at analysere NemID lsningen. Det er ndven-

digt at anskue NemID i den bredere sammenhng, som den indgr i, da

NemID er en lsning der aldrig benyttes alene, men indgr i digitale pro-

cesser. Der br fortages analyser af, om virksomhedernes behov kan im-

dekommes mere hensigtsmssigt gennem et ndret koncept for NemID,

samt om snitfladen mellem NemID og de vrige fllesoffentlige digitale

services kan optimeres til gavn for bde virksomheder og den offentlige

sektor.

Erhvervs- og Vkstministeriet forventer, at se dette brede analysebehov p

virksomhedsomrdet afspejlet i projektplanen for udbuddet af NemID.

Brugssituationer og mlgrupper der br indg i analysen

NemID til virksomheder er vsentligt mere kompliceret end NemID til

borgere alene af den grund, at flere brugere skal agere inden for samme

enhed (CVR-nummer). NemID findes ogs p virksomhedsomrdet bde

som nglefil og nglekort. NemID til virksomheder skal sledes under-

sttte flere brugssituationer og forretningsmssige behov end p borger-

omrdet, f.eks.:

3/8

anvendelse i strre organisationer hvor forskellige brugere skal have

forskellige adgang, uden at det plgge virksomheden undige admi-

nistrative opgaver og tidskrvende log-in procedurer

sm virksomheder og foreninger der i praksis overlader deres forplig-

tigelser til en tredje part (advokat, administrator eller lign.)

anvendelse i koncerner med mange CVR-numre og behov for at agere

p tvrs af disse

anvendelse af professionelle brugere, der agere p vegne af mange

virksomheder og derfor har behov for at tvrgende overblik

anvendelse af foreninger der har et CVR-nummer, men ikke anser sig

selv som virksomheder og som typisk kan have jvnlig udskiftning af

den tegningsberettigede

Det er vsentligt, at alle disse forskellige anvendelsesmnstre og ml-

grupper indgr i de forretningsmssige analyser omkring en ny NemID til

erhvervsomrdet.

Forretningsmssige analysepunkter

Som afspejlet i brugssituationerne har mange virksomhedsbrugere behov

for a