Kommunaludvalget 2011-12
L 159 Bilag 3
Offentligt
KommunaludvalgetFolketinget, Christiansborg1240 København K
Henvendelse fra IT-Politisk Forening omlovforslag L 159 om obligatorisk digitalselvbetjeningLovforslag L 159 indfører obligatorisk digital selvbetjening på firekonkrete områder fra december 2012, og det fremgår afbemærkningerne at der i 2012 (”første bølge”) vil blive indførtobligatorisk digital selvbetjening på en række andre områder,hvor dette kan ske med hjemmel i eksisterende lovgivning (foreksempel har skatteforvaltningsloven § 35 siden maj 2010 givetmulighed for at pålægge borgerne digital kommunikation medSkat, men denne bemyndigelse har endnu ikke været udnyttet).
IT-Politisk Foreningc/o Niels Elgaard LarsenÅrhusgade 35, 1.2100 København ØE-mail : [email protected]Web: http://www.itpol.dkDato: 24. april 2012
Pligt til at bruge OCES NemID er problematiskDer er ikke noget specielt ved lovgivning som pålægger borgernepligter (vi skal alle betale skat). Det specielle og problematiskeved dette lovforslag er at det, i praksis, giver borgerne en pligt tilat indgå en aftale med et bestemt privat firma (DanID A/S), ogafgive et temmelig vidtgående samtykke til dette firma, for at fåOCES NemID.Denne pligt fremgår ikke direkte af lovforslaget, idet lovforslagetalene specificerer en pligt til at anvende digital selvbetjening. Deter op til de enkelte kommuner at designe deres digitaleselvbetjeningsløsninger, men det fremgår af bemærkningerne atdisse selvbetjeningsløsninger generelt bruger OCES NemID.Hvis borgeren ikke har OCES NemID, og ikke kan blive omfattet afundtagelserne fra den obligatoriske digitale selvbetjening, kanborgeren for eksempel ikke overholde CPR lovens krav omflytteanmeldelse eller udnytte sin ret til lægebehandling eftersundhedsloven (sundhedskort kan kun bestilles ved brug af den1
obligatoriske digitale selvbetjening). Lovforslaget pålæggerligefrem den enkelte kommune at afvise de henvendelser somikke indgives digitalt, medmindre altså at borgeren er omfattet afundtagelserne.For at borgeren kan få OCES NemID skal borgeren indgå en aftalemed DanID A/S, og borgeren skal afgive et samtykke til dettefirma. Borgeren skal i den forbindelse acceptere de betingelsersom DanID har fastsat for brugen af NemID tjenesten, ogborgeren skal konkret acceptere at den private PKI nøgle(borgerens ”digitale underskrift”) opbevares på DanIDs servere.Der er desuden en række sikkerhedsproblemer ved NemID, ogdem accepterer borgeren ved at afgive et samtykke til DanID. IT-Politisk Forening har tidligere kritiseret NemID som vi mener er enmeget dårlig teknisk løsning. Vi har lavet en opsummering afdenne kritik i et appendiks til dette brev (samme appendiks som ivores henvendelse om lovforslag L 160).
Tvunget samtykke til et privat firma for at overholdedansk lovPå Datatilsynets hjemmeside er der under ”ordbog” en definitionaf begrebet ”samtykke” i forbindelse med persondataloven.Centrale elementer i denne definition er at et samtykke efterpersondataloven skal være frivilligt, og at det skal være muligt attrække samtykket tilbage. Hvis der er en lov (for eksempel L 159)som i praksis pålægger borgeren at bruge OCES NemID, er dennefrivillighed og mulighed for at trække samtykket tilbage enillusion. Der bliver tale om et ”afpresset” samtykke til en privattredjepart, i dette tilfælde DanID A/S.Vi er ikke bekendt med anden dansk lovgivning som på sammeeksplicitte måde pålægger borgeren at afgive et vidtgåendesamtykke til et bestemt privat firma. Lov om offentlige betalingerpålægger borgeren at have en bankkonto (NemKonto), og det vilkræve et samtykke til en bank, men det kan ikke sammenlignesmed lovforslag L 159. For det første har borgeren valgfrihedmellem 125 danske banker, og det er også muligt at vælge enudenlandsk bank til NemKonto. For det andet risikerer borgerenikke straf hvis kravet om at have en NemKonto ikke overholdes,og borgeren mister heller ikke nogle rettigheder (et krav påtilbagebetaling af overskydende skat fortabes eksempelvis ikke).Hvis borgeren derimod ikke melder flytning til kommunenrettidigt, kan det udløse bødestraf jf. CPR lovens § 59. Detsamtykke som afgives til en bank for at få en bankkonto har et2
begrænset omfang, og det kan på ingen måde sammenlignesmed det vidtgående samtykke som borgeren skal afgive til DanIDA/S for at få OCES NemID (digital signatur).Det er muligt at designe digitale selvbetjeningsløsninger som ikkekræver et samtykke til en privat tredjepart. Hos Skat kan borgerenforuden NemID (indtil videre) bruge Skats egen TastSelv kode,hvor borgeren ikke tvinges til at involvere en privat tredjepart.
Uklar retsstilling for borgere som ikke frivilligt vilerhverve NemIDI bemærkningerne til lovforslaget virker det som om atFinansministeren gør sig store anstrengelser for ikke at skrive”pligt til at erhverve NemID”, selv om denne pligt i praksiskommer til at eksistere via den obligatoriske digitaleselvbetjening. På side 10 i bemærkningerne til lovforslaget stårder eksempelvisHvis en borger ikke har, men kan få udstedt NemID, ogdette er en forudsætning for anvendelse af den konkretedigitale selvbetjeningsløsning, foreslås det, at denoffentlige myndighed skal anmode borgeren om atanskaffe sig NemID. Hvis den offentlige myndighedvurderer, at der foreligger særlige forhold, kanmyndigheden vælge ikke at kræve anskaffelse af NemID,men lade borgeren ansøge på anden vis.Det er den offentlige myndighed, der i de konkrete tilfældeforetager en vurdering af, om der foreligger særligeforhold. Hvis den offentlige myndighed finder, at derforeligger særlige forhold, skal den offentlige myndighedtilbyde borgeren en anden måde at ansøge, anmelde ellerindberette på. Finder den offentlige myndighed, at der ikkeforeligger særlige forhold, vil borgeren være henvist til atansøge, anmelde eller indberette digitalt. Indgivesansøgningen alligevel ikke digitalt, vil kommunen skulleafvise ansøgningen.Kommunen kan efter L 159 pålægge borgeren at bruge dendigitale selvbetjening (der generelt kræver NemID), menkommunen kan tilsyneladende ikke pålægge borgeren at erhverveNemID? I stedet skal kommunen ”anmode” borgeren om atanskaffe sig NemID.
3
Denne formulering efterlader borgeren i en besynderligretstilstand. På den ene side er der måske ikke i L 159 nogeteksplicit lovkrav om at erhverve NemID (og afgive det ”frivillige”samtykke til DanID), men på den anden side er borgeren afskåretfra at overholde landets love og gøre brug af lovbestemterettigheder uden NemID.
Undtagelser fra obligatorisk digital selvbetjeningDet vil aldrig være muligt at opnå 100% digital selvbetjening,fordi der altid (også om 25 år) vil være en række borgere som ikkeer i stand til at bruge de digitale selvbetjeningssystemer.Kommunerne skal altså stadig have ”analoge” systemer til atbetjene de borgere som ikke kan bruge den digitale selvbetjening.I bemærkningerne til lovforslaget står der flere steder at mangeborgere selv ønsker at bruge den digitale selvbetjening. IT-PolitiskForening er enig i denne vurdering, men det burde rejsespørgsmålet hvad man opnår ved at gøre den digitaleselvbetjening obligatorisk? Frivillig digital selvbetjening vil givekommunerne et økonomisk incitament til at udvikle brugervenligesystemer som borgerne ønsker at bruge. Det samme incitamenter ikke til stede ved obligatorisk selvbetjening, og alene af dengrund kan man frygte dårligere løsninger når grundlaget for denoffentlige digitalisering er tvang.Obligatorisk digital selvbetjening giver desuden en rækkeretssikkerhedsmæssige problemer for de borgere som ikke kanbruge den digitale selvbetjening, og i nogle situationer kan detende med at blive dyrere for det offentlige end en frivillig ordning.De borgere, som ikke kan bruge den offentlige digitaleselvbetjening, kan efter lovforslaget blive fritaget fra denne pligt,men borgerne har ikke som sådan noget retskrav på dette. Dersynes heller ikke at være opstillet tilpas objektive kriterier for omborgerne kan blive fritaget eller ej. Det er op tilkommunalbestyrelsen at vurdere om betingelserne for fritagelseer til stede.Borgere som ikke kan, eller vil, bruge den obligatoriske digitaleselvbetjening kommer nærmest til at stå ”med hatten i hånden”,og deres rettigheder i forhold til den offentlige sektor er forringetsammenlignet med de borgere som bruger den digitaleselvbetjening (enten fordi de gerne vil eller fordi de acceptererden offentlige tvang, herunder det ”afpressede” samtykke tilDanID).4
Hvornår har borgeren eksempelvis opfyldt sin pligt til at anmeldeflytning hvis dette ikke sker digitalt: når kommunen modtager denikke-digitale henvendelse eller når kommunen accepterer atborgeren er fritaget fra kravet om digital selvbetjening?I nogle situationer kan den obligatoriske digitale selvbetjeningblive langt dyrere for kommunerne end en frivillig ordning. Hvis enborger for eksempel indgiver en flytteanmeldelse til kommunenper brev, eller via personlig henvendelse, skal kommunen efterlovforslaget afvise denne henvendelse. Det kræver ikke megetfantasi at forestille sig at en afvisning af den ikke-digitalehenvendelse kan være dyrere end blot at lade en kommunalmedarbejder indtaste den nye adresse i CPR systemet.En afvisning af en ikke-digital henvendelse er en kommunalafgørelse, som efter forvaltningslovens regler skal begrundes.Hvis borgeren har anført en begrundelse for ikke at bruge dendigitale selvbetjening, eller gør dette i efterfølgendekorrespondance med kommunen, skal kommunen naturligvisforetage en realitetsbehandling heraf inden en endelig afgørelseom afvisning af den ikke-digitale henvendelse træffes. Derefterhar borgeren mulighed for at klage til de kommunaletilsynsmyndigheder og til Folketingets ombudsmand.Hvis det var frivilligt at bruge den offentlige digitale selvbetjening,ville man ikke forringe rettighederne for visse grupper afsamfundet (de ”digitalt svage” borgere), og der ville ikke værenogen risiko for at en banal ekspeditionssag som en flytningkunne eskalere til en langvarig og sikkert bekostelig klagesag.
Software og krav om tilgængelighed for alle borgereHvis det skal være obligatorisk for borgerne at bruge denoffentlige digitale selvbetjening, bør der tilsvarende være enforpligtelse for kommunerne til at sikre atalleborgere kan brugeselvbetjeningssystemerne fra deres egne computere. Det er ikkeklart ud fra bemærkningerne til lovforslaget hvordan det skalsikres (eller om det skal sikres?), idet det er overladt tilkommunerne at designe de digitale selvbetjeningsløsninger. Påside 11 i bemærkningerne, samt i høringsnotatet, nævnes de”fællesoffentlige tilgængelighedsstandarder, for eksempelWCAG”, men kravene synes ikke særligt konkrete.På portalen borger.dk er der i dag eksempler på digitalselvbetjening som kun kan bruges hvis borgeren anvender5
bestemte programmer (software). Selv om vi i Danmark har enfolketingsbeslutning om åbne standarder, der blandt andet erudmøntet i et krav om PDF/A for ikke-redigerbare dokumenter,kan man på borger.dk finde PDF blanketter som kun kan læsesmed Adobe PDF Reader. Sådanne eksempler kan næppe væreforenelige med ”åbne standarder” og ”tilgængelighed”.Det fremgår ikke af lovforslaget eller bemærkningerne hvilkeklagemuligheder borgerne har, hvis de oplever at de ikke kanbruge den obligatoriske digitale selvbetjening fra deres egnecomputere. Det eneste rimelige ville være at give borgerne enfritagelse i sådanne tilfælde, og hvis det var frivilligt at bruge dendigitale selvbetjening, ville der slet ikke være basis for dennediskussion.
6
Appendiks: IT-Politisk Forenings kritik afNemID1Sårbar overfor man-in-the-middle-angreb
DanIDs tekniske løsning er meget sårbar overfor såkaldte man-in-the-middle angreb, hvor en hacker giver sig ud for at være DanIDog bruger en falsk NemID side til at aflure borgerens password ogpapkort-koder i takt med at de skal bruges. Hvis borgeren kanlokkes ind på en falsk NemID side, er der reelt fri adgang til atmisbruge borgerens digitale signatur. Det samme kan ske på enlegitim side, som benytter NemID, for eksempel en sportsklub,hvis hackeren har angrebet denne side.Det skal bemærkes at denne sikkerhedsrisiko ikke er et teoretiskproblem: der har allerede være to angrebsbølger mod netbank-udgaven af NemID, hvor bankkunder er blevet afluret passwordog papkort-koder. Efterfølgende er penge overført fra dissekunders bankkonti.For de borgere, der har OCES NemID, vil denne slags angreb ikkeblot kunne misbruge bankkonti, men også offentlige tjenester.Dette vil også blive et mål for kriminelle.Identitetstyveri er et stort ”forretningsområde” for deninternationale organiserede kriminalitet, og der er desværremange andre muligheder som kan give store problemer forborgeren.
Brugen af Java er en IT-sikkerhedsrisiko
NemID kræver Java i webbrowseren―en snart 15 år gammelteknologi, som af mange betragtes som forældet. Nye mobiledevices som smartphones og tablets understøtter ikke Java ideres webbrowsere.Java i webbrowseren er plaget af en række sikkerhedsproblemer,og der bliver hele tiden fundet nye alvorlige sikkerhedshuller. Endel sikkerhedseksperter anbefaler direkte folk at de-aktivere Java ideres webbrowser, eller helt at afinstallere denne software-komponent (som stort set ikke bruges mere). Det kan den danskebefolkning imidlertid ikke gøre, da de så ikke kan bruge NemID.1 Dette appendiks er identisk med appendiks i vores henvendelse tilKommunaludvalget om lovforslag L 160.
7
NemID snager i din computer
Java-appletten i NemID giver DanID mulighed for at læseborgernes filer, og starte egne programmer på borgernescomputere―eventuelt på vegne af en statslig myndighed sombeder DanID om dette.IT-Politisk Forening påpegede dette forhold i august 2010, menDanID afviste pure at det skete. Efterfølgende har det dog vist sigat DanID faktisk bruger NemID Java appletten til at køreprogrammer på borgernes computere for at indsamle visseoplysninger om dem.Det er i forvejen unødvendigt og betænkeligt, at DanID skal havemulighed for at infiltrere borgernes computere med NemID Javaappletten. Når DanID så ovenikøbet misinformerer om, hvordande bruger denne adgang, må man som borger alvorligt overveje,om man kan have tillid til løsningen.
NemID bryder med gængse sikkerhedsprincipper
En digital signatur består teknisk set af to dele: En privat nøgle ogen offentlig nøgle. Når borgeren underskriver et dokumentdigitalt, bruges den private nøgle. For at kontrollere om det erborgerens underskrift, bruges den offentlige nøgle. Hvis borgerener den eneste som kan bruge den private nøgle, er en digitalunderskrift et matematisk bevis for at borgeren har skrevetmeddelelsen.Den offentlige nøgle må alle kende, men i sagens natur er detaltafgørende at borgeren har den fulde kontrol over sin egenprivate nøgle, da man ellers ikke kan vide om det er denpågældende borger eller en anden person, der har skrevetmeddelelsen. I så godt som alle digital signatur systemer sikresdette ved at borgeren selv opbevarer sin private nøgle, og denprivate nøgle beskyttes mod kopiering med password, eller andresikkerhedsmekanismer som opbevaring på hardware tokens (dendigital underskrift foretages på et hardware token, og den privatenøgle kan slet ikke kopieres).Vigtigheden af at borgeren har den fulde kontrol over sin egenprivate nøgle ses også af § 10, stk 3 i lov om elektroniskesignaturer, der forbyder nøglecentre at”...opbevare eller kopierede personers signaturgenereringsdata, som nøglecentret gennemudstedelsen af certifikater måtte have fået kendskab til.”
8
OCES NemID, altså den digitale signatur, er desværre ikke baseretpå dette princip. I stedet opbevares den private nøgle hos DanID.Borgeren tilgår den private nøgle via en hjemmeside, ogadgangen til den private nøgle er sikret med et password og enkode fra et papkort.OCES NemID opfylder ikke de krav, der stilles i Lov omelektroniske signaturer. Det retslige grundlag for OCES NemID eralene certifikatpolitikken ”Offentlige Certifikater til ElektroniskService, version 4”, som er defineret af IT- og Telestyrelsen udendirekte involvering af Folketinget.IT-Politisk Forening har tidligere kritiseret den centrale nøgle-opbevaring. Den bryder med det mest grundlæggende princip fordigitale signaturer. I princippet kan DanID udgive sig for envilkårlig borger uden dennes vidende. Vi er klar over, at dennerisiko er teoretisk, men det skaber utryghed, at man har valgt enteknisk løsning med central opbevaring af de private nøgler.
DanID overholder ikke sine forpligtelser
Efter certifikatpolitikken version 4, og aftalen med staten, erDanID forpligtet til at tilbyde borgerne en digital signatur hvor denprivate nøgle opbevares på et smartcard (hardware token). Detvar oprindeligt meningen at denne løsning skulle være tilgængeligi december 2010, men den er blevet forsinket ad flere omgange,og i skrivende stund er den muligvis udsat på ubestemt tid.Derudover bliver smartcard løsningen ikke gratis for borgerne,hvis den altså kommer. Det er heller ikke klart om borgeren fården fulde kontrol over den private nøgle, eller om der fortsat vileksistere kopier andre steder i DanIDs systemer.Datatilsynet har flere gange kritiseret udskydelsen af mulighedenfor at borgeren kan opbevare sin egen private nøgle, senest ihøringssvaret om lovforslag L 159, hvor de skriver:Tvungen brug af selvbetjeningsløsninger baseret på NemIDaktualiserer en problemstilling, som tilsynet tidligere harpåpeget overfor IT og Telestyrelsen omkring opbevaring afborgernes private nøgle.Datatilsynet udtalte bl.a. følgende i brev af 3. marts 2009til IT og Telestyrelsen:”[…] Det er endvidere Datatilsynets opfattelse, at et9
generelt hensyn til brugernes privacy taler for, at brugerneskal have et valg med hensyn til, hvor deres nøgleopbevares.Datatilsynet skal derfor opfordre til, at der hurtigst muligtskabes mulighed for egen opbevaring af den private nøgle.Datatilsynet skal endvidere anbefale, at det overvejes, omikke muligheden for egen opbevaring af den private nøglebør være gratis, eller at prisen i det mindste bliver så lavsom muligt og alene kommer til at afspejleomkostningerne. […]”
DanID's interesser tilgodeser ikke borgernes
sikkerhed
DanID er ejet af Nets, som igen ejes af bankerne. Det er tydeligt,at DanID's sikkerhedsvurderinger er set ud fra bankernes behov,ikke borgernes.I bankverdenen vurderer man traditionelt sikkerhed ud fra renøkonomi: Hvis det er billigere at udbetale erstatning til ofrene foret sikkerhedshul end at lappe hullet, så vælger man det første.Det giver god mening for både banker og kunder, fordibanksikkerhed netop kan gøres op i kroner og øre.Men det giver ikke mening ved brug som digital signatur overfordet offentlige. Følgerne af identitetstyveri, brud på privatlivetsfred osv. kan ikke umiddelbart gøres op i kroner og øre.DanID mener, at deres løsning er ”sikker nok”, men det ervurderet ud fra et rent økonomisk perspektiv, ikke ud fraborgernes interesser.
DanID bliver et tvunget monopol
Hvis det var frivilligt at bruge OCES NemID, kunne man sige atovenstående kritikpunkter er noget som den enkelte må tagehensyn til, hvis han/hun beslutter sig for at bruge NemID. Sådaner det med så mange andre ”gratis” services på internettet, foreksempel Facebook der tilbyder brugerne en række fordele, menogså har en række problemer for privatlivsbeskyttelsen. Hvis manikke har tillid til Facebook, kan man lade være med at oprette enFacebook konto.
10
Men hvis lovforslag L 159 eller L 160 vedtages, er det reelt ikkelængere frivilligt om den danske befolkning vil bruge OCESNemID. Medmindre borgeren er så heldig at kunne blive undtagetfra den obligatoriske digitale selvbetjening, og den digitalepostordning, vil det være nødvendigt at erhverve OCES NemID forat overholde landets love.Det er således et meget vidtgående skridt at Finansministeren nuagter at tvinge borgerne til at afgive et ”frivilligt” samtykke til etbestemt privat firma (DanID), når dette samtykke reelt indebærerat det private firma kommer til at administrere borgernes digitale”identitet” (som den private nøgle reelt er).
11