Sikker og brugervenlig.
Sådan lyder overskrifterne på næste generation af NemID, der senest skal være ude hos 4,3 millioner danskere og i 1,1 millioner eksemplarer i virksomhederne i slutningen af 2018.
For om godt tre et halvt år udløber den nuværende kontrakt og alle medfølgende forlængelsesmuligheder endegyldigt med leverandøren, Nets' DanID.
Arbejdet med den næste NemID-løsning - eller hvad løsningen til adgang på offentlige og private websites kommer til at hedde i 2018 - har været i gang i et halvt års tid hos Digitaliseringsstyrelsen, og projektets foranalyse nærmer sig sin afslutning.
"Lige nu er der mange ønsker og muligheder i luften. Det mest sikre, vi kan sige på nuværende tidspunkt, er, at der skal strammes op på virksomheds-delen, og at løsningen skal være fremtidssikret," forklarer kontorchef Marianne Sørensen hos Digitaliseringsstyrelsen, som er ansvarlig for næste generation af NemID.
Behøver vi overhovedet NemID?
Efter sommerens høringssvar og et analyse-forløb har styrelsen i disse dage indkaldt en lang række parter, der blandt andre tæller Ældresagen, IT-Branchen, Center for Cybersikkerhed, Finansrådet og IT-Politisk Forening til to workshops om muligheder og stopklodser i løsningen.
Computerworld har deltaget på en af disse workshops, hvor det fremgår, at der ikke kan rykkes synderligt på byggeklodser som åbne standarder, et modulært opbygget system og en kommende EU-forordning inden for eID.
Derudover er ordet frit i diskussion af muligheder og bekymringer omkring NemID's to deleelementer, der består i at kunne logge på offentlige og private hjemmesider og skriver under på online-aftaler med en elektronisk signatur.
I nogle tilfælde kan NemID's to-faktor-autentifikation dog vise sig at være ganske overflødig.
Det skyldes, at en af grundtankerne i diskussionerne er, at det offentlige kan stille informationer til rådighed på både 1-faktor-niveau, som det blandt andet kendes fra netbankens 'kontokig', og det fuldfede 2-faktor-niveau, som vi kender i dag fra eksempelvis selvangivelsen hos Skat.dk.
Det betyder i praksis, at forældre kan logge på Itslearning (tidligere Skoleintra) med brugernavn og password (1-faktor) for at se lille Oles skoleskema, mens en psykologi-rapport kræver NemID (2-faktor).
Ikke en one-size-fits-all-løsning
Dermed kan du i mange tilfælde slippe for at hive papkortet frem, der ved introduktionen af NemID i 2010 vel nok var det mest kritiserede element ved hele løsningen.
Hvis papkortet overhovedet overlever til 2018.
"Det kan godt være, at papkortet er forvundet til den tid, men det er ligesom med alle andre elementer slet ikke blevet besluttet endnu," siger Marianne Sørensen til Computerworld.
En anden grundtanke i diskussionerne er, at næste version af NemID ikke nødvendigvis skal være en one-size-fits-all-løsning, hvor man kun skelner mellem borger og virksomheder.
For eksempel kan virksomheders håndtering af medarbejdernøgler helt jordnært forbedres, hvis der kommer en arbitrær opdeling mellem stor og lille, så medlemmer i foreninger og enkeltmands- eller mindre virksomheder kan benytte det almindelige NemID.
Et andet eksempel på et differentieret NemID er, at en borger selv kan dele sine data på forskellige sites mere eller mindre anonymt, som det nu passer i situationen. Hvis man er kunde hos et teleselskab kunne man således oplyse navn og adresse, mens man lukker af for køn og alder.
Et tredje eksempel på diskussioner, der gør op med one-size-fits-all-NemID'et, er, at du med den modulære opbygning skal kunne logge på en hjemmeside med dit password og en to-faktor-autentifikationsmulighed, som passer til dit behov.
For med brug af åbne standarder skal eksterne leverandører i fri konkurrence kunne tilbyde login-faktorer som eksempelvis en iris-scanner, en fingeraftryks-aflæser, voice-response eller sågar en hjernebølgescanner.
Flere bump på vejen
Det hele er dog ikke så ligetil, inden første udkast til et egentligt udbud kommer på plads i løbet af det næste års tid.
For erfaringer med NemID's nøglegenerator har vist, at efterspørgslen har ligget nede på omkring 181.000 solgte enheder, hvilket svarer til, at blot fire procent af NemID-brugerne har punget ud for en alternativ løsning.
Vanskeligheder for it-nybegyndere i håndtering af data-deling kan også blive et forvirringsproblem, hvis borgerne overhovedet gider at sidde og åbne og lukke for forskellige myndigheder og virksomheders adgang til ens data.
Dertil kommer en lang række andre problemstillinger, som blandt andre næstformand Jesper Lund fra IT-Politisk Forening er kommet hos Digitaliseringsstyrelsen for at diskutere.
"Vi er her, fordi vi mener, at den nuværende løsning med centralt placerede nøgler er for usikker, og fordi vi ønsker, at borgerne får mere kontrol over sine nøgler," forklarer Jesper Lund til Computerworld.
Om placeringen af nøglerne siger Marianne Sørensen hos Digitaliseringsstyrelsen til Computerworld:
"Vi tager alle input med i vores endelige rapport fra foranalysen, men det er umiddelbart svært at forestille sig, at alle brugerne skal til at installere nøgler på deres egne computer-enheder."
NemID til børn kan være på vej
I arkitektur-diskussionerne er NemID til børn under 15 også i spil.
Det sker ud fra tanken om, at ungerne kan logge på offentlige sider, med uddannelses- og sundhedsinformationer, men endnu ikke kan skrive under på noget.
Den tilgang kan blive mulig, hvis Digitaliseringsstyrelsens splitter autentifikations- og signaturendelen op i to del-løsninger, som styrelsen selv lægger op til diskussion i workshoppen.
Overordnet har styrelsen syv hovedområder i spil (se faktaboks til højre for denne artikel), som deltagerne diskuterer og myndigheden inddrager i sit analysearbejde, inden anskaffelsesfasen tager over i slutningen af året.
Forinden skal Digitaliseringsstyrelsen dog have sat sig sammen med en lang række private aktører som for eksempel bankerne, forsikringsselskaber og teleselskaber, da staten ønsker at knytte disse parter tættere til NemID-samarbejdet.
Herefter bliver politikerne inddraget, hvorefter mange af endelige grundsten til den næste generation af NemID bliver støbt i ind i det endelige udbud.
Hvem, der ender med at skulle udvikle hele eller dele af løsningen, er på nuværende tidspunkt helt uvist.
Én aktør kan Marianne Sørensen dog så godt som sikkert udelukke på forhånd.
"Jeg har svært ved at se, at det bliver staten selv, der bygger og vedligeholder det næste NemID, fordi der er mange virksomheder, der har bedre kompetencer til den slags end os."
Læs også:
Danskernes tillid til NemID dykker - sådan skal den uheldige tendens vendes
Nu skal du bruge NemID hvis du vil skilles - se de nye løsninger her
