Kommentar til Finansministeren svar på L 159 spm 1 og L 160 spm 2 (henvendelse fra IT-Pol til Kommunaludvalget)
Finansministeren har den 14. maj 2012 svaret på L 159 spm. 1 og L 160 spm. 2, hvor Kommunaludvalget beder ministeren kommentere henvendelserne fra IT-Politisk Forening om L 159 (obligatorisk digital selvbetjening) og L 160 (Offentlig Digital Post).
Vi vil gerne knytte et par korte kommentarer til Finansministerens svar.
Borgerens aftale eller ej med udbyderen af digital post
Finansministeren mener ikke at borgeren skal indgå en aftale med udbyderen af digital post (e-Boks A/S) når der bliver obligatorisk tilslutning. Det undrer vi os over. Det fremgår bemærkningerne til lovforslaget (afsnit 2.8 og 4.4.1) at borgeren skal acceptere at være dataansvarlig for den post som opbevares centralt hos e-Boks. I afsnit 4.4.1 beskrives et venteregister for den post som afleveres til borgere som endnu ikke har logget på postløsningen. Det lyder som den nuværende procedure for den "private" e-Boks, hvis der afleveres digitale breve til borgere (brugere) som endnu ikke har indgået en aftale med e-Boks. Hvorfor skal der være en særlig procedure for borgere som ikke har logget på postløsningen, hvis borgeren slet ikke skal indgå nogle aftaler med udbyderen af digital post?
Finansministeren skriver videre at "Borgeren skal heller ikke tiltræde vilkår. Der vil fortsat være behov for vilkår, men de skal præsenteres som information [..]". Det er ikke klart for os hvad det egentlig betyder, men vi må anbefale at Folketinget vurderer disse "vilkår" inden L 160 vedtages. Borgerne får jo ikke mulighed for at sige nej til disse "vilkår", eller "information" om man vil.
Borgeren bliver tvunget til aftale med DanID om NemID
Finansministeren bekræfter at borgeren skal indgå en aftale med DanID vedr. NemID for at bruge den offentlige selvbetjening. Uden en aftale med DanID kan borgerne ikke overholde dansk lov, såsom krav om at melde flytning eller indgive selvangivelse (hvis digital selvbetjening her bliver gjort obligatorisk), eller læse deres egen post fra det offentlige i den digitale postløsning.
Det er i sig selv et meget vidtgående element i lovforslaget, som burde været underkastet en grundig privatlivsanalyse. Det kan på ingen måde sammenlignes med en databehandlingsaftale mellem eksempelvis staten og CSC Danmark om driften af visse offentlige systemer, selv om DanID varetager en opgave for det offentlige.
Finansministeren mener at borgerens aftale med DanID alene medfører en pligt til ikke at videregive personlige adgangskoder, og at borgeren kun må anvende NemID fra en PC med opdaterede programmer. Finansministeren anser det åbenbart for at være en ubetydelig detalje, at borgeren skal acceptere at borgerens private nøgle opbevares på DanID centrale servere (hvilket Datatilsynet som bekendt har kritiseret flere gange). Borgerne skal også acceptere at DanID indsamler oplysninger om deres computere (overvågning). Vi vil fastholde at det er meget vidtgående vilkår, specielt fordi borgerne ikke kan sige nej.
Endvidere kan borgeren ikke begrænse sin påtvungne "aftale" med DanID om OCES NemID til brug på offentlige tjenester. Borgeren kan selvfølgelig selv undlade at anvende NemID andre steder, men på grund af de mange uløste sikkerhedsproblemer ved NemID, må borgeren leve med risikoen for at den digitale signatur kan blive misbrugt i andre sammenhænge. Borgeren må også forvente et betydelig pres fra private firmaer for at anvende NemID som login andre steder, og hvis Folketinget gør NemID obligatorisk for alle borgere, vil dette pres blive større. Hos en række private arbejdsmarkedspensionsselskaber kan borgerne kun se deres pensionsopgørelser hvis de bruger NemID.
Denne sammenblanding af offentlige og private tjenester, og mange andre privatlivsindgribende forhold ved NemID, burde være afklaret i en Privacy Impact Assessment (PIA analyse), men den har Finansministeren undladt at lave.
Nyskabelse i dansk lovgivning med tvungne aftaler med bestemte private firmaer
Finansministeren mener ikke at det er usædvanligt at borgeren tvinges til at indgå en aftale med et bestemt private firma (se også svaret på L 159, spm. 14). De øvrige eksempler, som Finansministeren kan nævne, har imidlertid alle det til fælles at de involverer NemID og den offentlige digitaliseringsstrategi. Det får os til at konkludere, at det reelt er en nyskabelse i dansk lovgivning at borgeren skal tvinges til at indgå en "frivillig" aftale med et bestemt privat firma (for at få NemID).
Muligheden for at borgeren kan opbevare sin private nøgle på smartcard
Finansministeren nævner at den meget forsinkede private nøgle på smartcard (USB etoken) vil være tilgængelig for borgerne i november 2012. Dette er dog ikke et løfte til borgeren, men alene Finansministerens "forventning". I maj 2010 forventede DanID at løsningen var tilgængelig for borgerne inden jul 2010, men det skete som bekendt ikke.
Det er ikke klart om det bliver en såkaldt "key escrow" løsning, hvor den private nøgle også opbevares i DanID systemer. Det er heller ikke klart hvad borgeren skal betale for at få deres private nøgle tilbage fra DanID. NemID er kun "gratis" hvis borgeren accepterer at DanID opbevarer den private nøgle.
Vi mener ikke, at man på det foreliggende meget usikre grundlag kan konkludere om det (måske) kommende tilbud fra DanID om privatnøgle på smartcard reelt vil tage højde for den kritik af NemID som Datatilsynet har rejst.