L 160 - 2011-12 - Endeligt svar på spørgsmål 2: Spm. om kommentar til henvendelse af 24/4-12 fra IT-Politisk Forening, til finansministeren

Henvendelsen rejser kritik på tre punkter:1) Borgerne skal fremover afgive samtykke til private firmaer for at læse deresegen post2) Problematisk at der er tvungne samtykker til private monopolfirmaer3) Misvisende sammenligning med fysiske postkasser bruges som begrundelseAd 1) Borgerne skal fremover afgive samtykke til private firmaer for at læse deresegen postForeningen anfører, at borgeren fremover skal afgive to samtykker for at kunne fåadgang til sin digitale post.: Samtykke til e-Boks A/S og samtykke til DanID A/S.I dag er det således, at en borger, der tilslutter sig digital post, indgår en privatret-lig aftale med e-Boks A/S, der driver Digital Post. Det indebærer blandt andet, atborgeren giver samtykke til, at e-Boks A/S som privat virksomhed må behandleborgerens personoplysninger, samt at borgeren tiltræder vilkår for anvendelsen,herunder den ansvarsfraskrivelse, som foreningen omtaler.Når den obligatoriske ordning træder i kraft skal borgeren ikke længere indgå enfrivillig aftale. Det betyder, at borgeren ikke længere skal give samtykke til behand-ling af personnummer. Der er i lovforslaget hjemmel til, at en privat systeman-svarlig kan behandle personnummer. Borgeren skal heller ikke tiltræde vilkår. Dervil fortsat være behov for vilkår, men de skal præsenteres som information omblandt andet, hvordan digital post løsningen fungerer. Herunder skal det fx frem-gå, hvad der sker med hensyn til fremtidig postmodtagelse og allerede leveret posti den digitale postkasse, hvis en person bliver fritaget.

Borgere, der ikke omfattes af obligatorisk tilslutning, og som tilslutter sig frivilligtvil fortsat skulle tiltræde vilkår for frivillig tilslutning.For så vidt angår ansvarsfraskrivelse vedrørende tilgængelighed ved driftsforstyr-relser, er der i bemærkningerne til forslagets § 10 taget højde for blandt andet densituation, at Digital Post løsningen skulle være ”nede”. Det fremgår således, atproblemer, som adressaten ikke har indflydelse på, betyder, at en meddelelse ikkeanses for at være kommet frem, før forhindringen er ophørt.Digital forvaltning forudsætter, at borgerne kan identificere sig sikkert i forbindel-se med anvendelsen af digitale selvbetjeningsløsninger. Det blev tilbage i 2002besluttet at etablere en offentlig standard for digital signatur med et højt sikker-hedsniveau til anvendelse i den offentlige sektor. OCES-standarden – OffentligeCertifikater til Elektronisk Service er udarbejdet af det tidligere IT- og Telestyrel-sen, nu Digitaliseringsstyrelsen, og fremgår af en såkaldt OCES-certifikatpolitik.OCES-standarden er siden blevet udpeget til at være en af de syv standarder, derblev gjort obligatoriske som led i opfølgningen på folketingsbeslutning B103.Forudsætningen for at kunne udstede digitale signaturer efter OCES-standardener, at udsteder (Nets DanID A/S) har indgået aftale med Digitaliseringsstyrelsenblandt andet om at overholde OCES-certifikatpolitikken og underlægge sig Digi-taliseringsstyrelsens tilsyn. Der er endvidere i regi af eDag3 indgået aftale mellemkommuner, regioner og staten om, at alle borgerrettede løsninger med nationaludbredelse og behov for sikker identifikation skal bruge NemID (OCES). For atunderstøtte digitaliseringen af forvaltningen blev det ligeledes besluttet, at dendigitale signatur skal tilbydes gratis til alle borgere.Den til enhver tid gældende standard for offentlig digital signatur er den identifi-kationsløsning, som den offentlige sektor har valgt at basere sig på. DanID vare-tager en offentlig opgave, der har været udbudt og driver således infrastrukturenog udsteder den offentlige digitale signatur på vegne af den offentlige sektor.Udgangspunktet for Digital Post er, at alle borgere tilsluttes. Det kræver digitalsignatur/NemID at logge på sin digitale postkasse.. Der er i lovgivningen forskel-lige eksempler på løsninger, der kræver digital signatur for at kunne logge in, oghvor kravet herom enten fremgår af lovbestemmelser eller i de generelle lovbe-mærkninger. Eksempelvis forudsætter digital tinglysning, at borgeren har NemID.Yderligere eksempler på, at det forudsættes, at borgeren har NemID, er SU-lovensamt Kildeskatteloven.Det er ikke hensigten i denne lov at fastlåse, hvordan Digital Post i fremtidenbedst indrettes, eller hvordan man bedst foretager en sikker identifikation af bor-geren. Der stilles derfor ikke i loven direkte krav om anvendelse af NemID. I be-mærkningerne henvises til den til enhver tid gældende standard for offentlig digitalsignatur, som er den identifikationsløsning den offentlige sektor har valgt at base-re sig på.

I forbindelse med bestilling af NemID skal borgeren acceptere at overholde Reg-ler for NemID. Regler for NemID er udarbejdet på baggrund af krav i OCES-certifkatpolitikken (OCES-standarden) til, hvordan NemID skal håndteres oganvendes for at bevare det høje sikkerhedsniveau. Som eksempel kan nævnes, atden personlige adgangskode skal beskyttes og ikke må videregives, og at brugerenskal anvende NemID fra en pc med opdaterede programmer. Der er således ikketale om en vidtgående aftale, men udelukkende om en accept af, at brugeren harsat sig ind i og vil overholde Regler for NemID.Med hensyn til opbevaring af den private nøgle på DanIDs servere kan jeg oplyse,at jeg forventer, at det ultimo november 2012 bliver muligt for interesserede bru-gere mod betaling at vælge selv at opbevare den private nøgle på hertil godkendthardware (USB-etoken).Ad 2) Problematisk at der er tvungne samtykker til private monopolfirmaerDigital Post og NemId er begge løsninger, der er etableret efter udbud og somskal genudbydes, når de respektive kontrakter ophører. Udbudsreglerne skal netopsikre den fri konkurrence. I den forbindelse bemærkes, at borgeren ikke har mu-ligheder for at vælge leverandør, men det har borgeren heller ikke på fx myndig-heders valg af selvbetjeningsløsninger, der i stigende omfang gøres obligatoriske atbruge. Endelig bemærkes det, at uagtet liberaliseringen af post befordringen, erdet fortsat normalt afsender, der vælger leverandøren af postbefordringen. Mod-tageren (her borgeren) kan ikke vælge om fx en pakke skal leveres af Post Dan-mark, GLS, DHL eller andre.Ad 3) Misvisende sammenligning med fysiske postkasser bruges som begrundelseJeg finder fortsat at sammenligningen mellem den fysiske postkasse og den digita-le postkasse er retvisende. Det er afgørende, at vi skaber en klar retstilstand for,hvornår en digital meddelelse er kommet frem.Når den obligatoriske ordning træder i kraft vil der ikke skulle gives samtykke tile-Boks fra obligatorisk omfattede borgere. Der er i sikkerheden for Digital Post,herunder i kravet om log in med NemID, taget hensyn til privacy. Med hensyn tilborgerens indflydelse på sikkerheden findes der mange tilfælde, hvor et privatfirma forestår it-drift for det offentlige. Det gælder fx cpr-registeret, kriminalregi-steret og en lang række øvrige it-systemer, der indeholder følsomme oplysningerom borgerne. Endvidere kan borgeren vælge at downloade sin post til lagring påegen computer eller printe den ud og sætte den i ringbind og herefter slette postenfra Digital Post. Det er ikke anderledes end i dag, hvor borgeren har dispositions-retten over sin post. Borgeren kan sågar også vælge blot at slette posten. Det erikke anderledes end borgerens mulighed for håndtering af sin analoge post.

Spørgsmål:

Svar: