Møde i interessentforum 21. marts 2018

Digitaliseringsstyrelsen og de danske pengeinstitutter har i regi af partnerskabet for MitID nedsat et interessentforum. Læs referatet fra mødet den 21. marts 2018 her.

Interessentforum består af repræsentanter fra en række slutbruger- og erhvervsorganisationer. Formålet med interessentforummet er at indhente input, der skal bidrage til at sikre den størst mulige anvendelighed af den kommende løsning.

Referat

Onsdag 21. marts 2018, kl. 14-16 i Digitaliseringsstyrelsen

Deltagere:

  • Poul Noer, Dansk Erhverv
  • Mette Smith Thastum, DI Digital
  • Henrik Theil, Foreningen for dansk internethandel
  • Peder Herbo, Forsikring og Pension
  • Hans Andersen, LEV Landsforeningen for udviklingshæmmede
  • Ole Kjærgaard, Rådet for socialt udsatte
  • Asbjørn Christensen, SAND
  • Steen Rosenquist, SAND
  • Lars Magnus Christensen, SMV Danmark
  • Ingrid Stokholm Lauridsen, Ældre Sagen
  • Judith Nathan, Ældre Sagen

  Afbud:

  • Nicolai Svejgaard Poulsen, Dansk IT
  • Monica Løland, Danske Handicaporganisationer
  • Thomas Benjamin Johansen, Finans og Leasing
  • Vagn Jelsøe, Forbrugerrådet Tænk
  • Martin Jensen Buch, IT Branchen
  • Morten Andersen Linnet, Landbrug og Fødevarer

Fra MitID-programmet og Digitaliseringsstyrelsen:

  • Karen Helsbøl, MitID-programmet
  • Charlotte Jacoby, Digitaliseringsstyrelsen
  • Nikolas Triantafyllidis, MitID-programmet
  • Christian Schmidt-Madsen, Digitaliseringsstyrelsen
  • Stine Kern Licht, Digitaliseringsstyrelsen
  • Julie Rasmussen, MitID-programmet
  • Maja Bjerregaard Have, MitID-programmet
  • Per Faarup, MitID-programmet
  • Mogens Rom Andersen, MitID-programmet
  • Lars Lundgaard Andresen, MitID-programmet

Bilag:

  • Bilag 1: Præsentation fra mødet
  • Bilag 2: Målgrupper til brugervenlighedstest

Dagsorden

  1. Siden sidst
  2. MitID-udbuddet
  3. NemLog-in3-udbuddet
  4. Migrering/implementering
  5. Support
  6. Det kommende forløb
  7. Evt.

Ad 1. Siden sidst

Karen Helsbøl (MitID-programmet) ridsede op, hvad der er sket siden sidste møde i Interessentforum. I marts 2017 fik den kommende løsning sit navn: MitID. Da Digitaliseringsstyrelsen ikke har det fulde ejerskab over navnet NemID, har et navneskifte været nødvendigt. MitID har sammen med det nye navn også fået nyt logo og grafik. 

I efteråret 2017 blev scopet ændret mellem MitID- og NemLog-in-udbuddene, der skal afløse NemID, således at de dele af infrastrukturen, der vedrører erhvervsløsningen og signering, er samlet i NemLogin. 

Derudover er der en ny nøgleapp på vej til den eksisterende NemID-løsning. NemID nøgleappen forventes at blive frigivet sidst i maj. 

Stine Kern Licht (Digitaliseringsstyrelsen) præsenterede den fælles vision for udbuddene af den digitale infrastruktur. Her blev der lagt fokus på behovet for øget brugervenlighed, mere sammenhæng på tværs af løsningerne, øget ejerskab, fortsat høj sikkerhed og fokus på fremtidige behov, både hos
virksomhederne og borgerne.

Spørgsmål vedrørende om administrationen af CVR-numre stadig vil foregå i NemLog-in:

Ja. I NemLog-in kan erhvervsidentiteter for virksomheder (med CVR-numre) administreres.

Spørgsmål vedrørende om der vil være forskellige MitID til det offentlige og bankerne:

Der vil være én løsning til borgerne, som anvendes på tværs af både den private og den offentlige
sektor.

Spørgsmål vedrørende udbuddenes krav om tilgængelighed:

Der indgår udførlige krav til brugervenlighed og tilgængelighed (herunder blandt andet WCAG) i både udbudsmaterialet til MitID og NemLog-in3.

Spørgsmål vedrørende EU-krav om SKAT og momsberegning: Moms følger kundens hjemland. Kan identifikationen sige noget om brugerens nationalitet?

MitID-løsningen varetager alene identifikation og autentifikation. Hvorvidt en bruger har en momstilknytning eller andre rettigheder må undersøges via andre autorisationsløsninger.

Ad 2. MitID-udbuddet

MitID-programmet udsendte udbudsmaterialet i december 2017 og afventer nu at modtage de indledende tilbud fra de prækvalificerede leverandører. I udbudsmaterialet er der opstillet en lang række krav til den kommende løsning, men den konkrete udformning vil afhænge af, hvad leverandørerne byder ind med.

Nikolas Triantafyllidis (MitID-programmet) opridsede en række grundprincipper for den kommende MitID-løsning; fleksibilitet, brugervenlighed, modularitet og sikkerhed. Da kontrakten skal løbe i mange år, er der i kravene til løsningen et stort fokus på fleksibilitet fra leverandørens side. Kravene skal sikre, at løsningen kan følge med den teknologiske udvikling. Der lægges vægt på multifaktorsikkerhed og flere sikringsniveauer i løsningen, ligesom der er stillet omfattende krav til brugervenlighed (UX). Der er blandt andet i udviklingsfasen stillet krav om inddragelse af primære og særlige målgrupper i brugervenlighedstest, og der er stillet krav om årlige brugervenlighedstest i driftsfasen.

Spørgsmål vedrørende hjemløses eventuelle mangel på identifikation og håndteringen af disse. Har hjemløse fx ret til at få MitID, selvom de ikke kan identificere sig?

Vi er i høj grad opmærksomme på, at borgere med særlige behov skal kunne indrulleres i løsningen – herunder også borgere, der kan have svært ved at fremskaffe identifikation. De behov har vi beskrevet i kravene til de forskellige sikringsniveauer, men hvordan leverandørerne vælger at tilrettelægge de konkrete registreringsprocesser, ved vi først, når vi modtager deres tilbud.

Spørgsmål vedrørende om identiteterne stadig er bygget op omkring CPR-numre:

Alle identiteter, der har et CPR-nummer vil være koblet til deres MitID. Af hensyn til fleksibilitet og behovet for stor udbredelse er der dog ikke stillet krav om, at en identitet i MitID nødvendigvis skal have et CPR-nummer. Identiteter kan baseres på andre karakteristika / attributter, så længe disse giver mulighed for unikt at identificere personen.

Spørgsmål vedrørende succeskriterier for udbredelsen af løsningen:

Målet er, at så mange som overhovedet muligt kan bruge løsningen, også brugere med særlige behov, herunder de teknologiudfordrede.

Spørgsmål vedrørende hvorvidt NemID nøgleappen kommer til at fortsætte efter migreringen til MitID:

Da NemID nøgleappen er bygget op omkring den nuværende løsning, NemID, vil nøgleappen i sin nuværende form ikke komme til at fortsætte efter overgangen til MitID. Forventningen er, at den kommende MitID-løsning vil tilbyde en mobilbaseret løsning, men med alternativer for dem, der ønsker det.

Spørgsmål vedrørende kravene til udstedelsesprocessen for MitID, særligt for socialt udsatte:

De konkrete registreringsprocedurer kendes endnu ikke. Fokus i kravene er på sikkerheden i processen, men også på at sikre en stor udbredelse – og dermed også nå borgere med særlige behov.

Spørgsmål vedrørende overvejelser om biometriske muligheder i løsningen:

Biometri er også med i overvejelserne, men der er ikke stillet eksplicitte krav til specifikke biometriske løsninger. I hvilket omfang den kommende løsning vil basere sig på biometri vil afhænge af, hvad leverandørerne byder ind med.

Spørgsmål vedrørende om det er muligt for tjenesteudbyderne at redigere i designet, eller om det ligger fast:

I MitID vil der være friere rammer til at tilpasse det slutbrugerrettede design, end der har været i NemID. Der vil dog være en række minimumskrav til blandt andet ”look and feel” og sikkerhed, der skal overholdes af de tjenester der implementerer MitID, og som er defineret på forhånd. Disse minimumskrav skal sikre genkendelighed og sikkerhed, så brugerne føler sig trygge på tværs af services, der understøtter MitID.

Ad 3. NemLog-in3-udbuddet

Digitaliseringsstyrelsen præsenterede status for NemLog-in-projektet, og hvordan NemLog-in3 sammen med MitID skal forbedres i forhold til de nuværende løsninger. De forretningsmæssige krav til løsningen blev endvidere gennemgået. Der skal ske et markant løft af brugervenligheden for erhvervsbrugerne, og løsningen vil i langt højere grad end i dag være tilpasset forskellige målgrupper. Det sker blandt andet ved at samle identitets- og rettighedsstyringen, som udstilles via Virk, ligesom der fremover vil være én aftaleindgåelse gældende på tværs af de offentlige løsninger, NemLog-in og Digital Post.

Spørgsmål vedrørende hvordan løsningen skal udbredes:

Løsningen udbredes i tæt samarbejde med alle offentlige tjenesteudbydere.

Spørgsmål vedrørende hvorvidt private tjenesteudbydere kan oprette fuldmagter:

Private tjenesteudbydere kan i dag ikke oprette fuldmagter i NemLog-in-løsningen. Der lægges for nuværende ikke op til at ændre i, hvem der kan oprette fuldmagter i NemLog-in.

Spørgsmål vedrørende længden af kontrakten og betalingen for løsningen:

Udviklingen af NemLog-in-løsningen finansieres af de fællesoffentlige parter (stat, kommuner og regioner) og løber over 5 år med mulighed for 3 gange ét års forlængelse, dvs. 5+1+1+1 år eller maksimalt 8 år i alt. Private tjenesteudbydere vil skulle betale for tilslutning til brokeren.

Ad 4. Migrering/implementering

Der er i kravspecifikationen til MitID lagt op til en migreringsperiode på 9 måneder, og det forventes, at størstedelen af borgerne vil migrere via pengeinstitutterne. Derudover vil der være et online migreringsflow på mitid.dk. Der er lagt vægt på, at migreringen skal foregå i ét sammenhængende flow, hvor brugerne guides igennem.

Ældre Sagen anbefalede i forbindelse med migrering løbende nudging af brugerne. For at undgå at tabe brugere i processen anbefalede SAND, at migreringen sker i et så ikke-teknisk sprog som muligt. Digitaliseringsstyrelsen oplyste, at der også vil blive gennemført brugertest på selve migreringsflowet.

Migreringen for NemLog-in3 vil foregå i tæt koordination med MitID.

Spørgsmål vedrørende det konkrete indhold af migreringen:

Den konkrete migrering vil afhænge af den endelige løsning, som leverandørerne byder ind med. Brugeren vil skulle anvende sit nuværende NemID ifm. migreringen.

Spørgsmål vedrørende brug af NemID-nøglekortet efter migreringen:

Der vil være en overgangsfase, hvor nogle tjenester er overgået til den nye infrastruktur, og andre ikke er. Selvom man som bruger er oprettet i den nye løsning (MitID), vil man fortsat i en periode kunne anvende NemID. Ældre Sagen fremhævede i denne forbindelse de mange ældre, som er glade for deres nøglekort, og som ikke har en smartphone. Dette er der i kravene til løsningen taget højde for.

Spørgsmål vedrørende om der også vil være nøglekort i den fremtidige MitID-løsning:

Den nuværende løsning med nøglekortet opfylder ikke de fremtidige krav til sikkerhed, og derfor vil den kommende løsning ikke videreføre nøglekortet præcist, som vi kender det i dag. Det vil fremover være muligt at vælge mellem forskellige akkreditiver, herunder fysiske akkreditiver der har lignende egenskaber som nøglekortet, for de brugere, der måtte ønske det.

Ad 5. Support

I dag får brugere support hos den eksisterende leverandør, Nets. I fremtiden vil support foregå i et fællesoffentligt supporttilbud, som yder support på tværs af løsningerne (MitID, NemLog-in, Digital Post mm.). Der vil være et særligt fokus på support i omstillingsperioden

Spørgsmål vedrørende hvem der i den nye løsning kommer til at være brokere:

Private tjenester kan ikke koble sig direkte op til MitID. Dette kan kun ske via en facilitator, dvs. en broker. Bankerne og bankcentralerne har deres egne brokere, og den offentlige sektor anvender NemLog-in. For at sikre at private tjenesteudbydere også fremover kan anvende MitID, stilles NemLog-in til rådighed som broker for private tjenesteudbydere. Der findes dog allerede private brokere i dag og forventningen er, at der vil være private udbydere af brokere på markedet.

Spørgsmål vedrørende hvorvidt en brokerløsning ikke bliver dyr for private tjenesteudbydere:

Private tjenesteudbydere kan både anvende NemLog-in eller en af de brokere, der forventes at blive udbudt på markedet – eller de kan vælge at udvikle deres egen broker. Prissætningen ligger ikke klar endnu, men der er stor opmærksomhed på, at prisen ikke må afskrække tjenesteudbydere fra at anvende MitID.

Spørgsmål vedrørende hvorvidt brokere må være udenlandske selskaber:

Som udgangspunkt kan et selskab være broker, forudsat at brokeren lever op til kravene i brokeraftalen (herunder kan certificeres) og de underliggende databehandleraftaler mv. Den endelige brokeraftale fastlægges dog først i analysefasen.

Ad 6. Det kommende forløb

Informationskanalerne for MitID og NemLog-in3 blev gennemgået. Interessentforum inddrages næste gang efter kontraktindgåelse.

Ad 7. Eventuelt

Charlotte Jacoby (Digitaliseringsstyrelsen) meddelte, at de fremlagte tidsplaner for projekterne er med forbehold. Der blev opfordret til, at man ved spørgsmål skriver til projekternes postkasser. 

Bilag 2 til referat fra møde i interessentforum den 21. marts 2018

Uddrag af MitID-udbudsmaterialet vedrørende målgrupper i forhold til brugervenlighedstest

(K) Brugervenlighedstestens deltagere

Leverandøren skal i fællesskab med Kunden kortlægge både primære målgrupper og særlige målgrupper for brugervenlighedstesten.

Leverandøren skal via en uvildig 3.part, som har dokumenteret erfaring med brugervenlighedstest, facilitere test af Kernen med de identificerede målgrupper. Der inddrages som minimum 3-5 personer per målgruppe.

Der skal findes en tilpas fordeling af brugerne i brugertestens behov.

Der sikres spredning på testdeltagerne, fx i forhold til køn, alder (fx 15 – 75 år), uddannelsesniveau, IKT-niveau samt evt. geografisk spredning.

Leverandøren er ansvarlig for rekruttering af testdeltagere.