Historien om NemID
Historien om den digitale signatur - og dens efterfølger NemID - starter allerede i 1999.
Pilotprojekter, lov og rammeaftale
I 1999 gennemførte det daværende Forskningsministerium ni pilotprojekter med digitale signaturer. De offentlige myndigheder og Forskningsministeriet fik værdifulde erfaringer, og markedets aktører blev ansporet til at levere digitale signaturer.
Efter pilotprojekterne blev der sammen med Statens og Kommunernes Indkøbsservice, KL og Amtsrådsforeningen udarbejdet en rammeaftale om levering af kvalificerede certifikater. Loven om elektroniske signaturer trådte i kraft 1. oktober 2001. Loven og rammeaftalen skulle stimulere markedet til øget anvendelse af digitale signaturer.
Det lykkedes dog ikke at stimulere markedet, idet der var en række barrierer. Omkostningerne ved at benytte de eksisterende tilbud var relativt store i forhold til udbuddet af internettjenester, der kunne håndtere en digital signatur. Det hang blandt andet sammen med loven og de tilhørende bekendtgørelser, der stiller krav om personligt fremmøde, skærpede ansvarsforhold og anvendelse af hardware løsninger.
Markedets forretningsmodeller fungerede ikke, især fordi man som borger selv skulle betale for sin digitale signatur. Hertil kom manglende standardisering og ringe interoperabilitet på tværs af markedets tilbud.
Projektkonkurrence
Den daværende regering ønskede at nedbryde de identificerede barrierer. Det daværende Videnskabsministerium igangsatte derfor to aktiviteter i foråret 2002: Et EU-udbud gennemført som projektkonkurrence med efterfølgende udbud efter forhandling, og en standardiseringsproces for Offentlig Certifikater til Elektroniske Services (OCES).
Der blev i foråret 2002 udskrevet en projektkonkurrence. Ideen var at få afdækket mulige forretningsmodeller og at få de eksisterende leverandørers applikationer og infrastrukturer i spil.
Målet med projektkonkurrencen var, at borgerne skulle have ét certifikat til offentlige tjenester på internettet, hvor der kræves anvendelse af digital signatur. Ministeriet ville undgå den situation, hvor borgerne skulle have flere forskellige certifikater fra flere nøglecentre for at kunne benytte den elektroniske borgerbetjening.
Det var ønsket, at et OCES-certifikat skulle give adgang til ydelser i både stat, amt og kommuner, og at det private erhvervsliv kunne drage nytte af den infrastruktur, der blev etableret.
Fem leverandører blev prækvalificeret, hvoraf de fire afleverede projektforslag i efteråret 2002. Tre af disse blev kåret som vindere af projektkonkurrencen.
På baggrund af projektforslagene blev der udarbejdet en kravspecifikation til udbud efter forhandling, som de tre vindere af projektkonkurrencen kunne byde ind på. Det gjorde et konsortium bestående af PBS A/S, DM Data A/S og KMD A/S samt TDC. Efter forhandlingerne skrev det daværende Videnskabsministerium den 6. februar 2003 kontrakt med TDC.
Standardiseringsprocessen for OCES
Standardiseringsprocessen skulle sikre interoperationalitet, og at OCES levede op til internationale standarder. For at sikre accept fra markedet var standarden i høring både i offentligt og privat regi. Standarden blev godt modtaget både i den offentlige og private sektor.
OCES-certifikaterne stillede ikke krav om personligt fremmøde ved udlevering af certifikatet, og certifikatet var tillige softwarebaseret. Det betød, at det kunne produceres og bruges billigere end tilsvarende hardwarebaserede certifikater.
Certifikatet garanterer, at certifikatindehaveren har den identitet, der fremgår af certifikatet.
OCES-certifikatet kan principielt anvendes til al kommunikation mellem myndigheder og mellem myndigheder og virksomheder eller borgere. OCES-certifikater kan også med fordel bruges i den private sektor.
Certifikatpolitikkerne udgør en fælles offentlig standard, der regulerer udstedelsen og anvendelsen af den digitale OCES-signatur. De beskriver de retningslinjer, der gælder for udstedelsen af certifikater. Certifikatpolitikkerne udstikker endvidere det sikkerhedsniveau, der som minimum skal overholdes, hvis certifikatudbyderne vil være OCES-CA.
Der findes i dag følgende OCES-certifikatpolitikker:
- Personcertifikat
- Medarbejdercertifikat
- Virksomhedscertifikat
- Funktionscertifikat
Certifikatpolitikkerne har været revideret flere gange.
Læs mere om OCES-standarden