Høringssvar vedrørende udkast til forslag til lov om ændring af forskellige love som følge af indførelse af obligatorisk digital selvbetjening for borgere (Overgang til obligatorisk digital selvbetjening for borgere i bølge 2)

Lovforslaget er struktureret på samme måde som L 159, der blev vedtaget i folketingsåret 2011/12. Når borgerne skal indgive en ansøgning eller anmeldelse til en offentlig myndighed (inden for de af lovforslaget omfattede områder), skal borgeren bruge den digitale selvbetjenings­løsning som den offentlige myndighed, f.eks. kommunen, stiller til rådighed. Den offentlige myndighed er som udgangspunkt forpligtet til at afvise ansøgninger som ikke indgives digitalt. Det kan dog fraviges i visse tilfælde, herunder hvis myndigheden ud fra en samlet økonomisk vurdering ser klare fordele ved at gøre dette.

Kravet om OCES NemID (privatliv og sikkerhed)

IT-Politisk Forening sendte den 24. marts 2012 en henvendelse til Folketings kommuneludvalg om L 159 (Bilag 3 til L 159, Folketinget 2011-12). Henvendelsen drejede sig hovedsageligt om NemID, og den særlige problemstilling som knytter sig til at borgerne for at bruge den offentlige selvbetjening er nødt til at indgå en aftale med et bestemt privat firma (DanID A/S, som administrerer OCES NemID).

Vi finder fortsat, at NemID tvangen er problematisk, dels af hensyn til privatlivsbeskyttelsen, dels på grund af borgernes IT-sikkerhed. NemID kræver Java, som har været og fortsat er plaget af en række alvorlige sikkerhedshuller. I starten af januar 2013 opfordrede CERT myndigheder over hele verden, herunder danske DK-CERT, borgerne til at afinstallere Java, eller i det mindst begrænse brugen af Java i deres webbrowsere. For danske borgere er det reelt umuligt at afinstallere Java på grund af NemID, og det kræver ret gode IT-kundskaber at kunne begrænse Java til en enkelt webbrowser, som kun bruges til netbank og offentlig selvbetjening.

IT-Politisk Forening anerkender, at de fleste offentlige selvbetjeningsløsninger har et ubetinget krav om sikker personidentifikation, og at der for nærværende ikke er andre alternativer end OCES NemID i dens nuværende Java-baserede udgave. Vi vil dog samtidig benytte lejligheden til at anbefale at brugen af Java i webbrowseren eksplicit forbydes i udbudsmaterialet, når den digitale signatur efter OCES standarden skal sendes i udbud næste gang.

I forhold til foråret 2012 er der sket den positive udvikling, at DanID langt om længe (med to års forsinkelse) har lanceret den udgave af NemID, hvor DanID ikke opbevarer borgernes private nøgle. Ultimo november 2012 fik borgerne mulighed for at vælge ”NemID på hardware”, hvor den private nøgle opbevares på et smartcard under borgerens fysiske kontrol.

For at bruge NemID på hardware skal borgeren i en udenlandsk webbutik købe et stykke hardware (smartcard token). Det er besværligt, og ikke videre hensigtsmæssigt, når der er tale om hardware som skal bruges af danske borgere (webbutikken angiver i øvrigt prisen eksklusive moms selv om den pågældende vare kun sælges til forbrugere). Vi finder det også kritisabelt, at borgerne i det hele taget skal betale for at få deres private nøgle tilbage fra DanID.

Endvidere vil vi gøre opmærksom på, at NemID på hardware ikke understøtter Linux. Vi undrer os noget over dette idet smartcard leverandøren Gemalto på deres website reklamerer med Linux understøttelse, men vi kan selvsagt ikke gøre andet end at henholde os til DanID's udmelding på dette punkt. Seneste version af Windows og Mac OS understøttes i øvrigt heller ikke.

Så vidt vi har forstået aftalen mellem DanID og Digitaliseringsstyrelsen, er DanID forpligtet til at understøtte operativsystemerne Windows, Mac OS og Linux (Ubuntu). DanID angiver i hvert fald webbrowsere til Windows, Mac OS og Ubuntu Linux 12.04 under understøttede programmer
https://www.nemid.nu/support/tekniske_krav/understoettede_programmer/internetbrowser/

Disse krav opfylder DanID altså (endnu) ikke, når der er tale om NemID på hardware, og DanID er forpligtet til at tilbyde borgerne denne mulighed. Den decentrale nøgleløsning kan endnu ikke betragtes som værende endeligt leveret fra DanID's side.

Utilstrækkelige krav om tilgængelighed og borgernes mulighed for at bruge den offentlige selvbetjening

Når der indføres specifikke krav til borgerne om at benytte digital selvbetjening hos det offentlige, bør der også indføres tilsvarende specifikke krav til de offentlige selvbetjeningsløsninger, således at disse løsninger er reelt tilgængelige for alle borgere, herunder borgere som ønsker at bruge et andet operativsystem end Windows på deres computer(e) i hjemmet. Det er ikke nødvendigvis tilfældet i dag, og lovforslagets krav om tilgængelighed er efter vores opfattelse utilstrækkelige for at sikre dette.

I afsnit 4.2.6 i bemærkningerne (”Infrastruktur og tekniske løsninger”) står der følgende om tilgængelighed (identisk med den tilsvarende formulering i L 159 fra 2011/12)

Det forudsættes, at de relevante myndigheder sikrer, at de digitale selvbetjeningsløsninger er brugervenlige og tilgængelige, så stadig flere borgere kan anvende og blive fortrolige med anvendelsen af de digitale løsninger. Løsningerne skal leve op til fællesoffentlige standarder for it-løsninger, hvor disse er fastsat, herunder de fællesoffentlige tilgængelighedsstandarder, som eksempelvis WCAG. Det vil endvidere blive nødvendigt med lokal implementering, herunder udvikling og tilretning af systemer og lokale arbejdsgange.

Udover henvisningen til WCAG, der er en anbefaling i W3C regi med henblik på at øge tilgængeligheden af websider for (især) personer med forskellige fysiske handicaps som f.eks. nedsat syn, så er denne formulering meget ukonkret og meget uforpligtende for de offentlige myndigheder.

Reelt står der i lovforslaget, at borgerne er forpligtet til at bruge den selvbetjeningsløsning, som den offentlige myndighed egenhændigt har valgt at stille til rådighed.

Der er ikke nogen automatisk fritagelse for den obligatoriske selvbetjening, hvis en borger ikke er i stand til at bruge den offentlige selvbetjeningsløsning med den software som borgeren har valgt at installere på sin computer.

Der er allerede konkrete eksempler på, at arbitrære systemvalg truffet af offentlige myndigheder har blokeret for borgernes brug af den offentlige selvbetjening. Vi skal her nævne to eksempler, som begge vedrører brugen af PDF filer i den offentlige selvbetjeningsløsning. Vi er blevet opmærksom på de to eksempler på baggrund af henvendelser fra frustrerede medlemmer af foreningen.

Eksempel #1:
I november 2012 var en række borgere forhindret i at se deres egen forskudsopgørelse, fordi Skat nægtede adgang for borgere som ikke havde Adobe Reader installeret. Der var tale om ganske almindelige PDF filer, som kunne vises med enhver PDF læser, men Skat havde lavet noget Javascript kode som checkede for om Adobe Reader eller Adobe Acrobat plugin var installeret, og hvis det ikke var tilfældet blev borgeren altså nægtet adgang til sin egen forskudsopgørelse.

Skat's begrundelse for dette var, at Windows 8 åbenbart kunne finde på at lave en midlertidig kopi af PDF filen på computeren, hvilket kan være uheldigt, hvis borgeren eksempelvis benytter en offentlig computer på et bibliotek. Vi har imidlertid konstateret, at der også efterlades kopier af PDF filen på harddisken når Skat's vejledning følges til punkt og prikke, og efter vores faglige vurdering er dette reelt uundgåeligt når der bruges PDF indhold på websider. PDF indhold på en webside vises generelt ikke i browseren, men i en ekstern applikation (eller ekstern plugin), og det er teknisk umuligt for Skat's webserver at kontrollere om der laves kopier af PDF filen på brugerens harddisk.

Under alle omstændigheder er det helt uacceptabelt, at borgerne tvinges til at installere Adobe Reader for at se deres egen forskudsopgørelse, når andre PDF læsere er lige så gode til formålet. For Linux brugere er det ikke muligt at installere Adobe Reader i en opdateret version med dansk tekst, og for Windows brugere kan der være rigtigt mange gode grunde til at foretrække noget andet end Adobe Reader til læsning af PDF filer. Ligesom Java er Adobe Reader plaget af en lang række sikkerhedsproblemer.

Eksempel #2:
En række kommuner bruger selvbetjeningsløsninger udviklet af Dafolo A/S via borgeronline.dk (som man typisk ikke ser direkte, fordi indholdet vises fra borger.dk). Dafolo har valgt at lave deres PDF filer således, at de kun kan læses med Adobe Reader, og dette check administreres af noget script kode i PDF filen, som kun Adobe Reader kan behandle korrekt. Med andre PDF læsere får borgeren en uforståelig fejlside skrevet på engelsk. Dette PDF problem berører bl.a. kommunale selvbetjeningssystemer for tilmelding til Robinsonlisten og anmeldelse af udrejse.

Et medlem af IT-Politisk Forening har i foråret 2012 kontaktet en af de pågældende kommuner (Frederiksberg), og fået forklaringen at dette er et bevidst designvalg fra kommunens side. Kommunen kontaktede deres systemleverandør (Dafolo), og fik den forklaring at leverandøren havde indsat Adobe Reader kravet af hensyn til NemID signering og krypteret indsendelse.

Begge eksempler må anses for at være udtryk for et mangelfuldt systemdesign hos den offentlige myndighed eller deres systemleverandør. Men borgeren er reelt magtesløs i sådanne situationer, da borgeren som bekendt kan være forpligtet til at bruge den offentlige selvbetjeningsløsning. Borgeren kan omvendt ikke stille nogle krav til den offentlige myndighed om løsningens tilgængelighed for borgeren. Lovforslaget handler alene om borgernes forpligtelser, ikke om de offentlige myndigheders forpligtelser. Det er urimeligt.

Arbitrære systemvalg truffet af en offentlig myndighed eller deres underleverandører kan ultimativt tvinge borgeren til at købe en ny computer og installere Windows, Adobe Reader, og hvad den offentlige myndighed ellers kan finde på at kræve af software.

Borgeren kan desuden blive kastebold mellem forskellige offentlige myndigheder med forskellige systemkrav (eksempel: foruden Adobe Reader nævner Skat webbrowseren Google Chrome som en mulighed fordi der her er en indbygget PDF læser som tilfredsstiller Skat's misforståede krav til PDF læsning, men borgeronline.dk fortæller omvendt borgerne at Google Chrome ikke kan bruges uden besværlige ændringer i opsætningen). Den situation, som er en reel risiko og ikke en teoretisk situation, er fuldstændig urimelig for borgerne·

For at imødegå sådanne situationer foreslår IT-Politisk Forening, at der i bemærkningerne til lovforslaget formuleres mere konkrete krav til de offentlige selvbetjeningsløsninger.

Et hensigtsmæssigt krav kunne være, at de offentlige selvbetjeningsløsninger skal gøre brug af åbne standarder, som frit kan implementeres af alle softwareleverandører, herunder leverandører af fri og åben software som Ubuntu Linux. Et sådant krav vil konkret betyde at webindholdet skal kunne vises korrekt af alle browsere (ikke blot Internet Explorer til Windows), at PDF filer skal kunne vises af alle gængse PDF læsere (ikke blot Adobe Reader, men også Foxit, Evince og Okular), og at NemID's Java bytecode skal kunne afvikles af alle Java implementeringer (ikke bare Oracle Java, men også OpenJDK som er det frie og åbne alternativ til den proprietære Oracle Java).

Hvis der i fremtiden udvikles selvbetjeningsløsninger til mobile enheder som tabletter og smartphones, skal det også her sikres at der bruges åbne standarder, så der ikke blot bliver tale om lukkede ”apps” som borgerne kun kan hente fra Apple AppStore (til IOS) eller Google Play (til Android enheder).

Der bør ikke være nogle tekniske forhindringer for at offentlige myndigheder kan efterleve de ovenfor foreslåede krav. Vi foreslår ikke at Java ”forbydes”, eller at kildeteksten til NemID's Java applet skal udleveres til borgerne (selv om sidstnævnte ville være en god idé af hensyn til tilliden til NemID). Det står også den offentlige myndighed fuldstændigt frit at mellem ”open source” eller proprietære systemer til deres servere, blot systemerne opfylder kravene om åbne standarder og tilgængelighed overfor borgerne. Formålet er at borgeren kan vælge hvilken software han/hun vil køre på sin egen computer.

Disse krav bør være juridisk bindende for den offentlige myndighed, og ikke blot hensigtserklæringer. Samtidig skal borgeren have et ubetinget retskrav på fritagelse for den offentlige selvbetjeningsløsning, hvis borgeren kan dokumentere at han/hun er afskåret fra at bruge den offentlige selvbetjening fordi den ikke opfylder de nævnte krav om åbne standarder og tilgængelighed.

Vi mener i øvrigt, at indsættelse af sådanne krav til de offentlige selvbetjeningsløsninger i lovforslaget vil være en fordel for såvel borgerne som den offentlige digitaliserings­strategi. For de offentlige myndigheder vil kravene gøre det nemmere at udarbejde udbudsmateriale til eksterne systemleverandører, og brugen af åbne standarder vil generelt bidrage til at sikre, at borgerne kan bruge den offentlige selvbetjening fra så mange hardwareenheder som muligt.

Den nuværende offentlige selvbetjeningsstrategi lider eksempelvis kraftigt under NemID's afhængighed af Java, som forhindrer at borgerne kan bruge tabletter til den offentlige selvbetjening. Den tekniske udvikling går stærkt, og ingen kan forudse hvilke hardwareenheder der vil blive benyttet om 3-5 år. Brugen af åbne standarder er den bedste strategi for at sikre at næste års hardware også kan bruges til de offentlige selvbetjeningssystemer.