FerieKontos kundeservice opfordrer til at tage billeder af NemID-nøglekort

Da en af Version2’s læsere ville hjælpe sin datter, som er i udlandet, med at få udbetalt penge fra FerieKonto, blev han af en kunderådgiver opfordret til at bede datteren sende et billede af sit nøglekort. Det er i strid med reglerne, siger Nets.

»Kan hun ikke bare tage et billede af nøglekortet?«

Det var spørgsmålet, som Kristian Ørnum blev mødt af, da han ringede til FerieKontos kunderådgivning for at høre, om han kunne hjælpe sin datter på 16 år med at få udbetalt feriepenge.

»Hun er i USA på et skoleophold. Det er jo meningen, at det er skoleopholdet, hun skal fokusere på. Jeg tænker, at jeg som forælder burde kunne gøre den slags for hende.«

Datteren kommer hjem om et års tid. Feriepengene ville blive forældet til september.

Derfor ringer Kristian Ørnum til FerieKontos kunderådgivning og bliver opfordret til at få sin datter til at sende et billede af sit nøglekort til faderen.

Men det er imod reglerne for NemID. Det forsøger Kristian Ørnum at forklare kunderådgiveren, men resultatet er det samme. Kunderådgiveren mente, at det er den bedste løsning, og at hvis datteren gav lov, må man godt.

Dokumentationen herfor findes på en optagelse af samtalen, som Kristian Ørnum har sendt til Version2.

Han går selv op i it-sikkerhed og har lært sin datter at bruge 1Password til at holde styr på kodeord.

»Jeg skal ikke være den person, som lærer hende dårlig it-sikkerhed,« siger han.

Det fremgår meget tydeligt af nøglekort, at man ikke må affotografere disse. På indersiden er der et ikon med et kamera med en streg over, og på bagsiden er der sørget for information om, at: »Nøglekortet er personligt og må ikke affotograferes eller på anden vis videregives«.

Skulle man være i tvivl om, hvorvidt man må tage et billede af sit NemID, kan man nøjes med at kigge på det. Illustration: Mads Allingstrup, Nets

Meget information om ingen affotografering

Mange tænker måske ikke over det, men at bruge en andens NemID er som at skrive under på andres vegne, forklarer Lene Loua, produktchef ved Nets DanID.

»Det kan være, at folk måske har en anden barriere, når det gælder NemID - altså at der er en forskel på at sætte sig ned og forsøge at efterligne sin mors eller sin datters underskrift, men det er der ikke. Det er en følelse af, at det ikke er det samme - men det er at skrive under på vegne af andre,« siger hun.

Læs også: Finansrådet og Digitaliseringsstyrelsen vil gøre danskerne mere sikkerhedsbevidste

Det er også derfor, at du i oprettelsen af et NemID skal acceptere, at NemID er personligt, og at du »ikke må oplyse din adgangskode, dine nøgler eller overlade dit nøglekort/din nøgleviser til andre«, som det fremgår af NemID-reglerne afsnit 3,2.

»Generelt er det meget uheldigt at opfordre til at tage billeder af sit nøglekort eller dele sit NemID med andre. Men det er desværre ikke et ukendt fænomen,« siger Lene Loua.

Nøglekortet (OTP-enheden) gør, at brugeren får en fysisk enhed, som er uafhængig af brugerens pc, og som sammen med en statisk adgangskode udgør en 2-faktor autentifikationsmekanisme, skriver Nets på deres hjemmeside om NemID. Version2 har tidligere været i kontakt med kommunikationskonsulent i Nets Ulrik Marschall. Han fortalte her, at en væsentlig del af sikkerheden omrking NemID består i, at der netop anvendes to faktorer. Noget, du har 'i hovedet', og noget, du har 'i hånden'.

Det forudsætter, at man ikke anvender og lagrer sine koder på samme medie, eksempelvis telefonen Vil du vide mere om nøglekort og sikkerhed, kan du læse videre her om Nets OTP-politik.

Deles nøglekort, skal de spærres

Hun oplyser desuden, at hvis Nets DanID får kendskab til, at et nøglekort er blevet delt, er de forpligtet til at spærre det pågældende NemID.

Vil man alligevel gerne hjælpe en anden, og der skal benyttes NemID, skal man bruge en fuldmagt fra tjenesteudbyderen til at kunne logge ind med eget NemID.

Det kan man gøre ved at kontakte udbyderen af den tjeneste, man gerne vil have adgang til.

Det, som Kristian Ørnum skulle være blevet opfordret til, var altså, at hans datter skulle indsende en fuldmagt.

FerieKonto: Der må være tale om en fejl

Hos FerieKonto beklager de hændelsen.

»Vores medarbejdere er uddannet i digital sikkerhed og i at håndtere fortroligt materiale. Hvis samtalen er foregået, som jeg har fået den refereret, kan jeg kun beklage – der må være tale om en fejl fra vores medarbejders side,« skriver Louise Starup, der er kundechef for FerieKonto, i en mail til Version2.

»Vi vil indskærpe overfor vores medarbejdere, at de altid skal vejlede om muligheden for at registrere en fuldmagt hos FerieKonto og henvise til NemID for en uddybning af reglerne, hvis de får spørgsmål af denne karakter.«

Kristian Ørnums datter har fået udbetalt sine feriepenge. Det endte med, at Kristian Ørnum guidede hende gennem borger.dk, og ad den vej fandt de sammen ud af det.