eid for meg og for oss

Like dokumenter
eid for meg og for oss

Informasjonssikkerhet som hinder for ønsket om bruk av informasjonssystemer? eforvaltningskonferansen 11. februar 2010, Oslo

Digital postkasse til innbyggere

UNIMOD Universell utforming i multimodale grensesnitt - resultater

Derfor trenger du BankID på nettstedet ditt

Erfaringer fra Diadem prosjektet

Digitalt først og fremst. Bærum Seniornett 11. Februar Bekkestua Bibliotek.

Slik tar du i bruk nettbanken

Slik tar du nettbanken i bruk

Brukerveiledning for identifisering med BankID

Erfaringer fra UNIMOD

Brukermanual. VPN tilgang til Norsk Helsenett

Tilgjengelige apps fra design til bruk

Selvbetjening for alle universell utforming av betalingstjenester. FNHs Betalingsformidlingskonferanse oktober

Benytter du dine rettigheter?

Avtale om bruk av autentiseringsløsning Bilag 1b: Brukerveiledning for sluttbrukere av MinID versjon 2.1

Alt du trenger å vite om digital postkasse. Informasjon til ansatte i offentlig sektor

Etikk- og personvernshensyn i brukerundersøkelser

Sosiale Medier, e-ider og Personvern

Elektronisk innsending av årsregnskapet

UTTALELSE I KLAGESAK - SPØRSMÅL OM UNIVERSELL UTFORMING AV NETTBANK

Brukbar og inkluderende e-id-teknologier: Brukerforskningens syn

Universell utforming i multimodale grensesnitt. Prosjektavslutningsforedrag:

Medlemsportalen Brukerveiledning

Veileder kjøp av kopier/utskrifter og legge til skriver på egen Pc / Mac

Møte i nettverk for informasjonssikkerhet - NIFS

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Autentisering av ansatte

Veiledning for bruk av tjenester via Altinn

Digital signatur fra Skanska

Skattemeldingen Hvordan få tak i den? Fasteverger.no 1

IKT-reglement for Norges musikkhøgskole

Veiledning for elektronisk registrering

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

SpareBank1 høringssvar til forslag om forskrift om universell utforming av IKT-løsninger

Kontoinnstillinger. Slik kommer du til «Kontoinnstillinger»: Etter at du har logget inn trykk på piltasten og velg. Kontoinnstillinger.

Nye felles løsninger for eid i offentlig sektor

ID-porten Utviklingsplan 2017

transen snasenrot trenissen trondegutten127 hansetrondsen nesnah dnort trendnissen Trond Hansen kosebamsen84 trasen batman trikaahansen02 trusehasen

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Videokonsultasjon - sjekkliste

PERSONVERN Personopplysninger som lagres Hvilke personopplysninger behandler vi

Diabetesforbundet. Personvernerklæring

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Veiledning til opprettelse av eget passord for sikker netthandel 2 alternative metoder for opprettelse av eget passord

Video om xid er tilgjengelig her:

Sikker digital posttjeneste. Digital postkasse til innbyggere Kontakt- og reservasjonsregisteret

Vemma Europes personvernerklæring

SVs nettkampanje ved valget 2011 var ikke universelt utformet

Digitaliseringsprogrammet - hva blir utfordringene for arkivet?

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Big Data. Dataforeningen, 13. februar 2013 Ove Skåra, informasjonsdirektør

MIN SIDE. informasjon

Designguide for ID-porten. Versjon 2.0

Brukeren i sentrum. Gode argumenter for universell utforming

1. Hvordan kommer jeg i gang som mcash-bruker?

Innhold. Helseopplysninger, BankID og risiko. Cracker s pub Trondheim, 5. mars Institutt for matematiske fag, NTNU.

Undersøkelse om autentisering, innlogging og tilgjengelighet blant medlemmer i Norges Blindeforbund

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Krav til rettslig grunnlag for behandling av personopplysninger. Dag Wiese Schartum

Nasjonalt eid-program

Personvernerklæring for Søknadsweb

Digitalt førstevalg hva innebærer det i praksis Arild Jansen, AFIN/SERI, UiO

Vertikal Direkte Velkommen som medlem

Enklere bank. snn.no/bruk

Ledefelt viser retning

De nasjonale e-helseløsningene i Direktoratet for e-helse og nye personvernregler. Maryke Silalahi Nuth Normkonferansen

PANVAK: kort intro.

«Nå kommer kommunene» -Fra innovasjonsprogram til praktisk realitet. Lisbet Nederberg og Håvard Wiik, Skedsmo kommune Altinndagen, 3.

Høring Forslag til forskrift om universell utforming av IKTløsninger. Høringsuttalelse fra Universell.

ID-Porten bruk av elektronisk ID i offentlige tjenester på nett

Personvernerklæring for Søknadsweb

Personvernerklæring for Søknadsweb

ID-porten Utviklingsplan 2016

Symmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering.

Hvordan kan brukertester av nettsider gjennomføres

Elektronisk resept. Til deg som trenger resept. Trygt og enkelt

Vår ref. Deres ref. Dato: 09/ MOV

Personvern og velferdsteknologi

Forsikringselskaper adgang til etterforskning

Personvernerklæring for Clemco Norge AS

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Digitalisering som fornyer, forenkler og forbedrer

SPV SLIK LOGGER DU INN OG BETALER REGNINGER I NETTBANKEN

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT)

Hva er universell utforming og folkehelsesammenhengen? Temadag om universell utforming. Rygge kommune. 9. november 2010

Tillit og troverdighet på nett. Tillit. troverdighet. på nett. Cato Haukeland, 2007

Metodevalg i et tilgjengelighetsperspektiv: erfaringer, fallgruver og anbefalinger

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

Personvern og informasjonssikkerhet

Status for arbeidet med ID-Porten, eid i markedet

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Inkluderende læringsmiljø. Krav, rettigheter og plikter?

Forskrift om universell utforming av IKT. Frank Fardal

Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger?

Brukerveiledning til. KS- Læring. Innlogging Registering av arbeidssted Lage snarvei

Veiledning til rapportering i Altinn, «Partifinansiering 2014», RA-0604

Statens legemiddelverk. Generelt om Altinn. EYRA - Digital samhandling med Statens legemiddelverk

Oppgave 1. DRI1010 Emnekode 7464 Kandidatnummer Dato SIDE 1 AV 6

Transkript:

1 eid for meg og for oss Riitta Hellman (Karde AS)

2 i et nøtteskall Inclusive identity management in new social media. Prosjekt finansiert av Verdiktprogrammet i Norges forskninsråd. Løper fra 2010 til 2013.

3 i et nøtteskall Målet er å framskaffe ny kunnskap om inkluderende identifiserings- og autentiseringsmekanismer i sosiale medier altså eider. Tverrfaglig: IKT Jus Sikkerhet og personvern Brukervennlighet og tilgjengelighet

4 -partnere Norsk Regnesentral (prosjekteier) Karde AS (prosjektleder) Tellu AS Institutt for informatikk (UiO) Institutt for privatrett, Senter for rettsinformatikk (UiO)

5 -brukere og -partnere Dysleksi Norge Norges Blindeforbund Seniornett Norge Brønnøysundregistrene Encap Storebrand

Diskriminerings- og 6 tilgjengelighetsloven formål Trådte i kraft 1. januar 2009. Formål: Sikre like muligheter og rettigheter til samfunnsdeltakelse for alle uavhengig av funksjonsevne og hindre diskriminering på grunn av nedsatt funksjonsevne. Håndheves av Likestillings- og diskrimineringsombudet (LDO). FAD tar sikte på at forskriften trer i kraft i 2013. Difi etablerer tilsynet når forskriften trer i kraft.

Loven og universell utforming 7 Utforming eller tilrettelegging av hovedløsningen... slik at virksomhetens alminnelige funksjon kan benyttes av flest mulig. Gjelder for offentlige virksomheter og for privat virksomhet rettet mot allmennheten. Viktig utgangspunkt for FoU-arbeidet i.

8 Kilder Regjeringen http://www.regjeringen.no/nb/dep/bld/do k/rundskriv/2010/nytt-rundskriv-omuniversell-utforming/universell-utforming-idiskriminerings--.html?id=611202 Lovdata http://www.lovdata.no/all/hl-20080620-042.html

9 Oversikt I. Grunnbegreper Knut Eilif Husa (Tellu AS) II. Tilgjengelighetsutfordringer i eid Kristin Skeide Fuglerud (Norsk Regnesentral) III. Alternative eksperimentelle løsninger Ivar Solheim (Norsk Regnesentral) IV. Rettslige utfordringer i eid Maryke Silalahi Nuth (Institutt for privatrett, Senter for rettsinformatikk) V. -tutorial Riitta Hellman (Karde AS)

10 I Grunnbegreper Knut Eilif Husa (Tellu AS) E-post: knut.eilif.husa@tellu.no

11

Identitet Identitet er opplysninger som en person har om seg selv. De kan være opplysninger om: Personalia Relasjoner Oppfatning Tilknytting Avhengig av sammenheng, dvs. hva du vil legge vekt på i en bestemt situasjon. 12

13 E-identitet 1 Elektronisk representasjon av en person i en gitt sammenheng. E-identiteter brukes til ulike formål.

14 E-identitet 2 Dine forskjellige e-identiteter kan være: Din e-postadresse for å bruke Gmail. Ditt Skype-navn for å bruke Skype. Ditt personnummer for å bruke tjenester fra banker og myndigheter.

15 «Myke og harde» e-identiteter 1 Mange e-identiteter er tilknyttet til «myke» identiteter: e-post-adresser brukerpseudonymer som for det meste er opparbeidet/skapt av deg selv.

16 «Myke og harde» e-identiteter 2 E-identiteter kan være tilknyttet til en «offisiell» identitet, for eksempel et pass eller et personnummer og være utstedt av en myndighet.

Autentisering 1 Autentisering er prosessen å bevise man eier den e-identiteten man påstår å eie. «Er det virkelig deg? Bevis det!» Høyere grad av sikkerhet oppnås ved bruk av flere faktorer, f.eks.: Taste inn et hemmelig passord (noe du vet). Bruke nettbankens kodebrikke (noe du har). Skanne fingeravtrykk (noe du er). 17

18 Autentisering 2

Logge på = Identifisere + autentisere 19 Først identifiserer du deg ved å legge fram e-identiteten din. Så autentiserer du deg ved f.eks. å taste inn ditt passord. Da er det bevist at du er den rettmessige eieren av den påståtte e-identiteten. knut.eilif.husa@tellu.no ********

Autorisering 1 Autorisering er prosessen med å beslutte å gi en person, en datamaskin eller et program tillatelse til å bruke bestemte ressurser eller utføre bestemte handlinger. Eksempel: nettbanken. Banken kan autorisere deg å bruke bankens ressurser, og at du har lov til å gjennomføre transaksjoner. 20

21 Autorisering 2 Digital signatur er en autoriseringsteknologi. Din e-identitet kan brukes for å lage en digital signatur. En digital signatur kan autorisere en handling slik at du ikke senere kan nekte for at du har samtykket.

22 II Tilgjengelighetsutfordringer i eid Kristin Skeide Fuglerud (Norsk Regnesentral) E-post: kristin.skeide.fuglerud@nr.no

23 Utfordringer basert på empiri Observasjoner i ulike prosjekter Altinn 1/3 av henvendelser til support MinID største utfordring ved e-valg Identitetshåndtering i hverdagsteknologi Automater (Synshemmedes IKT-barrierer) Nettbank (uu-autentisering) Sosiale medier (Nettborger) Bruksvilkår i private og offentlige tjenester

24 Automater

25 Nettbank

26 Registrering

Bruksvilkår 27

28 Kategorier av utfordringer For store kognitive krav Mangelfull forklaring/tilbakemelding Rekkefølge Mange begreper Fysiske og tekniske barrierer

29 For store kognitive krav Totalmengden av e-identiteter og autentisering (f.eks. bruker/kort vs. passord/pin) Kombinasjoner Passordkrav Tvinges til å bytte autentisering Lange, vanskelige bruksvilkår

Mangelfull forklaring / 30 tilbakemelding Tjenester låser seg uten tilbakemelding. Kun skriftlig forklaring Komplisert språk eller engelsk Manglende bruk av illustrasjoner (multimedia) Forklaring og input på forskjellig sted => må huske forklaringen.

31 Rekkefølge 1 Rekkefølge på talltastatur:

32 Rekkefølge 2 Rekkefølge og kombinasjon av inputfelt på PC passord på e- post kode på mobil kodebrikke/ kodebrev osv.

Mange begreper 1 33 Fødselsnummer / personnummer hva er hva? 5, 6 eller 11 siffer? Passord Forhåndsdefinert eller egendefinert passord Engangspassord PIN Koder fra pinkodebrev Fast kode / engangskode

34 Mange begreper 2 Ofte blanding av norsk og engelsk:

35 Fysiske og tekniske barrierer For liten tekst / dårlige kontraster Manglende kompatibilitet med hjelpemidler Trykkfølsom skjerm Fysisk plassering

36 Barrierene fører til risikoadferd Bruker samme passord alle steder Bruker dårlige passord/koder Skriver ned passord/pin Oppgir passord til andre Behov for mer brukervennlige og tilgjengelige løsninger

37 III Alternative eksperimentelle løsninger Ivar Solheim (Norsk Regnesentral) E-post: ivar.solheim@nr.no

38 -prototyp OpenID Preferanser for tilgjengelighet Innlogging 5 alternativer Testet med brukere Uformelt Formelt Sosialt medium med Spleiselag Encapløsning 2-faktorautentisering Godkjent av BSK

39 eid med brukerprofil Brukerprofil på OpenID. OpenID Mange tilbydere, én autentisering. : Innloggingsmekanismer + kontrast Vanlig kontrast Høy kontrast

40 Tilgjengelig innlogging Ulike innloggingsmetoder /autentiseringsmekanismer: Innlogging PIN-kode Bilder Lyder Spørsmål Mønster Brukertesting (eldre, studenter, dyslektikere) Sikkerhet og personvern varierer Laget selvinstruerende test

Problemstillinger Kan innlogging gjøres enklere og mer tilgjengelig uten at det går utover sikkerheten? Kan bruk av lyd og bilde bidra til forenkling og bedre tilgjengelighet? Er kombinasjoner av lyd, bilde, tekst bra for brukeren? Hva er brukeropplevelsen? Tilgjengelige metoder for synshemmede. Fordeler og ulemper ved ulike metoder fra et brukerperspektiv. Nå skal vi gå gjennom de ulike metodene. Først passord med tall og bokstaver: 41

42

43 Passord Best likt, ved siden av spørsmål. Brukt før, er komfortabel med den Føler den er sikker. Usikkerhet om hvor bra det er og hvorfor: «Passord må være veldig bra, siden det er så utbredt» (sitat fra utprøvingen). Så skal vi se på en annen metode: Bilder:

44

45 Bilder Potensiell gevinst: valgte bilder kan være lettere å huske enn f.eks. passord. Slipper skriving. Mulig gevinst for dyslektikere. «Bilder sier mer enn 1000 ord» og det er kanskje noe av problemet Bilder kan være mer komplekse enn man tror. Viktig å begrense antall bilder. Begrense antall bilder pr. rad. Sikkerhet og personvern: Passer dårlig hvis andre er i nærheten kan se bildene.

46 Lyder Er egentlig både lyd og bilde. Mye inntrykk å holde styr på. Kombinasjon av lyd og bilde er krevende. Passer dårlig hvis andre er i nærheten. Begrense antall lyder så mye som mulig. Valg av lyder viktig. Vurderes svakt i brukertest. Så skal vi se på mønster:

47

48 Mønster Enkel å bruke for de fleste, intuitiv. Ukjent metode, ikke like trygg på denne som noen andre, f.eks. passord og spørsmål. Blir gjennomført raskest av de fleste. Lett å lage «for enkle» mønster. Føler seg ikke trygg på at den er sikker nok. Så til slutt, spørsmål:

49

50 Spørsmål Best likt, ved siden av passord. Paradoks: også den som tok mest tid for de fleste, mye inntasting. Gjenkjennelse, følelse av trygghet, har brukt metoden før. Oppfattes som sikker: «Ingen kan vite navnet på mitt første kjæledyr».

51 Noen foreløpige konklusjoner Klart behov for mer tilgjengelige påloggingsmetoder. Alternative metoder som bilde, lyd og mønster er interessante, men også krevende og uvant for mange Brukere: Følelse av trygghet og gjenkjennelse viktigere enn tidsbruk, brukervennlighet og mye inntasting. Begrense valgmuligheter ved bruk av bilder og lyd viktig. Sikkerhet oppfattes/vurderes subjektivt og intuitivt. Sikkerhetsnivå derfor vanskelig å vurdere for brukere, må ikke overlates til brukerne selv.

52 Autentisering på mobil Encapløsning Når penger er med i bildet... 2-faktorer: Noe du vet (PIN) og noe du har (mobil). Sikker: Brukes av Storebrand bank. Hvordan fungerer den? http://encapsecurity.com/wordpress/wp -content/uploads/2011/11/encap- Technical-Overview-Paper-FINAL.pdf

53 Spleiselaget Sosialt medium med Spleiselag Formelle transaksjoner i en uformell kontekst. Sosialt medium med uformell vennskap og formelle transaksjoner. Organisere betalinger når f.eks. én legger ut for andre: Foreldrebetalinger Idrettslag Vennegjeng

54

55

56 IV Rettslige utfordringer i eid Maryke Silalahi Nuth (Institutt for privatrett, Senter for rettsinformatikk) E-post: m.s.nuth@jus.uio.no

57 Utfordringer Personvern og personopplysninger Informasjonssikkerhet Tilgjenglighet Nærmere om bruksvilkår

Personvern og 58 personopplysninger 1 Hovedregel: Den behandlingsansvarlige må ha rettslig grunnlag for behandlingen: samtykke eller lovhjemmel. Samtykke må være uttrykkelig, informert og frivillig. Den registrerte skal ha kontroll på egne opplysninger og hva de brukes til.

Personvern og 59 personopplysninger 2 Rettslige krav: Opplysningene skal ha tilfredsstillende kvalitet Opplysningene kan ikke brukes til andre formål uten nytt samtykke Opplysningene skal ikke lagres lenger enn det som er nødvendig for behandlingen

Personvern og 60 personopplysninger 3 Kontroll på opplysningene: Hvem har kontroll? Grunleggende prinsipp i personvernretten Den registrertes rettigheter for eks. rett til innsyn og informasjon Integrerte løsninger

61 Informasjonssikkerhet Rettslige krav Tilfredsstillende konfidensialitet Tilfredsstillende integritet Tilfredsstillende tilgjenglighet Hva er god nok sikkerhet? Varierende sikkerhetstiltak i de ulike IKTløsningene Databehandleravtaler

62 Tilgjenglighet 1 Rettslige krav (Diskriminerings- og tilgjengelighetsloven): Like muligheter og rettigheter til samfunnsdeltakelse for alle. Samfunnsskapte barrierer må fjernes. Plikt til generell tilrettelegging (universell utforming). Universell utforming Felles tilnærming i motsetning til særløsninger Inkluderende IKT-løsning

63 Tilgjenglighet 2 Hva må til for at en IKT-løsning skal være inkluderende? Brukervennlighet Flere valgmuligheter og funksjonaliteter Hjelpemidler for informasjonstilgang og dialog Hele prosessen bør være inkluderende og også ivareta hensynet til brukermedvirkning

64 Nærmere om bruksvilkår Rettslige krav: Opplysningsplikt før avtaleinngåelsen Vilkår må presenteres på en tydelig nok og forståelig måte Brukergrensesnitt og tilgjenglighet Plassering Vilkår må være rimelige Samtykke?

65 V tutorial Riitta Hellman (Karde AS) E-post: rh@karde.no

66 Hva kommer og når? Fagstoff Resultater fra -prosjektet Resultat fra spørreundersøkelsen nov. 2012 Papers og foredrag Kilder Demoer I årsskiftet 2012-13 Legges ut på www.iktforalle.no

67 Spørsmål? Kommentarer?

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding