The case against nemID

Jeg har fra starten været skeptisk overfor nemID. Både som borger, men også professionelt bruger.

Jeg vil prøve at forklare problemet ved at gå ned i følgende emner :

  1. top-down approach is udvikling og implementering
  2. hvordan får rådgiver adgang til kundens materiale?

1. top-down approach i udvikling og implementering

Udvikling kan enten komme nedefra og arbejde sig op. Evolution så at sige. Livet på jorden startede med en cellede organismer og idag bruges de selvsamme byggesten til at lave blåhvaler.

På samme måde er det med software og digital sikkerhed. Hidtil er udviklingen kommet nedefra. Softwareudviklere har udviklet digitale løsninger i takt med de er blevet efterspurgt. Og produkterne er løbene blevet tilrettet så de passer til kundens behov. Efterhånden som et produkt har vist sig at være god, har andre taget det til sig, og produkterne har opnået større udbredelse. Sådan er det jo f.eks. med antivirusprogrammer. De er blevet udviklet i takt med der har været behov for dem. På PC platformen findes der 1000 vis af forskellige programmer, mens der til Apple og Linux findes færre og til mobiltelefoner næsten ingen. Efterhånden som vira bliver udbredt på disse platforme vil der kommer værktøjer til at fjerne dem, og med tiden måske noget der er magen til det, vi har på pc’er.

Med nemID har det været anderledes.

nemID blev skabt ved, at nogle embedsmænd et eller andet sted besluttede at vi skulle igang med en offentlig digitaliseringsproces. Man sad dermed på toppen, definerede hvad samtlige institutioner skulle have, og fik en virksomhed til at lave et produkt der kunne nogenlunde det, man havde defineret samtlige offentlige institutioner og banker havde brug for.

Jeg vil antage ud fra en betragtning om at der var stordriftsfordele. Den virksomhed i Danmark der i forvejen var den største leverandør af digital sikkerhed på samme platform til flest mulige var bankernes edb central. Derfor har vi idag et system der i høj grad basserer sig på, hvordan netbank i forvejen var bygget op – bl.a . at man har Java som softwareplatform.

Problemet er, at man sætter udviklingen og konkurrencen ud af spil, når man gør det på denne måde. Det er vanskeligt at forestille sig, at så mange institutioner frivilligt ville have købt den samme platform til sikkerhed – der ville have været adskillige og de ville have været i konkurrence mod hinanden. De ville formegentlig også have været på flere forskellige softwareplatforme, så man ikke kun havde haft Java. Med tiden ville der have været få platforme tilbage. Det ville have været besværligt for nogen brugere, der så skulle have forskellige adgangstyper til de forskellige platforme alt efter hvor mange de havde behov for at kommunikere digitalt med, men de fleste ville stadig kunne nøjes med en.

Pointen med konkurrence er, at man ville konkurrere om ikke alene at være det billigste af alternativerne – man ville også konkurrere om at være det mest sikre. Idag kan medierne påpege de sikkerhedshuller der er i systemet (se bunden af artiklen), og så kan nemID enten tage kritikken til sig og forsøge at lave det bedre, eller de kan trække på skuldrene. For de har et lovbefæstet monopol og kan gøre nogenlunde hvad de har lyst til.

Når man ser på nemID skal man også huske at det er et kommercielt produkt. Det er meningen at de skal sælge ydelsen til virksomheder. De har fået et defacto monopol af staten på at sælge digital sikkerhed til virksomheder der vil lave sikker kommunikation med borgere i Danmark.

For virksomheder, der vil anvende nemID som platform til autentifikation af brugere, koster hvert login virksomheden et sted mellem 1-3 kr.

2. Hvordan får rådgiver adgang til kundens materiale?

Jeg vil tro at omkring halvdelen af de kunder jeg betjener og har betjent har haft den indstilling til regnskabsmaterialet, at det er noget revisoren laver, stiller op og indberetter.

Og hvis de selv, banken eller SKAT har nogen spørgsmål er det kundens indstilling at man skal gå direkte til revisoren. De kunder vil så at sige have en totalløsning, hvor revisor står for alle aspekter af deres moms-, regnskabs-, og skatteforhold. Ofte er det også revisor der tager en snakken med banken. Og for en lille dels vedkommende er det faktisk også revisor der hjælper med at rykke kunder, der ikke betaler.

Så når det rent praktisk kommer til deres personlige skattemappe på TastSelv så har mange af klienterne aldrig set den. Hvis der er noget de gerne vil vide ringer de. De har ofte ikke engang selv koden så de kan logge ind ind og se deres årsopgørelser eller selv lave nye forskudsopgørelser.

Det kan for udenforstående måske lyde som om, revisoren gør det på den måde, for at få flest muligt fakturerbare timer. Men, det er sådan, fordi kunden ønsker det.

Min indgangsvinkel til både regnskab og også IT er, at jeg altid glødende har ønsket at kunden ikke alene fik løst sit problem – jeg har også altid ønsket at kunden forstod hvorfor en løsning ser ud, som den gør. Fra de tidligere teenageår har jeg altid været fascineret af tesen om, at hvis man giver en mand en fisk, kan han blive mæt en dag. Hvis man lærer en mand at fiske, kan han brødføde sig selv resten af sit liv.

Når det kommer til skatter og regnskabet har jeg dog ændret holdning. Ofte et det alt for teknisk og selvom kunden får en god forklaring har jeg ikke gjort livet bedre eller nemmere for kunden. For selvom kunden efter en forklaring forstår hvad det handler om, vil han ikke selv efterfølgende kunne gøre det selv i en anden situation.

Så derfor er det faktisk meget rationelt af kunden ikke at give sætte sig ind i de mange aspekter der er ved at lave en forskudsopgørelse, indberette en årsopgørelse, lave en lønseddel osv. I stedet for han skal sætte sig ind i disse meget teknisk vanskelige områder, er det mere rationelt at han bruger sin tid på at lave noget fakturerbart arbejde overfor sine egne kunder.

Derfor er nemID irriterende. For hidtil har vi fået aktiveringskoder til de offentlige myndigheder direkte af kunderne. Så har vi selv aktiveret dem, og lavet nye koder, og straks kunne anvende systemerne. Men for alle de kunder, der er skiftet over til den digitale platform skal de nu til at autorisere. De skal tage stilling til, hvad for nogle områder revisor må dykke ned i, og hvor længe han skal være autoriseret.

I en ideel verden ville jeg gå ind for det. I en ideel verden, interesserer borgeren sig for alle aspekter af sine skatteforhold, og vil gerne styre nogle af tingene selv. F.eks. forskudsopgørelsen, fordi borgeren selv har fuldstændigt styr på sine budgetter. Men vi lever ikke i en ideel verden.

Hvis det var adgangen til klientens netbank synes jeg også det er en rigtig god ide, at skille det ad, så man skal vælge om en person gerne må se, om de må lægge betalingerne ind, og om de må godkende betalinger. På den måde sikrer man at man ikke får lukket nogen mennesker ind, der kan stjæle ens penge. Men i relation til SKAT giver det ikke mening. Vores fuldmagt dækker alle forhold omkring skat. Vi har ikke adgang til at overføre penge i SKATS’s systemer. Derfor skal vi nu til at lave vejledninger og guider til at give os selv adgang til systemerne.

Som det hedder på amerikansk – if it aint broke don’t try to fix it.

Nylige kritiske artikler om nemID:

Newz.dk: Rudersdal kommune dropper NemID til skolenet

Skole-hjem-samarbejdet er utrolig vigtigt, og vi må erkende, at udfordringerne med ForældreIntra og NemID har været langt større end forventet. Vi har fået mange henvendelser fra forældre og skolebestyrelser og har de seneste måneder forsøgt at løse de udfordringer, der har været. Men det fungerer ikke godt nok. Det tager vi nu konsekvensen af.

Ingeniøren/Version 2 har netop haft en artikelserie om, hvor relativt let det er at franarre brugere deres nemID:

Pærelet at narre NemID fra dig med klonede hjemmesider

En vilkårlig hjemmeside kan bruges til at franarre dig dine NemID-oplysninger – og dermed få adgang til din netbank. Det afslører Ingeniøren og Version2 i dag i en videodokumentar. Sikkerheden i NemID bør øges, mener eksperter.

Så let kan kriminelle franarre dig dit NemID

Med frit tilgængelige værktøjer og en smule eksperimenteren lykkedes det Ingeniøren at konstruere en test-opstilling, der viser, hvor let det er at narre NemID fra en bruger.

DanID afviser kritikken: »Et teoretisk scenarie«

NemID kan hackes med et teknisk ret simpelt angreb. Her bringer vi DanID’s kommentar til Ingeniørens videodemonstration og til kritikken fra eksperter.

Udskudt indberetning selvangivelse (opdatering)

Siden igår, hvor jeg i Berlingske fandt en artikel om udskydelsen af indberetning af selvangivelse, har jeg siden fundet pressemeddelelsen på Skats hjemmeside.

Af pressemeddelelsen fremgår det, at det ikke skyldes at TastSelv ikke fungerer, men at man ikke kan sende papirselvangivelserne ud.

Og så fremgår det derudover, at man ikke har udskudt fristen for selskaber. Så de skal fortsat være indberettet den 3. juli, hvis regnskabsåret følger kalenderåret.

Jeg var lige inde og tjekke om jeg kunne komme ind på TastSelv Erhverv, og fik følgende side:

Det fremgår af ovenstående screendump:

Nogle af SKAT’s systemer er utilgængelige – vi arbejder på at løse dette.
Du kan forsøge at gå direkte til den løsning du skal bruge, via genvejene nedenfor. Hvis du har forsøgt dette, og ser denne side, er løsningen ikke tilgængelig. Vi beklager og anbefaler at du forsøger igen senere. Hvis det er TastSelv Erhverv du skal bruge, kan du i nogle tilfælde anvende det gamle TastSelv i stedet.

 

Selvangivelse udskudt igen i år

Fristen for at indsende sin udvidede selvangivelse er udskudt igen i år – i år til den 10. juli ifølge Berlingske Tidende.

Årsagen til udskydelsen i år er – i lighed med de tidligere år – problemer med TastSelv. I år skyldes problemerne den vaserende konflikt imellem statens IT leverandør CSC og fagforeningen PROSA.

En udskydelse af fristen er bestemt ikke noget vi begræder i vores branche. Ret beset skal vi jo lave et helt års arbejde på et halvt år. Så for os betyder 7 ekstra dage rigtig meget – specielt når statens IT system ikke fungerer og vi skal til at bruge tid på forholde os til de problemer der opstår der også.

På Skats hjemmeside har de samlet lidt op på, hvilke problemer Skat konkret regner med at konflikten indebærer for brugerne af TastSelv:

Hvis du forventer en udbetaling fra SKAT:

Hvis det fremgår af din årsopgørelse, at du skal have overskydende skat udbetalt til din NemKonto, må du forvente en lille forsinkelse.

Hvis der ikke står på årsopgørelsen at beløbet skal udbetales til din NemKonto, så kan det tage længere tid at få udbetalt beløbet. Typisk er det, hvis beløbet skal modregnes en gæld til det offentlige eller hvis SKAT af anden grund skal kontrollere udbetalingen.

Har du indbetalt til os, men kan ikke se det i systemet?

Vores system til at registrere indbetalinger er ikke helt opdateret. Derfor kan du muligvis ikke se de indbetalinger du har gjort til os. Det drejer sig især om indbetaling af B-skat, restskat og arbejdsmarkedsbidrag.
Har din bank, pensionsinstitut, arbejdsgiver eller andre foretaget ændrede indberetninger?

Hvis SKAT har fået nye oplysninger fra din bank, pensionsinstitut eller arbejdsgiver om dine renter, pensioner, værdipapirer mm. efter den 13. april 2011,er det ikke sikkert, at du kan se oplysningerne i Skattemappen. Vi kan heller ikke se oplysningerne, og kan derfor ikke danne en ny årsopgørelse til dig endnu og oplysningerne om dine værdipapirer føres ikke videre til SKATs aktiesystem.

I de fleste tilfælde er det letteste for dig at vente til systemerne kører normalt igen. De manglende oplysninger vil så blive registreret hos SKAT, og du vil herefter kunne se dem i Skattemappen under Personlige skatteoplysninger. Hvis du skal have en ny årsopgørelse, vil SKAT danne den til dig, når det bliver muligt.

“Det Nye TastSelv Erhverv” – indberetning i listesystemet

Som revisor har jeg daglig kontakt med Skat. Selvom der lægger en hel del lovstof og vejledning på Skats hjemmeside og materialet efterhånden er relativt anvendeligt (om end det stadig er kilometer fra at være noget lægfolk bør give sig alt for meget i kast med – dertil er det alt for kompliceret) har vi ofte behov for at tale med dem telefonisk.

Og her fungerer Skat faktisk ikke særlig godt. Ofte venter jeg mellem 13 til 15 minutter for at komme til at tale med den rigtige person. Enten fordi man kommer igennem et omstillingshelvede eller også ender man blot i en kø af irriterende musik der henleder tankerne på musik fra pornofilm i midt-firserne, da synthesizer stadig var et frækt og sexet instrument.

TastSelv systemet som vi hører om i radioreklamer mv. fungerer heller ikke særlig godt. Specielt ikke det nye system til erhverv. Som ofte bruger af både hjemmeside og i telefonslusen bliver man meget ofte stillet overfor brugertilfredshedsundersøgelser, og uanset hvor mange af dem, jeg har deltaget i, kan jeg ikke se, det bliver bedre.

Så efter at have været igennem TastSelv helvede og 15 minutters uafbrudt porno musik vil jeg gerne dele mine tanker.

Jeg har en klient der har solgt momsfrit til en anden virksomhed i EU. Når man gør det, skal det listeangives til Skat. Det kan man gøre via ”det nye” TastSelv. I indstillingerne kan man tilmelde sig, og bagefter skulle der så komme et punkt, hvor man kan lave en indberetning. Da jeg havde tilmeldt mig, og der ikke kom noget punkt måtte jeg ringe til Skat. Og efter korte 15 minutter kom jeg igennem til en venlig dame der sagde at jeg skulle prøve at logge ud og ind igen. Da jeg havde prøvet det, og det fortsat ikke virkede, fik jeg at vide det kom til at virke på et tidspunkt, for hun kunne se på sin skærm at systemet havde registreret tilmeldingen. Uden at være programmør, vil jeg påstå jeg er rimelig habil computerbruger og derfor kan jeg ikke forstå, hvorfor det skal tage så langt tid, medmindre det er nogle aber der har lavet systemet.

Da jeg efter en halv times venten endelig kunne få lov til at indberette tog jeg et par screenshots undervejs, for bedre at illustrere, hvad det er for nogle amatører, der har lavet systemet.

Først får man at vide, man skal skynde sig at indberette maksimalt 10 liniers faktura ad gangen:

Når man går videre og skal i gang med indberetningen skal man først udfylde landekode feltet. Fakturaen var sendt til en kunde i Findland, så landekoden antager jeg er ”fi”:

Men åbenbart ikke. Man kan klikke og få yderligere  information om landekoder. Jeg tænkte ved mig selv, hvorfor der ikke var en drop down boks, eller et system hvor du kunne skrive landes navn der så oversatte det til den kode, Skat gerne vil have man bruger, men nej – man skal ind på en anden side.

På den anden side stod der at Findlands landekode er ”FI”. Det kunne jeg ikke få til at give mening – det var jo nøjagtigt det samme som jeg havde skrevet. Men nej – det var det faktisk ikke. For det skulle skrives med versaler. Programmøren der har lavet systemet kræver simpelthen af brugeren at han skal RÅBE landekoden ind i systemet (at skrive ting med versaler er i min verden det samme som at råbe på skrift).

For ganske rigtigt så forsvandt fejlmeddelelsen da jeg skrevet det med versaler i stedet.

Jeg er så træt af TastSelv Erhverv, og jeg garanterer for at det ikke bliver sidste gang jeg laver et indlæg om det amatøragtige system.