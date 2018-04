V polovině letošního roku, přesněji k 1. 7. 2018, dojde k několika významným událostem kolem našeho eGovernmentu: účinnosti nabude nový zákon č. 250/2017 Sb., o elektronické identifikaci. Ke stejnému dni nabude účinnosti novela zákona č. 328/1999 Sb., o občanských průkazech, která umožní vydávání nových elektronických občanských průkazů (eOP) – tentokráte již skutečně použitelných pro elektronickou identifikaci. Současně s tím by měl být spuštěn i Portál občana.

K tomu si přidejme existenci Národní identitní autority (NIA), která už dnes určitým způsobem funguje (v testovacím i jakémsi předběžném provozním režimu, viz dále) – a výsledkem by snad mohlo být i postupné zlepšování současného stavu, který byl na nedávno skončené konferenci ISSS (Internet ve státní správě a samosprávě) diplomaticky popsán slovy: „dosud jsme se zabývali back-endem, ale na front-end nikdo moc nemyslel“.

Jinými slovy: mohlo by dojít na zlepšení situace, kdy stát už má nějak vyřešené své „technické zázemí“, už má vytvořeny elektronické identity svých občanů (v základním registru obyvatel) a už by i byl schopen poskytovat širší veřejnosti užitečné služby na dálku a on-line – ale nemá jak. Hlavně proto, že nedokáže spolehlivě identifikovat a autentizovat své uživatele. Tedy poznat, kdo ho o nějakou službu žádá, a ztotožnit si ho s příslušným záznamem v registru obyvatel (což je podstata identifikace), a také se ujistit, že by požadovanou službu poskytl skutečně tomu, kdo se mu jako žadatel prezentuje, a ne někomu jinému (což je autentizace).

Až dosud dokázal náš stát využít k takovémuto účelu jen přihlašování k datovým schránkám. Takže třeba k velmi užitečným službám ePortálu České správy sociálního zabezpečení se dodnes může dostat jen ten, kdo má svou vlastní datovou schránku. Tu ale mnoho lidí aktivně nechce, z různých důvodů. Včetně toho, že je to spojeno i s určitými negativy, jako například s povinností (nikoli možností) podávat daňové přiznání již jen v elektronické podobě a s automatickými sankcemi za nesplnění této povinnosti.

Co se změní?

Od letošního července se situace změní v tom, že budou moci přibývat další možnosti, jak státu dostatečně spolehlivě sdělovat a prokazovat svou identitu. Už to nebude jen „přes přihlašování do datových schránek“, spojené s nutností mít vlastní datovou schránku, ale už to půjde (také) přes ony nově vydávané občanské průkazy. A dveře budou v principu otevřeny i dalším možnostem, včetně těch, které bude provozovat soukromý sektor. Takže k poskytovaným službám (typu ePortálu ČSSZ) se možná (někdy v budoucnu) budeme moci přihlašovat například přes svůj internetbanking, či přes služby, jako je MojeID apod.

Vše by pak měl využít také tzv. Portál občana, který by také měl být spuštěn k prvnímu červenci (jako součást Portálu veřejné správy). Tedy včetně toho, že přihlašovat se k němu bude možné jak „přes datové schránky“, tak i pomocí nových eOP. Tato druhá možnost ale bude pochopitelně závislá na tom, jak budou postupně vydávány (resp. obměňovány) občanské průkazy.

Z dosud dostupných informací i z toho, co zaznělo na letošní konferenci ISSS, by Portál občana měl už při svém startu nabízet na 40 různých služeb. Ale skutečně nových asi zpočátku moc nebude. Spíše to budou hlavně ty dosavadní, jako různé výpisy, žádosti a podání, dosud často vázané jen na vlastní datovou schránku – nově soustředěné na jedno místo, a hlavně nově dostupné i bez nutnosti mít vlastní datovou schránky, díky možnosti přihlášení přes nové eOP.

Jak to bude fungovat?

Bylo by to spíše na samostatný článek, proto jen stručně a neformálně: vaše „elektronická identita“ (coby soubor atributů popisujících vás, jako fyzickou osobu, typu: jak se jmenujete, kde bydlíte atd.) bude pro popisované účely (ve smyslu: jako identita garantovaná státem a sloužící pro přihlašování ke službám veřejného sektoru) jen jedna – a to ta, kterou už dnes vede stát v základním registru obyvatel.

Ale pro přihlašování k různým službám (jako je ePortál ČSSZ, obecně k tzv. poskytovatelům služeb, alias Service Providerům, zkratkou SeP) bude moci existovat více cest: budete si moci vybrat mezi (potenciálně více) tzv. poskytovateli identit (IdP, Identity Provider). Dnes jsou to jen ony datové schránky (resp. přihlašování k nim), ale od poloviny roku přibudou i nové eOP a někdy možná i další (viz internetbanking, MojeID atd.).

Ve skutečnosti ale tito „poskytovatelé identit“ budou spíše jen určitými zprostředkovateli identity, a nikoli skutečnými správci vaší elektronické identity (protože ta bude stále jen jedna, v režii státu a jeho základních registrů). Zjednodušeně: tito poskytovatelé vám přidělí tzv. prostředky pro elektronickou identifikaci. Což dnes jsou přístupové údaje pro přihlašování k datovým schránkám (fakticky: jméno a heslo, bez dalšího) a co od poloviny roku budou moci být i ony nové eOP. Ale mohou to moci být i přihlašovací jména doplněná různými kombinacemi autentizačních prvků, od trvalých a jednorázových hesel až po různé „měkké“ a „tvrdé“ certifikáty jako dnes u různých variant internetbankingu. Vše podle požadavků na spolehlivost autentizace (a tzv. úroveň záruky).

Když se pak pomocí takovýchto prostředků pro elektronickou identifikaci budete někam skutečně přihlašovat, vydavatelé těchto prostředků (poskytovatelé identity, IdP) zkontrolují to, co mohou. Třeba: zda jste zadali správnou kombinaci jména a hesla, jako dnes u přihlašování do datových schránek. Z toho pak získají, resp. vygenerují váš unikátní identifikátor, byť jen s „lokálním dosahem“.

Ovšem ten, ke komu se přihlašujete (poskytovatel služby, SeP) a kdo vás má nějak „obsloužit“, obvykle potřebuje o vás vědět víc než jen nějaký váš identifikátor. Potřebuje konkrétní údaje o vás – v rozsahu, který by měl odpovídat charakteru požadované služby. Tedy hodnoty některých konkrétních atributů, získané z toho, co představuje vaši elektronickou identitu. Třeba: vaše jméno a příjmení, bydliště, datum a místo narození apod.

V popisovaném případě, pro identity garantované státem, takovéto údaje (hodnoty atributů) poskytuje stát – a tak poskytovatel (resp. spíše zprostředkovatel) identity předá váš požadavek, spolu s vaším identifikátorem, dalšímu zprostředkovateli – který ho „protáhne“ přes databáze provozované státem. Zejména zajistí vaše ztotožnění (ve smyslu: „nalezení“) v základním registru obyvatel a z příslušného záznamu získá požadované hodnoty vašich atributů (údaje o vás, které požaduje poskytovatel služby). Načež se vás zeptá, zda souhlasíte s předáním těchto údajů tomu, k jehož službě se právě přihlašujete. Pokud ano, dojde k jejich předání a vaše přihlášení může být dokončeno.

Národní identitní autorita

Oním dalším zprostředkovatelem, jehož roli jsme si právě neformálně popsali, je tzv. Národní identitní autorita, zkratkou NIA a plným jménem „Národní bod pro identifikaci a autentizaci“. Právě ona bude jakýmsi „identitním brokerem“ mezi poskytovateli identit (IdP) na straně jedné a poskytovateli služeb (SeP) na straně druhé. Bude dbát na to, aby se obě strany chovaly korektně a dostaly jen takové údaje, jaké skutečně potřebují (resp. jaké jim přihlašující se uživatel odsouhlasí). Včetně toho, že NIA zajistí, aby IdP nevěděl, ke komu (ke kterému SeP) se uživatel právě přihlašuje, a SeP naopak nevěděl, přes kterého IdP se k němu uživatel přihlašuje.

Současně bude NIA tím jediným, kdo má právo takto „sahat“ do základních registrů a čerpat odsud referenční údaje pro potřeby identifikace. Jelikož půjde hlavně o údaje ze základního registru obyvatel, lze se na autoritu NIA dívat také jako na jakousi „předsádku“ před registrem obyvatel, jak také zaznělo na letošní konferenci ISSS. Bohužel zde zaznělo i to, že služby NIA bude možné využívat jen pro přihlašování ke službám, které (jako SeP) poskytují orgány veřejné moci.

V neposlední řadě bude NIA i prostředníkem vůči zahraničním systémům identifikace – bude zprostředkovávat vše potřebné pro přihlašování zahraničních uživatelů k tuzemským službám a našich uživatelů k zahraničním službám.

Proč mít profil u NIA?

Na detaily ohledně používání a fungování Národní identitní autority si ještě musíme počkat. Něco se snad dozvíme i z osvětové kampaně, kterou prý resort vnitra chystá v brzké době. Ale už dnes si lze z aktuálně dostupných informací udělat určitý obrázek o tom, jak to bude fungovat.

K pochopení základních principů si ale ještě dodejme, že v základním registru obyvatel nejsou všechny údaje, které bude NIA potřebovat předávat konkrétním poskytovatelům služeb (SeP) – jako třeba právě používané číslo mobilního telefonu či e-mailovou adresu. Proto si jednotliví uživatelé u autority NIA budou zřizovat svůj profil a v rámci něj zadávat takovéto „další údaje“ (formálně tzv. SDÚ neboli Subjektem definované údaje).

Takovýto uživatelský profil současně slouží i jako určitý „převodník“ mezi poskytovatelem identity (IdP) a poskytovatelem služby (SeP): když uživatel „projde“ přes zvoleného poskytovatele identity (například: přes přihlášení do své datové schránky nebo přes přihlášení pomocí eOP), bude výsledkem odkaz na jeho profil u NIA. Ve smyslu: poskytovatel identity řekne autoritě NIA něco ve smyslu: právě se u mne úspěšně přihlásil ten, koho ty znáš pod tvým profilem XYZ. A autorita NIA podle tohoto (ztotožněného) profilu „sáhne“ do základního registru obyvatel pro požadované údaje, přidá k nim případné další údaje (dodané uživatelem, viz SDÚ výše) a nechá si uživatelem odsouhlasit jejich předání příslušnému poskytovateli služeb (SeP).

To má jeden důležitý důsledek: takovýto profil si zakládáte (registrujete) jen na bázi telefonního čísla a e-mailové adresy, ale NIA potřebuje vědět (a to dostatečně spolehlivě), komu takovýto profil skutečně patří – aby si ho mohla ztotožnit s vaší identitou v základním registru obyvatel. Proto si svůj profil u NIA musíte ověřit – a k tomu jsou dnes jen dvě možnosti. Jedna je přes (svou) datovou schránku, resp. přihlášení do datové schránky, a druhá přes osobní návštěvu CzechPointu. Návod najdete zde, formálně jde o tzv. souhlas s poskytováním údajů třetí osobě.

K čemu můžete využít NIA už dnes?

Autorita NIA dnes funguje především v testovacím režimu a do plného provozního režimu se dostane nejspíše až v polovině roku, v souvislosti s účinností nového zákona o elektronické identifikaci (ze kterého její role vychází) i se začátkem vydávání nových eOP a se spuštěním Portálu občana.

Už dnes ale můžete její služby využít, a to pro přístup k „pacientské části“ aplikace eRecepty, která v tomto ohledu poněkud předběhla dobu. Včetně toho, že samotná NIA zde funguje zřejmě trochu odlišně oproti tomu, jak by zřejmě měla fungovat v plném provozu: pak by uživateli měla nabídnout výčet těch poskytovatelů identity (IdP), kteří pro přihlášení k dané službě připadají v úvahu. Zde v roli poskytovatele identity vystupuje NIA sama (resp. její portál): uživatel se ke službě eRecepty přihlašuje přes přihlášení ke svému profilu na portálu NIA.

Jak to tedy (dnes) v praxi funguje, chcete-li se přihlásit (jako pacient) ke službě eRecepty, a dostat se tak ke svým elektronickým receptům? Pokud už máte potřebný profil na NIA, a tento jste už ověřili (viz výše, návod), můžete se vydat na stránky SÚKLu, který službu provozuje – a to jak v podobě webové aplikace, tak i v podobě mobilní aplikace. Zde si ukážeme webovou aplikaci, kterou najdete zde.

Pokud se rozhodnete vstoupit jako pacient, kliknete na příslušnou ikonku a budete přesměrováni na webové stránky portálu NIA. Zde (zřejmě jen dočasně) nemáte jinou možnost, než se přihlásit ke svému zdejšímu profilu.

Vyžadována je dvoufaktorová autentizace, přičemž prvním faktorem je (opakovaně použitelné) heslo a druhým faktorem heslo jednorázové, které je vám doručeno SMSkou na číslo mobilu, zadané v rámci registrace profilu. SMS zpráva je (na rozdíl od přihlašování k datovým schránkám) zdarma.

Autorita NIA si podle vašeho profilu, již dříve ztotožněného s registrem obyvatel, zjistí údaje požadované službou eRecepty (konkrétně jméno a příjmení, datum narození a bydliště) a zeptá se vás na souhlas s jejich předáním. Takovýto souhlas můžete neudělit (ale pak přihlášení nebude úspěšné), nebo ho můžete udělit jednorázově (tj. příště budete dotazováni znovu), nebo udělit trvale (s tím, že trvalý souhlas můžete v rámci svého profilu zase kdykoli zrušit).

Po udělení souhlasu už proběhne přihlášení ke službě eRecepty a můžete ji začít používat. Třeba nechat si vypsat údaje o svých elektronických receptech, vyhledané podle data či obsahu (viz obrázek).

Nebo si nechat zobrazit podrobnější informace o konkrétním elektronickém receptu, včetně informací o jeho vydání atd.

Dále si můžete nechat zobrazit i „tiskovou podobu“ eReceptu, obsahující kromě 12místného znakového kódu i čárový kód a také odpovídající QR kód.

V neposlední řadě si můžete nechat zobrazit svůj tzv. lékový záznam pacienta, což by měl být seznam všech elektronických receptů, které vám byly za příslušné období vydány.