Umožniť prístup tretím stranám k elektronickým službám

Ak to občan povolí, tak by bolo žiadúce, aby mohli k jeho údajom v štátnych registroch a službám v jeho mene pristupovať aplikácie tretích strán. Táto forma je bežná v komerčnom sektore. Konkrétne OpenID Connect | OpenID

Bežný používateľ je dnes už zvyknutý povoľovať prístup cez SSO k rôznym údajom z Google.

UK pracuje na niečom podobnom. Príklad https://pro.ispringcloud.com/acc/dU9fdSExMzE5/view/1319-7q2zg-7it7f-D1vZ6 od slajdu 77.

Sprístupnením tohto by mohli vznikať služby tretích strán, ktoré by mohli aktualizovať svoje údaje zo základných registrov. (napr. adresa trvalého bydliska,…) alebo vykonávať nejaké úkony za občana. Čím by mohla vzniknúť konkurencia/alternatíva pre štátne služby a tlak na kvalitu pre koncového používateľa.

2 Likes

Pekne rozpisal co by to znamenalo aj @Stefan_Vanya tu Platit implementatorom rozhrani na obcana na zaklade poctu ukoncenych ukonov

Plus by bolo idealne nemat len povolenie o pristupe k datam obcanov tretim stranam, ale naozaj aj samotny SSO, ktory by mohli pouzivat tretie strany (co nemusi nevyhnutne znamenat to iste).

Tym padom by kazdy dalsi potencialny web nemusel riesit autorizaciu a autentifikaciu, ale postupoval by vo workflowe: statny(nestatny)web -> slovensko.sk autorizacia -> fallback na statny(nestatny)web.

Portal Slovensko.sk by vydal dokumentaciu, ako sa lognut cez SSO (linky na inspiraciu ostatnych SSO):
https://www.paypal.com/webapps/mpp/login-with-paypal-merchant
https://dev.twitter.com/web/sign-in
https://developer.linkedin.com/docs/oauth2
https://developers.facebook.com/docs/facebook-login

1 Like

Toto je zaujimave v situacii, ked na to netreba citacku a EID s kodom, co moc ludi nema.

Ludia… 90, a najskor aj viac percent ludi netusi co robi a naco to je dobre a naco zle ked povoluju pristup pre nejaku appku…
Skusme uvazovat ako jednoduchy obcan.
Pre toho je hmatatelnejsia karticka, ako nejske openid…

1 Like

hlavne treba uvazovat, ze kto je cielova skupina pre elektronicke sluzby a ako sa tato skupina bude menit v case…napr. pre tvoje deti o par rokov OpenID a pod. nebude robit ziaden problem…

No az dotetaz som to chapal za co najsirsia verejnost :wink:

nemyslel som to ako utok…skor som otvoril taku otazku…ze kto je a hlavne v akom case realny pouzivatel elektronickych sluzieb…toto by podla mna malo by tiez brane do uvahy…

https://www.singpass.gov.sg/myinfo/intro - sice len read-only veci a zda sa ze len v mode G2G, ale idu spravnym smerom.

Toto je zaujimava sluzba z ciech. https://www.mojeid.cz/ - specialne toto https://www.mojeid.cz/page/1919/validace-uctu-mojeid/

Video od Tom Loosemore https://youtu.be/VjE_zj-7A7A

1 Like

dnes je problém trošku v legislatíve, v princípe sú štátne registre, ktoré riešia oprávnenia pripravené na koncept konania v mene inej osoby, len si ministerstvá (MF a MV) nedoriešili kedy bude tento register “splnomocnení” fungovať - nestihol sa spraviť.

V princípe ale aj napr. na UPVS je možné si v eDESKu pridať oprávnenia na inú osobu, ktorá môže potom ist do eDESKu. Alebo napr. portál finančnej správy to rieši ako Autorizácia na subjekt… navzájom však tieto projekty nie sú previazané…

1 Like

S tymto by som zacal opatrne. Nehovorim, ze to je zly napad, ale je to citliva tema.

Najprv otazka: Naco by to sluzilo?

  1. Statne institucie nepotrebuju mat pristup k tymto datam, cez nejake otvorene API. Oni len potrebuju vediet authentifikovat obcana a ostatne data si uz sami vymenia medzi sebou. Ako, to by nas nemalo trapit.

  2. V sukromnom sektore by to sluzilo naco? Scenare ktore si predstavujem, nemaju az taku velku pridanu hodnotu, ale mozno mam len slabu predstavivost.

Nemohlo by to fungovat nasledovne? Namiesto toho, aby si nejake sukromne tretostranove sluzby stahovali udaje o obcanovi, tak mozu nechat obcana tieto udaje vyplnit (meno, adresa, vek, atd.) a poziadat ho o cestne vyhlasenie ze udaje su pravdive. Samozrejme vsetko digitalne podpisane. Z pravneho hladiska je to dostatocne.

Prepáčte, ale chcem sa opýtať tak ako predošlí pisateľ, či potrebuje tretia strana (okrem GOVBOXu :slight_smile: ) prístup k mojim online dátam??

nepotrebuje tretia strana (rozumej komerčný a nie štátny subjekt) len offline dáta - napr, o mne - identitu - (meno priezvisko adresu) napr. pri nákupe?? alebo urobiť inú vec a to spárovať identitu zo sociálnych sietí s mojou na UPVS … ak o to nieto požiada.

Druhý vec je, či riziko defraudácie mojich údajov z tretej strany (príjemcu) týchto údajov nie je je väčšie, ako riziko defraudácie / nákladu, ktoré spôsobím tretej strane (príjemcovi) ak použijem službu a oni tieto údaje nebudú mať…

Urobil niekto túto analýzku? bol niekde prezentovaný koncept poskytovania prístupu k údajom občana tuším na eHEALTH, kde dáva pacient súhlas svojmu lekárovi. ale načo inej osobe, to netuším. Teda okrem IOM, čo má tam tetuška zo zákona oprávnenie, resp. policia, sudca a pod…

Tak ako v komercii aj tu zalezi od pouzitia. Pre vela pripadov stacia aktualne data v momente prihlasenia, ale napriklad, nejaka sluzba mozno chce vediet kedy zmenim trvale bydlisko (aby sa podla toho zariadila u seba) alebo mi pride sprava zo socialky (:D) aby to rovno zaplatila. To je online pristup, ale vyvolany nejakou udalostou mozno aj uplne v inom systeme. Musi vsak existovat miesto kde vsetky aktualne pristupy vidiet a moznost ich revoknut.

Dnes má dáta o osobe len štát, lebo na to má oprávnenie niekde v zákone (ak má), alebo má môj súhlas (ak nemá zo zákona). Rozumel by som tomu, že by som mohol odvolať súhlas, ale ak má oprávnenie štát zo zákona, tak to neodvolám asi.

Tretie strany nemajú oprávnenie, len pokiaľ im dám môj súhlas (okrem toho, kde tretia strana je vlastne štát - splnomocnil napr. exekútor, notár a pod …). Teda zvyčajne na niektoré údaje, možno treba pozrieť na ktoré, či naozaj nebudujeme zložitý systém, ktorí bude mať marginálne využitie a jeho manažment bude prevádzkovo drahý a nespoľahlivý, lebo ak niekomu dám súhlas na moje dáta, on si ich lokálne stiahne, v podstate asi aj historické, ako potom dohliadnem, aby ich vymazal?

Napríklad že by banka chcela údaje o mne kvôli hypotéke, OK. Ale ako často žiadam o hypotéku? 2-3 krát za život? a Banka ma vidieť o mne celú históriu príjmov? načo? ostatné tretie strany dnes v pohode stačí meno priezvisko a adresa, maximálne dátum narodenia, nič viacej asi :slight_smile: Možno to, čo ste písal, adresu môjho bydliska, že sa zmenila. OK, ale načo to potrebuje vedieť? ak poskytuje službu, ktorá je viazaná na túto službu, ak zmením bydlisko, asi zmením aj službu. Ak potrebuje na posielanie faktúr, dnes všetko už pomaly posielajú mailom. Ak neuhradím za službu, dajú ma na exekúciu a exekútor vidí moje dáta - adresu trvalý pobyt, ak ho zmením.

Tento online pristup / resp. eventovy je nutnost ak chceme ocakavat nejake proaktivne sluzby. Ale suhlasim, ze vela z toho sa da robit nie pristupom ale “push” pristupom, kde poviem, ze tento system moze dostat informaciu, ze som zmenil bydlisko. Naozaj radsej povolim banke pocuvat zmenu mojho trvaleho pobytu ako vyrabat naklady na exekucie sebe.

ad: @jsuchal @janhargas Podľa mňa úloha S/D by mala byť len vo vytváraní priestoru pre tretie strany na tvorbu aplikácií a podpore týchto tretích strán. Inak sa S/D dostane do situácie, že bude v konflikte záujmov - na jednej strane otvára priestor iným , na strane druhej im konkuruje svojimi vlastnými spoplatnenými produktami. Hádam nechcete, aby každý, kto chce dosiahnuť pokrok v štátnom IT, by si mal zakladať vlastné združenie. Veď to je haluz…

Tak napríklad konkrétne tu žiadny konflikt nevidím. V momente, že by sme chceli len prístup pre seba by to bol konflikt, ale to sa nedá spraviť. Lebo podľa zákona musia mať všetci rovnaké podmienky.

1 Like