Klik her for at læse Datatilsynets brev af 24. september 2010 til DanID

datatilsynet.dk

Klik her for at læse Datatilsynets brev af 24. september 2010 til DanID

DanID A/S

Lautrupbjerg 10

Postboks 500

2750 Ballerup

24. september 2010 Vedrørende sikkerhedsforanstaltningerne omkring udstedelse af NemID

Datatilsynet

Borgergade 28, 5.

1300 København K

CVR-nr. 11-88-37-29

Telefon 3319 3200

Fax 3319 3218

E-post

dt@datatilsynet.dk

www.datatilsynet.dk

J.nr. 2010-631-0129

Sagsbehandler

Henrik Rubæk Jørgensen

Direkte 3319 3246

Datatilsynet har i den forløbne uge modtaget en del nye henvendelser om

samtidig modtagelse af breve i forbindelse med oprettelse af NemID certifikater.

Datatilsynet har bl.a. modtaget to henvendelser af henholdsvis den 18. og den

20. september 2010, der giver tilsynet anledning til på ny at tage en sag op

over for DanID A/S. De to henvendelser og supplerende materiale indhentet

af Datatilsynet vedlægges som bilag 1 og bilag 2.

Der er i begge henvendelser tale om par, hvor begge ægtefæller har bestilt

NemID. Dvs. der er tale om i alt fire personer.

Datatilsynet har fra begge par fået oplyst, at der er tale om oprettelse af

NemID til login på offentlige tjenester. Der er efter det oplyste ikke tale om

borgere, som er omfattet af den skete spærring efter den første fejl, men om

nye bestillinger. I alle fire tilfælde er brevet med nøglekort og brevet med

midlertidig adgangskode modtaget på samme dato.

I henvendelsen af 18. september 2010 (bilag 1) har borgeren bl.a. oplyst følgende:

”Min kone og jeg har i dag hver modtaget 2 breve vedr. nem-id: et brev med

midlertidig adgangskode og et andet brev med bruger-id og nøglekort. Jeg

har kontaktet Dan-IDs support og får at vide, at fejlen der skete tidligere, var

at oplysningerne blev sendt i samme brev. Dan-Id mener altså ikke, at der er

et problem med at jeg modtager alle nemid oplysninger samme dag, og jeg

sagtens kan gå i gang med at bruge dem. Det er er dog ikke mit indtryk, når

jeg læser Datatilsynets spørgsmål til Dan-Id. Dan-Id support oplyser desuden,

at brevene sendes fra to forskellige steder, og de derfor ikke har mulighed

for at koordinere dem.”

Efter anmodning fra Datatilsynet har borgeren taget en indskannet kopi af de

to kuverter (de andre var smidt væk) og fremsendt denne til tilsynet. Det

fremgår af det indsendte, at kuverten med den midlertidige adgangskode har

datoen 2010-09-15 påskrevet på forsiden. Den anden kuvert indeholder ingen

datering.


I henvendelsen af 20. september 2010 (bilag 2) har borgeren ligeledes oplyst,

at begge ægtefæller modtog begge breve på samme tid.

Borgeren har indsendt kopi af dateringen på brevene med nøglekort samt kuverterne

med de midlertidige adgangskoder. Brevene, som ifølge borgeren har

indeholdt nøglekort, er begge dateret den 15. september 2010, mens kuverterne

med de midlertidige adgangskoder begge har datoen 2010-09-15 påskrevet

forsiden.

Datatilsynets skal i den anledning bemærke følgende:

DanID er omfattet af persondataloven

Datatilsynet må lægge til grund, at DanID i forbindelse med udstedelse og

administration af NemID certifikater behandler personoplysninger og er omfattet

af persondataloven 1 .

Persondataloven gælder således ifølge lovens § 1, stk. 1, bl.a. for behandling

af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk

databehandling.

DanID skal leve op til persondatalovens krav om datasikkerhed

DanID skal som dataansvarlig bl.a. leve op til kravene om datasikkerhed i

persondatalovens kapitel 11.

Af persondatalovens § 41, stk. 3, fremgår, at den dataansvarlige skal træffe de

fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger

hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt

mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt

behandles i strid med loven. Tilsvarende gælder for databehandlere.

Overtrædelse af reglerne i persondatalovens § 41, stk. 3, er strafsanktioneret,

jf. persondatalovens § 70, stk. 1, nr. 1.

Ved vurderingen af, hvilke sikkerhedsforanstaltninger DanID skal træffe for

at leve op til persondatalovens § 41, stk. 3, må det efter Datatilsynets opfattelse

tages i betragtning, at NemID giver adgang til fortrolige og følsomme personlige

oplysninger hos en række myndigheder og virksomheder.

På denne baggrund er det Datatilsynets opfattelse, at de fornødne sikkerhedsforanstaltninger

efter persondatalovens § 41, stk. 3, bl.a. omfatter forskudt

udsendelse af brevene med nøglekort og brevene med midlertidig adgangskode.

Datatilsynet skal herved tillige henvise til, at det i forbindelse med Datatilsynets

gennemgang af de procedurer, der bliver anvendt, når en borger bestiller

en NemID til brug for at logge på myndighedernes løsninger, bl.a. er oplyst 2 ,

1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.

2 Jf. IT- og Telestyrelsens besvarelse af 15. oktober 2009

2


at den midlertidige adgangskode og nøglekort for det samme NemID aldrig

fremsendes på samme dag, hvorved risiko for modtagelse på samme dag elimineres

eller nedsættes væsentligt.

Ekstra krav, hvis der benyttes en databehandler

Af persondatalovens § 42, stk. 1, følger, at når en dataansvarlig overlader en

behandling af oplysninger til en databehandler, skal den dataansvarlige sikre

sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske

sikkerhedsforanstaltninger, og påse, at dette sker.

Efter § 42, stk. 2, skal gennemførelse af en behandling ved en databehandler

ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå,

at databehandleren alene handler efter instruks fra den dataansvarlige, og

at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren.

Overtrædelse af reglerne i persondatalovens § 42 er strafsanktioneret, jf. persondatalovens

§ 70, stk. 1, nr. 1.

Datatilsynets beføjelser

Datatilsynet har efter persondataloven en række beføjelser, som kan blive

relevante i denne sag. Disse omfatter bl.a. følgende:

Datatilsynet påser i medfør af persondatalovens § 58 af egen drift eller efter

klage fra en registreret, at behandlingen af personoplysninger finder sted i

overensstemmelse med loven og regler udstedt i medfør af loven.

I forhold til private dataansvarlige har Datatilsynet efter persondatalovens

§ 59 mulighed for at meddele forskellige påbud og forbud.

Efter persondatalovens § 59, stk. 2, kan Datatilsynet således forbyde en privat

dataansvarlig at anvende en nærmere angiven fremgangsmåde i forbindelse

med behandlingen af oplysninger, hvis tilsynet finder, at den pågældende

fremgangsmåde medfører en væsentlig risiko for, at der behandles oplysninger

i strid med loven.

Efter persondatalovens § 59, stk. 3, kan Datatilsynet påbyde en privat dataansvarlig

at træffe bestemte tekniske og organisatoriske sikkerhedsforanstaltninger

mod, at der behandles oplysninger, som ikke må behandles, at oplysninger

hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de

kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i

strid med loven.

Når Datatilsynet i medfør af persondatalovens § 59 meddeler forbud og påbud,

er undladelse af at efterkomme disse strafsanktioneret, jf. persondatalovens

§ 70, stk. 1, nr. 6.

3


I medfør af persondatalovens § 62, stk. 1, kan Datatilsynet kræve enhver oplysning,

der er af betydning for dets virksomhed, herunder til afgørelse af, om

et forhold falder ind under lovens bestemmelser.

Datatilsynet anmoder om en redegørelse

På baggrund af de to henvendelser finder Datatilsynet anledning til at undersøge,

om DanID lever op til persondatalovens § 41, stk. 3, når virksomheden

fremsender breve i forbindelse med udstedelse af NemID certifikater.

Datatilsynet skal således anmode DanID om en redegørelse om følgende:

1. Datatilsynet ønsker oplyst, hvorvidt DanID er enig i, at de fornødne

sikkerhedsforanstaltninger efter persondatalovens § 41, stk. 3, omfatter

forskudt udsendelse af brevene med nøglekort og brevene med

midlertidig adgangskode.

Datatilsynet ønsker desuden oplyst:

2. Hvilke foranstaltninger DanID har truffet med henblik på at sikre forskudt

udsendelse af breve med nøglekort og breve med midlertidig

adgangskoder, herunder

3. hvor mange dages forskydning DanID har vurderet, at der som minimum

skal anvendes,

4. hvad DanID i praksis gør for at sikre sig, at den fornødne forskydning

indlægges,

5. hvornår de fire breve omhandlet i de to borgerhenvendelser rent faktisk

er sendt, herunder

6. hvor mange dages forskydning der i disse fire tilfælde har været mellem

afsendelse af brevene med nøglekort og brevene med midlertidige

adgangskoder,

7. hvis der har været tale om en fejl i forhold til disse fire udstedelser,

hvor mange andre personer er så berørt af den samme fejl,

8. om disse henvendelser giver DanID anledning til at tage initiativer i

forhold til personer, der måtte være berørt af en fejl, samt

9. om sagen giver DanID anledning til at foretage ændringer i virksomhedens

praksis for udsendelse af breve i forbindelse med udstedelse af

NemID certifikater,

10. hvis DanID anvender eksterne databehandlere i forbindelse med udsendelsen

af brevene, ønskes det endvidere beskrevet, hvordan DanID

lever op til persondatalovens § 42, stk. 1 og 2.

Datatilsynet kan på nuværende tidspunkt ikke udelukke, at der i den foreliggende

sag er grundlag for en konkret mistanke om overtrædelse af persondataloven,

der kan medføre straf.

Datatilsynet skal derfor gøre opmærksom på, at DanID ikke er forpligtet til at

afgive oplysninger i sagen, idet DanID i givet fald kan risikere at afgive oplysninger

om, at DanID har begået noget strafbart.

4


Hvis DanID vælger at besvare Datatilsynets anmodning om en udtalelse, vil

Datatilsynet betragte dette som et samtykke til at afgive oplysninger i sagen.

De oplysninger, DanID afgiver, vil indgå i tilsynets vurdering af sagen. Oplysningerne

kan senere også komme til at indgå i en eventuel straffesag.

Hvis tilsynet ikke har hørt fra DanID inden 10 dage fra dags dato, tager tilsynet

det som udtryk for, at DanID ikke ønsker at udtale sig til Datatilsynet.

Kopi af dette brev er sendt til de berørte borgere.

Med venlig hilsen

Lena Andersen

Kontorchef

Bilag: Bilag 1 – E-post af 18. september 2010 med bilag

Bilag 2 – E-post af 20. september 2010 med bilag

5

More magazines by this user
Similar magazines