Klik her for at læse Datatilsynets brev af 24. september 2010 til DanID

More documents

Recommendations

Info

I henvendelsen af 20. september 2010 (bilag 2) har borgeren ligeledes oplyst, at begge ægtefæller modtog begge breve på samme tid. Borgeren har indsendt kopi af dateringen på brevene med nøglekort samt kuverterne med de midlertidige adgangskoder. Brevene, som ifølge borgeren har indeholdt nøglekort, er begge dateret den 15. september 2010, mens kuverterne med de midlertidige adgangskoder begge har datoen 2010-09-15 påskrevet på forsiden. Datatilsynets skal i den anledning bemærke følgende: DanID er omfattet af persondataloven Datatilsynet må lægge til grund, at DanID i forbindelse med udstedelse og administration af NemID certifikater behandler personoplysninger og er omfattet af persondataloven 1 . Persondataloven gælder således ifølge lovens § 1, stk. 1, bl.a. for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling. DanID skal leve op til persondatalovens krav om datasikkerhed DanID skal som dataansvarlig bl.a. leve op til kravene om datasikkerhed i persondatalovens kapitel 11. Af persondatalovens § 41, stk. 3, fremgår, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Overtrædelse af reglerne i persondatalovens § 41, stk. 3, er strafsanktioneret, jf. persondatalovens § 70, stk. 1, nr. 1. Ved vurderingen af, hvilke sikkerhedsforanstaltninger DanID skal træffe for at leve op til persondatalovens § 41, stk. 3, må det efter Datatilsynets opfattelse tages i betragtning, at NemID giver adgang til fortrolige og følsomme personlige oplysninger hos en række myndigheder og virksomheder. På denne baggrund er det Datatilsynets opfattelse, at de fornødne sikkerhedsforanstaltninger efter persondatalovens § 41, stk. 3, bl.a. omfatter forskudt udsendelse af brevene med nøglekort og brevene med midlertidig adgangskode. Datatilsynet skal herved tillige henvise til, at det i forbindelse med Datatilsynets gennemgang af de procedurer, der bliver anvendt, når en borger bestiller en NemID til brug for at logge på myndighedernes løsninger, bl.a. er oplyst 2 , 1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer. 2 Jf. IT- og Telestyrelsens besvarelse af 15. oktober 2009 2
at den midlertidige adgangskode og nøglekort for det samme NemID aldrig fremsendes på samme dag, hvorved risiko for modtagelse på samme dag elimineres eller nedsættes væsentligt. Ekstra krav, hvis der benyttes en databehandler Af persondatalovens § 42, stk. 1, følger, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i § 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Efter § 42, stk. 2, skal gennemførelse af en behandling ved en databehandler ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Overtrædelse af reglerne i persondatalovens § 42 er strafsanktioneret, jf. persondatalovens § 70, stk. 1, nr. 1. Datatilsynets beføjelser Datatilsynet har efter persondataloven en række beføjelser, som kan blive relevante i denne sag. Disse omfatter bl.a. følgende: Datatilsynet påser i medfør af persondatalovens § 58 af egen drift eller efter klage fra en registreret, at behandlingen af personoplysninger finder sted i overensstemmelse med loven og regler udstedt i medfør af loven. I forhold til private dataansvarlige har Datatilsynet efter persondatalovens § 59 mulighed for at meddele forskellige påbud og forbud. Efter persondatalovens § 59, stk. 2, kan Datatilsynet således forbyde en privat dataansvarlig at anvende en nærmere angiven fremgangsmåde i forbindelse med behandlingen af oplysninger, hvis tilsynet finder, at den pågældende fremgangsmåde medfører en væsentlig risiko for, at der behandles oplysninger i strid med loven. Efter persondatalovens § 59, stk. 3, kan Datatilsynet påbyde en privat dataansvarlig at træffe bestemte tekniske og organisatoriske sikkerhedsforanstaltninger mod, at der behandles oplysninger, som ikke må behandles, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Når Datatilsynet i medfør af persondatalovens § 59 meddeler forbud og påbud, er undladelse af at efterkomme disse strafsanktioneret, jf. persondatalovens § 70, stk. 1, nr. 6. 3
Page 1: DanID A/S Lautrupbjerg 10 Postboks
Page 5: Hvis DanID vælger at besvare Datat

Klik her for at læse Datatilsynets brev af 24. september 2010 til DanID

Create successful ePaper yourself

Delete template?

Save as template?