Datatilsynet skal bemærke følgende:

Transkript

1 IT- og Telestyrelsen Holsteinsgade København Ø Sendt til: 17. juli 2009 Vedrørende høring over OIO identitetsbaserede webservices version 1.0 Datatilsynet Borgergade 28, København K CVR-nr Telefon Fax E-post dt@datatilsynet.dk J.nr Sagsbehandler Stinne Stevnsborg Andersen Direkte Ved e-post af 10. juni 2009 har IT- og Telestyrelsen fremsendt høring over OIO identitetsbaserede webservices version 1.0 til Datatilsynet, samt anmodet om tilsynets kommentarer hertil. Datatilsynet skal bemærke følgende: IT- og Telestyrelsen har i det fremsendte materiale anvendt betegnelsen personoplysningsloven og forkortelsen POL for lov nr. 429 af 31. maj 2000 om behandling af personoplysninger. Datatilsynet anmoder IT og Telestyrelsen om at ændre dette til lovens kaldenavn, persondataloven, med forkortelsen PDL. Det er den korte betegnelse, som anvendes såvel af Datatilsynet som i Retsinformation. For at undgå meningsforstyrrelser er det endvidere hensigtsmæssigt, at IT- og Telestyrelsen anvender de i persondataloven fastsatte begreber og de betegnelser, som Datatilsynet anvender i sin praksis. Det vil således være hensigtsmæssigt at ændre borgeren til den registrerede, hvor dette menes, generelle oplysninger til almindelige eller ikke-følsomme oplysninger samt at samtykket beskrives som udtrykkeligt. Datatilsynet skal i øvrigt bemærke, at tilsynet ikke har tilstrækkeligt med kompetencer inden for den beskrevne teknologi, til at kunne forstå eller kommentere fyldestgørende på de tekniske aspekter i materialet. Ansvaret for at sikre overholdelse af persondataloven ligger som altid hos den dataansvarlige. Datatilsynet foreslår, at det i den forbindelse fremgår, at brug af OIOIDWS-standarden ikke automatisk sikrer overholdelse af persondataloven. Datatilsynet giver i det følgende sine mere specifikke kommentarer. Det bemærkes i den forbindelse, at det havde været nemmere at kommentere på materialet, hvis dette havde indeholdt sidetal og de enkelte afsnit mv. havde været nummererede.

2 2 Bemærkninger til Identitetsbaserede webservices og personlig data 1. Det anføres i afsnittet om afgrænsning, at dokumentet tager afsæt i en situation, hvor en myndighed videregiver data til en anden myndighed på vegne af en borger. Det juridiske fokus retter sig imod selve videregivelsen fra en myndighed til en anden. Datatilsynet skal foreslå, at anvendelsen af afgrænsningen til på vegne af en borger overvejes. Det er således ikke en forudsætning for videregivelse mellem myndigheder, at dette sker på borgerens vegne men der kan i visse tilfælde være krav om, at borgeren skal have givet samtykke. Der henvises i øvrigt til bemærkningerne til de enkelte scenarier nedenfor. 2. I dokumentet opstilles dernæst en række definitioner og begreber. Begrebet Bruger kan efter definitionen være enten en borger eller en sagsbehandler. Da borgere og sagsbehandlere i forhold til persondataloven håndteres forskelligt, er den valgte definition efter Datatilsynets opfattelse ikke hensigtsmæssig i forhold til de efterfølgende tekstafsnit i dokumentet, som gengiver persondatalovens regler. 3. I det første af de to scenarier, som beskrives i dokumentet, anvendes igen udtrykket, at der kaldes en fremmed service på vegne af borgeren. Datatilsynet finder det positivt, at borgeren tillægges kompetence til at bestemme, om data på hans eller hendes vegne skal indhentes i en selvbetjeningsløsning. Datatilsynet forudsætter, at en sådan løsning giver borgeren en tydelig valgmulighed mht. om oplysningerne skal indhentes f.eks. således at borgeren skal klikke ja til, at løsningen indhenter oplysningerne fra en given kilde og evt. forudfylder den elektroniske blanket med disse. Datatilsynet skal samtidigt gøre opmærksom på, at der på en række områder formentlig vil være hjemmel til at indhente oplysninger til brug for myndighedens sagsbehandling, uden at dette sker på borgerens vegne. Det står ikke Datatilsynet klart, hvorvidt det foreliggende dokument også skal gælde for disse situationer, jf. også den under pkt. 1 i dette brev omtalte afgrænsning. I forhold til listen over forudsætninger for det første scenarie savner Datatilsynet et punkt om, at borgeren ved et klik eller lignende har tilkendegivet, at han eller hun ønsker, at løsningen skal hente vedkommendes data fra den omhandlede kilde. 4. I det andet scenarie er der tale om en sagsbehandler, som skal tilgå data hos en anden myndighed. Datatilsynet finder det uklart, om dette scenarie også er undergivet den forudsætning, som omtales under punkt 1 nemlig at oplysninger indhentes på vegne af en borger, og i givet fald hvordan denne borger involveres.

3 3 Datatilsynet savner generelt oplysninger om, hvordan det afgrænses, hvilke borgere der må være adgang til oplysninger om, samt hvilke oplysninger om de enkelte borgere der må videregives i den konkrete situation. Tilsynet har flere gange tilkendegivet den opfattelse, at en generel adgang til alle borgerrelaterede oplysninger er meget vidtgående og vanskelig at forene med persondatalovens 5 og de generelle krav om datasikkerhed i lovens 41, stk. 3, som bl.a. er udmøntet i sikkerhedsbekendtgørelsens 11. Kort fortalt ligger persondatalovens begrænsninger navnlig i kravet om, at offentlige myndigheder ikke må behandle eller have adgang til oplysninger, som de ikke har behov for i forbindelse med deres konkrete myndighedsudøvelse. Datatilsynet kan således ikke ud fra det foreliggende se, hvorvidt persondatalovens krav om, at den omhandlede sagsbehandler ikke må have adgang til oplysninger, som han eller hun ikke har behov for, varetages. Det står endvidere ikke Datatilsynet klart, hvordan behovet for et eventuelt samtykke fra borgeren håndteres i dette scenarie. 5. Bemærkninger til afsnittet Sikkerhedsmæssige og juridiske egenskaber Det fremgår af egenskab 2, at der kun kan udstedes et token, såfremt borgeren er logget på. Dette fremgår imidlertid ikke af det ovenfor nævne scenarie nummer to, hvor det er en sagsbehandler, der er logget på. Det er derfor uklart for Datatilsynet, hvad der egentlig er egenskaben. Det fremgår egenskab 3, at data er krypterede under transport. Efter Datatilsynets opfattelse, er det imidlertid ikke muligt ud fra beskrivelserne at se, hvor datakommunikationen foregår, eller om den er krypteret. Vedrørende egenskab 6 og 7 refereres der til krav om logning i henhold til sikkerhedsbekendtgørelsen. Der står bl.a. Det er muligt for myndigheder at opsætte logning på deres egen webservice ". Det er ikke muligt for Datatilsynet at vurdere, om denne beskrivelse er i overensstemmelse med persondataloven. Det skal blot igen bemærkes, at ansvar for tilstrækkelig logning ligger hos den dataansvarlige, og ansvaret kan dermed ikke bindes op på et ejerskab af en webservice. Man skal desuden sikre, at en gennemgang af log kan ske hurtigt. Med andre ord skal en samlet og brugbar log kunne frembringes hurtigt og effektivt.

4 4 Under egenskab 8 omtales, at der ved udveksling af følsomme personoplysninger uden direkte lovhjemmel, skal indhentes samtykke. Af persondatalovens 7-8 fremgår en række hjemler til behandling, herunder videregivelse, af følsomme personoplysninger. En af disse hjemler er samtykke fra den registrerede. Det er op til den dataansvarlige at vurdere, hvorvidt der er hjemmel i loven til behandlingen, herunder om der skal indhentes samtykke. Datatilsynet skal i øvrigt henlede opmærksomheden på, at der afhængigt af de konkrete omstændigheder også kan være krav om indhentning af samtykke ved udveksling af ikke-følsomme personoplysninger omfattet af persondatalovens I afsnittet Kontrol af aktiv brugersession angives bl.a.: "Det overlades derfor til de enkelte myndigheder at foretage en risikovurdering som afdækker, hvorvidt der er behov for real-time information om brugerens session."..."det overlades til de enkelte myndigheder at definere en passende timeout periode, som afvejer følsomheden af de konkrete data mod byrderne ved hyppige fornyelser af tokens." Datatilsynet præciserer, at det er den dataansvarlige, som skal foretage risikovurderingen, og som skal vurdere behovet for fornyelse af token. Datatilsynet skal bemærke, at udlevering af personoplysninger til en borger efter tilsynets umiddelbare opfattelse må forudsætte, at borgeren er logget på, og at token fornyes umiddelbart inden udlevering af personoplysninger. 7. I afsnittet Juridiske forhold omtales bl.a. persondataloven og sikkerhedsbekendtgørelsen. Datatilsynet skal understrege, at en række andre love også indeholder bestemmelser og vilkår, som skal iagttages ved udveksling af personoplysninger. Datatilsynet skal derfor stille spørgsmålstegn ved, om det er hensigtsmæssigt og muligt i et afsnit i dette dokument at redegøre før den retlige regulering af udveksling af personoplysninger mellem myndigheder. F.eks. indeholder forvaltningslovens 1 29 en væsentlig regel om indhentning af følsomme personoplysninger i sager, der rejser ved ansøgning. CPR-loven 2 indeholder regler om adgang til CPR, og loven suppleres af vilkår. 1 LBK nr af 07/12/ LBK nr af 20/11/2006

5 5 Da afsnittet om persondataloven i øvrigt på en række punkter vil skulle revideres, er Datatilsynet umiddelbart af den opfattelse, at det måske var bedre at undlade en detaljeret beskrivelse af loven i dette dokument. 8. Bemærkninger til afsnittet Personoplysningsloven I afsnittet anføres, at loven indeholder følgende 4 hovedområder: Administrative krav til behandlingssikkerheden, Den registreredes rettigheder, Anmeldelse til Datatilsynet samt Teknisk sikkerhed. Det fremgår ikke, hvad der menes med administrative krav til sikkerhed. Såfremt der med dette henvises til lovens kapitel 4 vedrørende behandlingsregler, skal tilsynet anmode om, at dette præciseres. Lovens behandlingsregler bør under alle omstændigheder medtages som et af lovens hovedområder. Det fremgår endvidere, at OIOIDWS kan give den tekniske sikkerhed, når myndigheder skal sende oplysninger sikkert over Internet. Den enkelte myndighed skal dog stadig sikre, at anvendelse af personoplysninger internt i myndigheden opfylder personoplysningslovens organisatoriske krav. Datatilsynet skal understrege, at det påhviler den dataansvarlige myndighed at overholde alle persondatalovens krav. Såvel ved behandling af personoplysninger internt i myndigheden, som ved anvendelse af OIOIDWS. Datatilsynet er i øvrigt ikke ud fra det foreliggende i stand til at vurdere, om det er korrekt, at OIOIDWS giver den tekniske sikkerhed. IT og Telestyrelsen har i afsnittet endvidere opstillet et skema vedrørende klassificering af personoplysninger som følsomme, fortrolige eller generelle. Ved en sådan klassificering af personoplysninger vil der altid være tale om en konkret vurdering, som det påhviler den dataansvarlige myndighed at foretage. For eksempel vil oplysninger om en registrerets adresse kunne være en fortrolig oplysning, såfremt den registrerede har navne- og adressebeskyttelse efter CPR-loven. Et CV kan indeholde fortrolige eller følsomme oplysninger om f.eks. den registreredes karakterer eller personnummer eller oplysninger, der indikerer, at den registrerede har et handicap. Datatilsynet frygter, at de to skemaer, som forsøger at beskrive sikkerhed ud fra en kategorisering af data, kan give anledning til misforståelser og anmoder om, at disse udgår. Tilsynet kan således ikke tiltræde skemaerne i deres nuværende form. 9. Bemærkninger til skemaet Krav/OIOIDWS I skemaet beskrives en række krav, som i højre kolonne kommenteres i forhold til OIOIDWS. I første afsnit nævnes under overskriften behandlingssikkerhed at databehandling og videregivelse er lovlig, og der henvises til persondatalovens 6, 7, 8 og 11.

6 6 Datatilsynet skal anmode om, at overskriften ændres til behandlingshjemmel, at persondatalovens 5 tillige omtales, (grundbetingelserne heri skal også iagttages), samt at der tilføjes en henvisning til relevant særlovgivning. I beskrivelsen vedrørende krav til logning af behandling af fortrolige oplysninger 3 angives, at "Det er den enkelte myndighed der skal sikre, at egne webservices sættes op, så den nødvendige logning af tilgang og brug af fortrolige og følsomme personoplysninger foretages. Hver myndighed skal sikre at de medarbejdere, der tilgår data er autoriserede til det." Ansvaret for tilstrækkelig logning vil altid ligge hos den dataansvarlige, som skal sikre logning i overensstemmelse med sikkerhedsbekendtgørelsen 19. Konsekvensen af dette er, at ansvaret ikke på forhånd per definition kan placeres hos myndigheden med webservicen (som citeret herover). Dataansvar kan ikke sidestilles med et ejerskab af en webservice. Særligt i forbindelse med videregivelsessituationen 4 er det vigtigt at være opmærksom på, hvor dataansvaret ligger, da det påhviler den dataansvarlige at sikre overholdelse af sikkerhedsbekendtgørelsen, herunder 19, som angiver: "Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium." Det anbefales derfor, at teksten i skemaet tydeliggøres. Det bør f.eks. være tydeligt, at den dataansvarlige som minimum skal sikre logning af: Tidspunkt (kan kræve synkronisering af ure på tværs af systemer). Bruger (den ID som logges, skal kunne hæftes på en person, og må dermed ikke være en "anonym" token). Anvendelse. Angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Det bemærkes endvidere, at afviste adgangsforsøg også skal registreres, og der skal ske blokering ved gentagne afviste forsøg. 5 Datatilsynet anbefaler i øvrigt, at formuleringen Logning af adgang og behandling af fortrolige oplysninger ændres til Logning af adgang og behandling af personoplysninger omfattet af anmeldelsespligten til Datatilsynet groft sagt fortrolige oplysninger. Det skal således præciseres, at de skærpede krav i sikkerhedsbekendtgørelsens kapitel 3 alene vedrører behandling af op- 3 Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. 4 Se persondataloven 3, evt. kommenteret version i Bekendtgørelse nr. 528 af 15. juni 2000.

7 7 lysninger, der er omfattet af anmeldelsespligten til Datatilsynet. Se evt. nærmere om anmeldelsespligten i Datatilsynets vejledning nr. 125 af 10. juli I samme skema omtales også tildeling af adgang. Som omtalt ovenfor i dette brevs punkt 5 kan Datatilsynet ikke ud fra det foreliggende se, hvorvidt persondatalovens krav om at den omhandlede sagsbehandler ikke må have adgang til oplysninger, som han eller hun ikke har behov for, varetages. Datatilsynet går ud fra, at skemaet er ment som en angivelse af, hvilke lovmæssige krav der opfyldes ved brug af OIOIDWS. I så fald skal Datatilsynet bemærke følgende: Kravet i persondatalovens 41, stk. 3, kan ikke opfyldes alene ved det, som er beskrevet i tabellen. Kravet i sikkerhedsbekendtgørelsens 17 kan ikke opfyldes alene ved at lave halvårlige kontroller. Se vejledning til sikkerhedsbekendtgørelsen. Kravet i sikkerhedsbekendtgørelsens 14 kan ikke opfyldes alene ved at benytte stærk kryptering. Se vejledning til sikkerhedsbekendtgørelsen. 10. I afsnittet Bevismæssige forhold vedrørende logning af databehandling angives det, at det sker i forhold til tidspunkter. Datatilsynet skal i den forbindelse bemærke, at det kan kræve synkronisering af tidsstempling mellem systemerne. Derudover er det ikke klart for Datatilsynet, hvorvidt dette afsnit relaterer sig til kravene om logning i persondataloven, og tilsynet har derfor ikke taget stilling dertil. 11. I afsnittet Ansvar fremgår det bl.a. af første punkt, at det påhviler den videregivende myndighed at sikre klassifikation af data, dvs. om det er generelle, fortrolig eller følsomme persondata. Datatilsynet er enig i, at oplysningernes karakter kan have betydning ved en vurdering af en given videregivelse. Det afgørende er, at reglerne i persondataloven og evt. anden lovgivning iagttages. Da det ikke er et direkte krav efter persondataloven, at der foretages en klassifikation som beskrevet, skal Datatilsynet anmode om, at det nævnte punkt udgår. 12. Af samme afsnit fremgår, at den videregivende myndighed skal sikre, at borgeren er behørigt orienteret om videregivelse af data. Da persondataloven ikke indeholder et direkte krav om, at borgerne skal informeres om hver enkelt videregivelse, anmoder Datatilsynet om, at dette punkt udgår.

8 8 Yderligere generelle kommentarer til det fremsendte materiale Log-in Det er ikke muligt for Datatilsynet at vurdere principperne omkring log-in mv., idet tilsynet ikke besidder den nødvendige viden omkring arkitektur, SAML assertion, Bootstrap token, SOAP, m.v. Datatilsynet kan ikke af det fremsendte materiale vurdere, om implementering af OIOIDWS kan medføre, at man ikke kan overholde persondataloven. Rich Client Det beskrives, at man i en kommende version af OIOIDWS vil understøtte "Rich Client". I den forbindelse skal man være opmærksom på, om dette kan introducere sikkerhedsmæssige problemer. Hvis klienten f.eks. skal benytte plugin's, skal man også se på sikkerheden og vedligeholdelse af sikkerheden i disse elementer, samt hvordan man vejleder i brugen af "Rich Client"/plugin's. Afhængigheder og opdateringer Ved implementering af OIOIDWS skal det vurderes, om afhængigheder mellem systemer kan have en virkning i retning af at forhindre eller besværliggøre en sikkerhedsmæssig opdatering af systemerne (patchning), og hvilken konsekvens dette kan have. Adgangsmuligheder Der skal være klarhed over, hvor ansvaret ligger for løbende kontrol med sikkerhedsniveauet i de forskellige elementer af løsningen. Faren er, at visse dele af systemet/databehandlingen betragtes af både videregivende og modtagende myndighed som værende modpartens ansvar. Assurance level 'Assurance level' fastsættes af den dataansvarlige og bør være ensartet hos alle modtagende myndigheder for så vidt angår: timeout for brugers session, timeout for fornyelse af token hos 'identity provider' (når man ikke i realtime kan bekræfte brugers identitet), tilladte akkreditiver, adgangspolitikker, granularitet af adgang, certifikatpolitikker,...mv. Dermed siges ikke, at alt skal være ens, men set som et hele, bør niveauet være sammenligneligt. Sammenfattende kan konstateres, at omtalen af persondatalovens regler ikke er retvisende. Datatilsynet forudsætter, at der foretages rettelser i hele materialet i overensstemmelse med ovenstående. Eventuelt kan der henvises til Datatilsynet for nærmere information om persondatalovens regler.

9 9 Datatilsynet skal anmode IT- og Telestyrelsen om at fremsende en revideret udgave af materialet til tilsynet, hvor ændringerne fremgår. Datatilsynet er i den forbindelse indstillet på at drøfte materialet på et møde. Med venlig hilsen Stinne Stevnsborg Andersen