DanID A/S Lautrupbjerg 10 Postboks Ballerup

Transkript

1 DanID A/S Lautrupbjerg 10 Postboks Ballerup 24. september 2010 Vedrørende sikkerhedsforanstaltningerne omkring udstedelse af NemID Datatilsynet Borgergade 28, København K CVR-nr Telefon Fax E-post [email protected] J.nr Sagsbehandler Henrik Rubæk Jørgensen Direkte Datatilsynet har i den forløbne uge modtaget en del nye henvendelser om samtidig modtagelse af breve i forbindelse med oprettelse af NemID certifikater. Datatilsynet har bl.a. modtaget to henvendelser af henholdsvis den 18. og den 20. september 2010, der giver tilsynet anledning til på ny at tage en sag op over for DanID A/S. De to henvendelser og supplerende materiale indhentet af Datatilsynet vedlægges som bilag 1 og bilag 2. Der er i begge henvendelser tale om par, hvor begge ægtefæller har bestilt NemID. Dvs. der er tale om i alt fire personer. Datatilsynet har fra begge par fået oplyst, at der er tale om oprettelse af NemID til login på offentlige tjenester. Der er efter det oplyste ikke tale om borgere, som er omfattet af den skete spærring efter den første fejl, men om nye bestillinger. I alle fire tilfælde er brevet med nøglekort og brevet med midlertidig adgangskode modtaget på samme dato. I henvendelsen af 18. september 2010 (bilag 1) har borgeren bl.a. oplyst følgende: Min kone og jeg har i dag hver modtaget 2 breve vedr. nem-id: et brev med midlertidig adgangskode og et andet brev med bruger-id og nøglekort. Jeg har kontaktet Dan-IDs support og får at vide, at fejlen der skete tidligere, var at oplysningerne blev sendt i samme brev. Dan-Id mener altså ikke, at der er et problem med at jeg modtager alle nemid oplysninger samme dag, og jeg sagtens kan gå i gang med at bruge dem. Det er er dog ikke mit indtryk, når jeg læser Datatilsynets spørgsmål til Dan-Id. Dan-Id support oplyser desuden, at brevene sendes fra to forskellige steder, og de derfor ikke har mulighed for at koordinere dem. Efter anmodning fra Datatilsynet har borgeren taget en indskannet kopi af de to kuverter (de andre var smidt væk) og fremsendt denne til tilsynet. Det fremgår af det indsendte, at kuverten med den midlertidige adgangskode har datoen påskrevet på forsiden. Den anden kuvert indeholder ingen datering.

2 2 I henvendelsen af 20. september 2010 (bilag 2) har borgeren ligeledes oplyst, at begge ægtefæller modtog begge breve på samme tid. Borgeren har indsendt kopi af dateringen på brevene med nøglekort samt kuverterne med de midlertidige adgangskoder. Brevene, som ifølge borgeren har indeholdt nøglekort, er begge dateret den 15. september 2010, mens kuverterne med de midlertidige adgangskoder begge har datoen påskrevet på forsiden. Datatilsynets skal i den anledning bemærke følgende: DanID er omfattet af persondataloven Datatilsynet må lægge til grund, at DanID i forbindelse med udstedelse og administration af NemID certifikater behandler personoplysninger og er omfattet af persondataloven 1. Persondataloven gælder således ifølge lovens 1, stk. 1, bl.a. for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling. DanID skal leve op til persondatalovens krav om datasikkerhed DanID skal som dataansvarlig bl.a. leve op til kravene om datasikkerhed i persondatalovens kapitel 11. Af persondatalovens 41, stk. 3, fremgår, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Overtrædelse af reglerne i persondatalovens 41, stk. 3, er strafsanktioneret, jf. persondatalovens 70, stk. 1, nr. 1. Ved vurderingen af, hvilke sikkerhedsforanstaltninger DanID skal træffe for at leve op til persondatalovens 41, stk. 3, må det efter Datatilsynets opfattelse tages i betragtning, at NemID giver adgang til fortrolige og følsomme personlige oplysninger hos en række myndigheder og virksomheder. På denne baggrund er det Datatilsynets opfattelse, at de fornødne sikkerhedsforanstaltninger efter persondatalovens 41, stk. 3, bl.a. omfatter forskudt udsendelse af brevene med nøglekort og brevene med midlertidig adgangskode. Datatilsynet skal herved tillige henvise til, at det i forbindelse med Datatilsynets gennemgang af de procedurer, der bliver anvendt, når en borger bestiller en NemID til brug for at logge på myndighedernes løsninger, bl.a. er oplyst 2, 1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer. 2 Jf. IT- og Telestyrelsens besvarelse af 15. oktober 2009

3 3 at den midlertidige adgangskode og nøglekort for det samme NemID aldrig fremsendes på samme dag, hvorved risiko for modtagelse på samme dag elimineres eller nedsættes væsentligt. Ekstra krav, hvis der benyttes en databehandler Af persondatalovens 42, stk. 1, følger, at når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Efter 42, stk. 2, skal gennemførelse af en behandling ved en databehandler ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren. Overtrædelse af reglerne i persondatalovens 42 er strafsanktioneret, jf. persondatalovens 70, stk. 1, nr. 1. Datatilsynets beføjelser Datatilsynet har efter persondataloven en række beføjelser, som kan blive relevante i denne sag. Disse omfatter bl.a. følgende: Datatilsynet påser i medfør af persondatalovens 58 af egen drift eller efter klage fra en registreret, at behandlingen af personoplysninger finder sted i overensstemmelse med loven og regler udstedt i medfør af loven. I forhold til private dataansvarlige har Datatilsynet efter persondatalovens 59 mulighed for at meddele forskellige påbud og forbud. Efter persondatalovens 59, stk. 2, kan Datatilsynet således forbyde en privat dataansvarlig at anvende en nærmere angiven fremgangsmåde i forbindelse med behandlingen af oplysninger, hvis tilsynet finder, at den pågældende fremgangsmåde medfører en væsentlig risiko for, at der behandles oplysninger i strid med loven. Efter persondatalovens 59, stk. 3, kan Datatilsynet påbyde en privat dataansvarlig at træffe bestemte tekniske og organisatoriske sikkerhedsforanstaltninger mod, at der behandles oplysninger, som ikke må behandles, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Når Datatilsynet i medfør af persondatalovens 59 meddeler forbud og påbud, er undladelse af at efterkomme disse strafsanktioneret, jf. persondatalovens 70, stk. 1, nr. 6.

4 4 I medfør af persondatalovens 62, stk. 1, kan Datatilsynet kræve enhver oplysning, der er af betydning for dets virksomhed, herunder til afgørelse af, om et forhold falder ind under lovens bestemmelser. Datatilsynet anmoder om en redegørelse På baggrund af de to henvendelser finder Datatilsynet anledning til at undersøge, om DanID lever op til persondatalovens 41, stk. 3, når virksomheden fremsender breve i forbindelse med udstedelse af NemID certifikater. Datatilsynet skal således anmode DanID om en redegørelse om følgende: 1. Datatilsynet ønsker oplyst, hvorvidt DanID er enig i, at de fornødne sikkerhedsforanstaltninger efter persondatalovens 41, stk. 3, omfatter forskudt udsendelse af brevene med nøglekort og brevene med midlertidig adgangskode. Datatilsynet ønsker desuden oplyst: 2. Hvilke foranstaltninger DanID har truffet med henblik på at sikre forskudt udsendelse af breve med nøglekort og breve med midlertidig adgangskoder, herunder 3. hvor mange dages forskydning DanID har vurderet, at der som minimum skal anvendes, 4. hvad DanID i praksis gør for at sikre sig, at den fornødne forskydning indlægges, 5. hvornår de fire breve omhandlet i de to borgerhenvendelser rent faktisk er sendt, herunder 6. hvor mange dages forskydning der i disse fire tilfælde har været mellem afsendelse af brevene med nøglekort og brevene med midlertidige adgangskoder, 7. hvis der har været tale om en fejl i forhold til disse fire udstedelser, hvor mange andre personer er så berørt af den samme fejl, 8. om disse henvendelser giver DanID anledning til at tage initiativer i forhold til personer, der måtte være berørt af en fejl, samt 9. om sagen giver DanID anledning til at foretage ændringer i virksomhedens praksis for udsendelse af breve i forbindelse med udstedelse af NemID certifikater, 10. hvis DanID anvender eksterne databehandlere i forbindelse med udsendelsen af brevene, ønskes det endvidere beskrevet, hvordan DanID lever op til persondatalovens 42, stk. 1 og 2. Datatilsynet kan på nuværende tidspunkt ikke udelukke, at der i den foreliggende sag er grundlag for en konkret mistanke om overtrædelse af persondataloven, der kan medføre straf. Datatilsynet skal derfor gøre opmærksom på, at DanID ikke er forpligtet til at afgive oplysninger i sagen, idet DanID i givet fald kan risikere at afgive oplysninger om, at DanID har begået noget strafbart.

5 5 Hvis DanID vælger at besvare Datatilsynets anmodning om en udtalelse, vil Datatilsynet betragte dette som et samtykke til at afgive oplysninger i sagen. De oplysninger, DanID afgiver, vil indgå i tilsynets vurdering af sagen. Oplysningerne kan senere også komme til at indgå i en eventuel straffesag. Hvis tilsynet ikke har hørt fra DanID inden 10 dage fra dags dato, tager tilsynet det som udtryk for, at DanID ikke ønsker at udtale sig til Datatilsynet. Kopi af dette brev er sendt til de berørte borgere. Med venlig hilsen Lena Andersen Kontorchef Bilag: Bilag 1 E-post af 18. september 2010 med bilag Bilag 2 E-post af 20. september 2010 med bilag