Publikationen udleveres gratis Så længe lager haves, ved henvendelse til: Signatur- og systembevis Høringsnotat. Udgivet af: IT- & Telestyrelsen

Relaterede dokumenter
Digital Signatur OCES en fælles offentlig certifikat-standard

Høringssvar vedrørende forslag til lov om ændring af lov om aktie- og anpartsselskaber og forskellige love (Obligatorisk digital kommunikation)

Høring i forbindelse med revision af certifikatpolitik for OCESpersoncertifikater (Offentlige Certifikater til Elektronisk Service) 27.

fr :12 Til Erhvervs- og Byggestyrelsen

Signatur- og systembevis Teknisk vejledning i sikring af digitale signaturers bevisværdi Version 1.01

Formålet med vejledningen er at bistå primært offentlige institutioner, der ønsker at bruge, udvikle eller videredistribuere open source-software.

Datatilsynet skal bemærke følgende:

Att: Mads Ellehammer:

J.nr Høring over udkast til vejledning om vedligeholdelsesplaner for private udlejningsejendomme

Digital Signatur Infrastrukturen til digital signatur

Bekendtgørelse om overvågning, samordnet procedure og offentliggørelse ved VVM af statslige vej- og jernbaneprojekter

om L 72 Forslag til lov om kommunale borgerservicecentre

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Til høringsparterne Se vedlagte liste

Høringsnotat. Udkast til lovforslag blev sendt i ekstern høring den 2. juli Høringsfristen for lovforslaget udløb den 13. september.

Certifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1

It-løsninger i forbindelse med kommunalreformen. Sikring af at grundlæggende forvaltningsretlige krav overholdes

Workshop om digital signatur til studerende Syddansk Universitet Odense, 15. februar 2005

Certifikatpolitik for NemLog-in

Høringsnotat vedr. bekendtgørelse om beredskab i oliesektoren

Digital Signatur Juridiske aspekter. IT- og Telestyrelsen December 2002

Høring af OIOXML elektronisk regning. Høringssvar.

Skatteudvalget L 85 - Bilag 2 Offentligt

Digitale boligstøtteansøgninger. En administrativ fordel med voksende effekt for både borgere og administration

Folketinget Retsudvalget Christiansborg 1240 København K

hos statslige myndigheder

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT

IT-sikkerhedspanelets anbefalinger vedrørende privacy

IT-sikkerhedspolitik S i d e 1 9

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer

Udvalget for Videnskab og Teknologi (2. samling) UVT alm. del - Svar på Spørgsmål 19 Offentligt

IT- og Telestyrelsen 21. august 2007 Sagsnr

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

DKAL Snitflader Afsendelse og modtagelse af meddelelser via S/MIME

IT- og Telestyrelsen Holsteinsgade København Ø.

Udvalget for Videnskab og Teknologi UVT alm. del Svar på Spørgsmål 33 Offentligt

Digital post Snitflader Bilag B - Afsendelse og modtagelse af meddelelser via S/MIME Version 6.3

Udvalget for Videnskab og Teknologi UVT alm. del, endeligt svar på spørgsmål 229 Offentligt

IT-SIKKERHEDSPOLITIK UDKAST

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Artikel 29-gruppen vedrørende databeskyttelse

25. august 2015 Høringsnotat om Bekendtgørelse om krav til studieadministrative it-systemer for de gymnasiale uddannelser og almene voksenuddannelser

Kommunalbestyrelsen Vordingborg Kommune. Regionsrådet Region Sjælland

IT-sikkerhedsbestemmelser for anvendelse af e-post

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Vejledning. 1 Indledning Den 25. maj 2011 trådte den nye telelov 1 i kraft.

Kommenteret høringsnotat

Høringssvar vedr. bestemmelser om obligatorisk digital kommunikation mellem virksomheder og det offentlige

B Bilag 6 Offentligt

Retsudvalget L 69 endeligt svar på spørgsmål 11 Offentligt

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Finanstilsynet Kontor for finansiel rapportering Århusgade København Ø Att.: Fuldmægtig, cand.merc.aud. Helene Miris Møller

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Høringsnotat. vedrørende Forslag til lov om administration af visse af Den Europæiske Unions forordninger om handel med træ og træprodukter

Dette dokument beskriver den fællesoffentlige føderations minimumskrav til logning hos Service og Identity Providere.

Lokalt høringsnotat. Forslag til vandplan for hovedvandopland 3.1 Bornholm. Resumé og kommentering af høringssvar af lokal karakter.

Cybercity A/S Ovengaden Neden Vandet København K. Ved. 65-anmodning om afvisning på adgang til VDSL

DanID A/S Lautrupbjerg 10 Postboks Ballerup

Høringsnotat om ændring af definitioner og indberetningsskema til Bredbåndskortlægning 2014

Forslag til lov om ændring af lov om finansiel virksomhed, lov om investeringsforeninger m.v., lov om værdipapirhandel m.v. og forskellige andre love

Høringsnotat om forslag til ændrede regler vedr. DNSSEC

PRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK

Informationssikkerhedspolitik

Delvist afslag på aktindsigt i to interne dokumenter hos Skatteministeriet. Ekstrahering

Trafik- og Byggestyrelsen har den 13. september 2016 sendt følgende bestemmelser om luftfart (BL) i høring, hos de i bilag 1 nævnte høringsparter:

FONDSRÅDET. Høringsnotat vedrørende udkast til vejledning om virkningen af. afgørelser om ændring af regnskabsinformation i års- og delårsrapporter

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Til bestyrelsen for Institutioner for erhvervsrettede uddannelser og almengymnasiale uddannelser samt almene voksenuddannelser m.v.

Revisionsvejledning til National Standard for Identiteters Sikringsniveauer (NSIS)

IT-sikkerhedspolitik for

Skema til høringssvar anmeldelse af forskningsdata

Håndværksrådet takker for lejligheden til at afgive høringssvar på de 5 bekendtgørelsesudkast på vejledningsområdet.

Justitsministeriet Slotsholmsgade København K Danmark. Att. Lovkvalitetskontoret

Høringsnotat om Forslag til lov om et nationalt naturfagscenter

Procedure for tilsyn af databehandleraftale

BILAG 14: DATABEHANDLERAFTALE

Leverancebeskrivelse - Bilag 1

Informationssikkerhedspolitik. Frederiksberg Kommune

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Kommenteret høringsnotat

Notat med høringssvar i forbindelse med høring af afsnit 5 i forskrift H1.

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

EFTERRETNINGSNOTAT. DATO : 1. oktober : Teknik- og Miljøudvalget. : Center for Miljø. EMNE : Agenda 21-plan Resultat af udvalgshøring

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

Skriftlig høring om udkast til bekendtgørelse om teknisk certificeringssordning for vindmøller.

Dansk Erhvervs høringssvar over udkast til Vejledning om lovkvalitet

Ombudsmanden mente endvidere, at reglerne burde have været kundgjort i Lovtidende.

Oplysningerne opbevares hos den dataansvarlige og/eller Oplysningerne opbevares hos databehandler

Bekendtgørelse om offentlige arkivalier og om offentlige arkivers virksomhed

Skema til høringssvar anmeldelse af forskningsdata

Generelt. Bemærkning Begrundelse for bemærkning Bemærkning fremsat af:

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt

Høringssvar vedrørende Specifikation af serviceinterface for person (part)

BILAG 5 DATABEHANDLERAFTALE

Besvarelse af høring om valg og skift af alment praktiserende læge og om behandling hos læge I praksissektoren

Bemærkninger til høringssvar

Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ)

Høringssvar til "Udkast til redegørelse om indhentning af elektroniske helbredsoplysninger i forbindelse med patientbehandling"

Høringsnotat - specifikation af serviceinterface for SAG version 1 2

Praktisk information hvis du overvejer optagelse til handel på et reguleret marked og offentligt udbud af værdipapirer over

Transkript:

Høringsnotat

Signatur- og systembevis Høringsnotat Udgivet af: IT- & Telestyrelsen IT- & Telestyrelsen Holsteinsgade 63 2100 København Ø Telefon: 3545 0000 Fax: 3545 0010 Publikationen udleveres gratis Så længe lager haves, ved henvendelse til: IT- og Telestyrelsen. danmark.dk Telefon: 1881 sp@itst.dk www.netboghandel.dk Publikationen kan også hentes på It- & Telestyrelsens Hjemmeside: http://www.itst.dk ISBN (internet): Tryk: Oplag: ISBN:

Signatur- og systembevis Høringsnotat IT- & Telestyrelsen marts 2008

Indhold > Introduktion 5 er til høringssvar 6 KMD Fejl! Bogmærke er ikke defineret. IBM Fejl! Bogmærke er ikke defineret. IntegrationsministerietFejl! Bogmærke er ikke defineret. Københavns kommunefejl! Bogmærke er ikke defineret. Region Syddanmark Fejl! Bogmærke er ikke defineret. ØKONOMI- OG ERHVERVSMINISTERIETFejl! Bogmærke er ikke defineret. Økonomistyrelsen Fejl! Bogmærke er ikke defineret.

Introduktion > Høringsperioden for Signatur- og systembevis blev afsluttet den 25/1 2008. Den 4/2 2008 var der indkommet 17 høringssvar fordelt således: 16 Offentlige Myndigheder: Integrationsministeriet, Ministeriet for Sundhed og Forebyggelse, Beskæftigelsesministeriet, Undervisningsministeriet, SKAT, Rigsarkivet, Økonomi- og Erhvervsministeriet (2 svar), Forsvarsministeriet, Digital Sundhed, Region Midtjylland, Miljøministeriet, Banedanmark, Datatilsynet, Direktoratet for FødevareErhverv og Domstolsstyrelsen 1 Leverandører til det offentlige: KMD. Signatur- og systembevis arbejdsgruppen har nu færdigbehandlet de indkomne svar til høringen, og giver med dette notat en reaktion på de fremsatte kommentarer og forslag vedr. Signatur- og systembevis vejledningen, der har været sendt i høring fra d 17/12-2007 til den 25/1 2008. Dette notat publiceres på www.itst.dk, hvor Signatur- og systembevis vejledningen ligeledes vil være at finde. Signatur- og systembevis arbejdsgruppen takker for den interesse, der har været for gruppens arbejde, og håber, at alle bidragydere fortsat vil være interesseret i at afgive høringssvar i forbindelse med andre høringer. Følgende myndigheder har meddelt, at de ikke har nogen kommentarer til Signaturog systembevis vejledningen: Integrationsministeriet, Ministeriet for Sundhed og Forebyggelse, Beskæftigelsesministeriet, SKAT, Økonomi- og Erhvervsministeriet (Koncern IT), Miljøministeriet, Domstolsstyrelsen. De resterende bidragsyderes høringssvar kommenteres i næste kapitel. 5

er til høringssvar > Nedenfor gennemgås høringssvarene punkt for punkt sammen med. Høringssvarene er redaktionelt opdelt i enkeltpunkter, dersom den indsendte tekst ikke måtte være det. Endvidere er nedenfor kun medtaget svar, der går på vejledningens indhold, og således ikke generelle støttetilkendegivelser eller mere almene betragtninger. Som konsekvens af høringssvarene er der planlagt en opdatering af vejledningen i en revideret udgave. Undervisningsministeriet Undervisningsministeriet savner i omtalen af systembevis den hybridmodel, der allerede i dag eksisterer mellem 'Model 2: Systembevis' og 'Model 4: Systembevis genereret af tredjepart' fsva. signerede mails. Modellen består i at signaturmodtager har udliciteret signaturvalidering, generering af systembevis, logning mv. til en tredjepart (f.eks. TDC). Tredjepart påstempler eller vedhæfter systembeviset på mailen, der derefter oversendes signaturmodtagers it-system (mail/esdh) i en sikret linje." Det er den måde vi arbejder på i dag og som gerne skulle "blåstemples". UVM ved faktisk ikke om domstolene vil godtage modellen - men det ved ITST heller ikke i og med der er fri bevisførelse i Danmark. Hensigten med vejledningen har været at beskrive en række generelle teknikker og problemstillinger ved håndtering af systembeviser og ikke gå ind i specifikke systemer som f.eks. e-mails og ESDH systemer, herunder opsætning, drift og omkringliggende procedurer. Man vil aldrig undgå systemspecifikke overvejelser, når det skal besluttes, hvorledes man lokalt vil håndtere systembeviser, men da er det håbet, at vejledningen kan bruges som et katalog af løsningsforslag med tilhørende fordele og ulemper, som kan støtte dette arbejde. Som vejledningen nævner, vil det altid være op til en konkret vurdering i den enkelte sag, i hvor høj grad en signatur tillægges bevisværdi under en evt. retssag. Hensigten med de beskrevne teknikker til sikring af bevisværdi har været at vise, hvordan man ud fra en alt-andet-lige betragtning kan opnå en høj bevisværdi. 6

Rigsarkivet / Statens Arkiver I afsnittet Centrale begreber og terminologi er begrebet dokument defineret, og det er meget bredt som en samling af data, og uanset modtagelsesform. Eksempelvis vil nogle anse, at de blot har signeret, at dokumentet er afsendt af dem, men ikke at de dermed har underskrevet samtlige data, der kan omfatte egne erklæringer, andres erklæringer, bilag med mere. Oftest anvendes digital signatur som en del af forsendelsesformen, og adskillelse af forsendelse og de enkelte data er derfor svær. Endvidere kan den pågældende samling af data ofte bestå af, hvad man i en anden sammenhæng vil forstå som flere dokumenter, og terminologien dokument er dermed noget uheldig. Terminologien er anvendt for at opnå en simpel analogi til en papirbaseret signatur, og vi medgiver, at denne analogi ikke til fulde dækker kompleksiteten i den digitale verden. Dette er dog ikke væsentligt for vejledningens pointer. Vejledningen opdateres vedr. definitionen af begrebet dokument, så dette forhold bliver klarere. I afsnittet Modeller til sikring af bevisværdi beskrives model 2 Systembevis, der for en længere årrække stadig må anses at være den bedste model. Det er en central pointe i vejledningen, at den bedste model afhænger af de konkrete forhold. Der kan således være forhold hos Statens Arkiver, der medfører at systembeviser her er den meste velegnede metode, mens det for andre organisationer kan være andre metoder, der er mest hensigtsmæssige. Angående indholdet af et signaturbevis er det på side 15 vedr. FESD godt, at forhold vedr. identifikation af certifikatindehaver og af certifikat er blevet præciseret, men det er ikke godt, at det ikke er angivet, hvad der er obligatorisk indhold, herunder hvorledes certifikatindehaver identificeres (fx brug af pseudonym). Vejledningen anfører på side 14, at det er Subject Serialnumber der entydigt identificerer certifikatindehaveren for OCES certifikater, og at man derfor bør logge dette. Hensigten med vejledningen er desuden at opstille gode råd og ikke obligatoriske krav. Vejledningen angiver således, at man bør medtage mere information end edag2 og FESD angiver, hvilket er udmærket, men man bør huske dette i revision af vejledning 7

i edag2 og nye udgaver af FESD (FESD2). Det er ikke omtalt, at man agter at gøre dette. Det er tanken, at kommende projekter skal basere sig på denne vejledning i overvejelserne vedr. signatur- og systembevis. Der er ikke kendskab til konkrete planer om at opdatere FESD og edag2 vejledningerne. Økonomi- og Erhvervsministeriet Økonomi- og Erhvervsministeriet har modtaget ovenstående høring fra IT- og Telestyrelsen. Økonomi- og Erhvervsministeriet har sendt vejledningen i høring hos Erhvervs- og Selskabsstyrelsen. Erhvervs- og Selskabsstyrelsens Center for Kvalitet i ErhvervsRegulering (CKR) har følgende bemærkninger til den fremsendte høring: Vejledningen beskriver hvordan man som modtager af et signeret dokument kan sikre sig bevisværdien af den digitale signatur. Vejledningen henvender sig IT-kyndige i både til den offentlige og private sektor. Administrative konsekvenser CKR vurdere, at vejledningen kan medvirke til at udbrede anvendelsen af digital signatur i det private erhvervsliv, hvilket på sigt vil indebære en lettelse af virksomhedernes administrative omkostninger. Vejledningen vil ikke direkte have administrative konsekvenser for danske virksomheder. Styrelsen har ingen yderligere bemærkninger. Forsvarsministeriet Forsvarskommandoen skal anbefale, at overskriften for Appendix B ændres til "Verifikation af en OCES signatur", og at det samtidig overvejes at supplere vejledningen med et Appendix, der behandler verifikation i forhold til digital signatur generelt. I en internationaliseret "IKT-infrastruktur" (f.eks. mellem EU- eller NATOlandene) er det vigtigt, at verifikationsmetoderne kan rumme andre digitale signaturer end den, der er baseret på OCES. Overskriften på Appendiks B bliver ændret i den opdaterede udgave, da dette alene går på specialtilfældet OCES. 8

Da vejledningen er møntet på anvendelse af den danske OCES signatur, mener vi det er uden for rammerne at beskrive generel signaturvalidering. I stedet vil den opdaterede vejledning henvise til eksterne dokumenter, der behandler dette. Digital Sundhed Dokumentet behandler kun modtagers muligheder for at bevise, at der er modtaget et dokument fra afsender. Man burde måske nævne sikring af bevis for at noget er udført eller afsendt af en bestemt signerende person eller myndighed. I tilfælde af at en handling skal være udført eller en meddelelse afgivet inden en frist, kan dette være af stor betydning. Dette kan i nogle tilfælde gøres med signerede kvitteringer, men der er mange situationer, hvor dette ikke er muligt eller tilstrækkeligt. F.eks. hvis modtager ikke kan svare inden for kort tid. Vi er enige i, at de nævnte situationer også kan være relevante at afdække. Afgræsningen er således gjort af hensyn til omfanget af arbejdesopgaven med vejledningen, hvilket har medført en prioritering af de emner, der har kunnet behandles. Såfremt Digital Sundhed kender til best practice på dette område, vi vil gerne høre herom, således at dette kan indarbejdes i fremtidige udgaver af vejledningen. Model 1 første afsnit linie 2: "evt." bør muligvis slettes. Det tilhørende certifikat, eller alternativt en entydig reference til certifikatet, der gør det muligt at rekvirere certifikatet fra et passende arkiv, bør vel altid gemmes sammen med signaturen, så signaturen kan reproduceres/reverificeres. Ja! Vejledningen opdateres, så evt. slettes fra den omtalte sætning. Model 1, Ulemper, bullet 1. Det bør måske uddybes at holdbarheden retter sig mod signaturafgiverens mulighed for at påstå, at signaturmodtager har produceret en ny signatur med en beregnet privat nøgle (brud på uafviselighed). Ja, det er årsagen til, at holdbarheden er begrænset. Uddybningen vil blive medtaget i den opdaterede vejledning. Model 1, Ulemper, bullet 3, underbullet 2. At inkludere tidsangivelse i det dokument der signeres er en så væsentlig styrkelse at bevisværdien, at det bør trækkes frem. Det fungerer næsten på niveau med en tidsstemplingsservice, da afsenderen jo skriver under på tidsstemplets korrekthed. Det vil i øvrigt også kunne imødegå 9

sammensværgelses scenariet, der er nævnt overfor. Metoden nævnes også under "Fremtidige modeller",model 5, afsnit 2, som værende effektiv i en række situationer. Vi er enige i, at det er en vigtig metode, men vurderer, at den er angivet tydeligt nok i vejledningen. Model 1, Punkt 1 i listen der starter med "Tidspunkt for verifikation...". Det bør pointeres at tidspunktet skal være i UTC eller alternativt med eksplicit tidszoneangivelse. Dette er en god præcisering, som vi vil medtage i den opdaterede vejledning. Model 2, afsnittet "Indholdet af et signaturbevis". Afsnittet giver tre eksempler på, hvad andre projekter eller vejledninger peger på, at et signaturbevis skal indeholde. Hvis materialet skal være en teknisk vejledning, bør det pege mere præcist på, hvilke elementer der bør indgå, såfremt de er tilgængelige i det pågældende system. Hvordan forholder vejledningen sig præcist til det på edag2 anbefalede? Det anbefales at logge alle de nævnte data (fra tidligere vejledninger) samt de ekstra data, der er præciseret i den nye vejledning. Afsnittet Fremtidige modeller. Disse modeller er teoretisk interessante, men bør ikke være i den endelige vejledning, med mindre der er konkrete vejledninger for disse fremtidige modeller. Undtagelsen er den ovenfor nævnte beskrivelse i Model 5, afsnit 2 om brug af tidsstempler i det dokument, der underskrives. Punktet er vigtigt og har intet med fremtid at gøre. Modellerne vurderes ikke mere fremtidige, end at de kunne komme i spil på relativ kort sigt. Derfor har vi følt, at det var vigtigt, at medtage dem nu samt beskrive deres egenskaber, så de kan medtages i strategiske overvejelser. Hvad angår tidsstempling via tredjeparter er det opfattelsen, at der endnu ikke findes tidsstemplingsservices i Danmark, der opererer med en kryptografisk tidsstempling, som beskrevet i vejledningen. Kapitlet Sikring af logfilers integritet, Tilgængelighed, afsnit 2. Dette bør afvejes mod privacy-hensyn. 10

Dette er korrekt. Hvis loggen rummer personhenførbare eller følsomme data, bør der foretages en nøje afvejning. Dette tydeliggøres i den opdaterede vejledning. Region Midtjylland For at gøre materialet lettere tilgængeligt vil det være en fordel for læseren at have mulighed for at sætte sig ind i hvordan signering af dokumenter fungerer i praksis. Dette kunne fx. gøres via en passende reference (TDC har for nogle år siden lavet en pædagogisk fremstilling af dette). Der vil i den reviderede udgave blive henvist til introducerende dokumenter. Der bliver i vejledningen refereret til elementer som et OCES certifikat indeholder, fx. subject serial number. Det vil være en fordel med præcis reference til hvad OCES certifikatet indholder af dokumentation. Der henvises i vejledningen til OCES certifikatpolitikkerne, så dette er faktisk dækket. Afsnittet Model 1: Kryptografisk Signaturbevis: Der er behov for at uddybe modellen lidt mere evt. ved at vise et eksempel. Hvis man fx. i OpenOffice signerer et dokument digitalt, vil modtageren ved åbning af dette dokument kunne undersøge signeringen indefra OpenOffice, og signeringen vil falde bort hvis dokumentet ændres. Men hvad skal undersøges for at sikre bevis? og hvad skal gemmes? Det er udenfor rammerne af vejledningen at gå i dybden med specifikke produkter som f.eks. OpenOffice. Dette er klart relevant, men der har ikke været afsat ressourcer til dette område i første omgang. Endvidere skal det bemærkes, at vejledningen primært omhandler, hvordan IT systemer bør indrettes og ikke hvad personer evt. kan gøre. Region Midtjylland foreslår, at der i en sætning i samme afsnit ændres til følgende ordlyd: Dette skyldes, at bevisværdien ikke afhænger af signaturmodtagers evne til at godtgøre, at kun autoriseret adgang til bevisdata er mulig. 11

Vi er enige i, at denne omskrivning giver en lettere forståelig sætning, og vil medtage den i den opdaterede udgave af vejledningen. Banedanmark Det er positivt at vejledningen anbefaler at der skal laves en risikoanalyse. Vores forslag vil her være at indarbejde spørgsmål, som bør indgå i denne risikovurdering, som et bilag. Begrundelsen er at det ofte er de samme spørgsmål der skal tages stilling til, og det vil formentlig være et sammendrag af alle de mange (og gode) overvejelser som indgår i de forskellige afsnit. Det vil gøre vejledningen mere operationel og overskuelig. Det er en god pointé, som vi vil overveje i fremtidige udgaver af vejledningen. Der har i det nuværende arbejde ikke været afsat ressourcer til at identificere relevante spørgsmål til en risikoanalyse. For at gøre det nemmere for læseren, vil vi også anbefale at der laves en matrix over fordele/ulemper for de enkelte modeller. Igen en god pointe vi vil overveje i fremtidige udgaver af vejledningen. Vejledningen er fint afgrænset og tager således kun højde for de tekniske elementer. Men når man læser vejledningen får man den klare opfattelse at implementering ikke kun vil involvere en it-afdeling, men i høj grad også virksomhedens dokumenthåndtering, personalejurister, kontraktafdeling og sikkerhedsafdeling. Denne kunne måske indgå som et element i indledningen. Vi vil overveje at udbygge målgruppeafsnittet på side 4 i dokumentet. Datatilsynet Ved e-post af 17. december 2007 har IT- og Telestyrelsen sendt et udkast til ovennævnte vejledning i høring. Idet Datatilsynet forudsætter, at reglerne i persondataloven iagttages, har tilsynet ingen bemærkninger til vejledningen som sådan. 12

Datatilsynet skal gøre opmærksom på, at private virksomheder mv. ifølge persondatalovens 11, stk. 2, kun må behandle oplysninger om personnummer, når: 1) det følger af lov eller bestemmelser fastsat i henhold til lov, 2) den registrerede har givet sit udtrykkelige samtykke hertil eller 3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder mv. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed. Datatilsynet skal i øvrigt for god ordens skyld bemærke, at der kan forekomme situationer, f.eks. i tilfælde af indsigtsbegæringer, hvor signaturmodtagerens indhentelse af personnummer hos et certificeringscenter ikke i sig selv frembyder den fornødne sikkerhed mod misbrug. Hvis personoplysninger, som der f.eks. anmodes om indsigt i, ikke er knyttet til et personnummer hos signaturmodtageren, kan det være nødvendigt supplerende at indhente oplysninger om signaturafgiverens postadresse i CPR-registret, for at sikre sig mod at personoplysninger udleveres til uvedkommende. Vi har ingen bemærkninger hertil. KMD IT&T høringsmaterialet er som teknisk vejledning betragtet - kortfattet og klar. KMD har ingen konkrete rettelser eller ændringsforslag hertil. Eftersom der er tale om en teknisk vejledning, der belyser sagen samt egenskaber ved forskellige metoder, forudsætter en systematisk og koordineret ibrugtagning i branchen, at vejledningen suppleres med konkrete pålæg (med angivelse af tidsplan for, hvornår det skal være overholdt) og anvisninger til hvilke metoder, som skal anvendes i specifikke sagssammenhænge. 13

Det er styrelsens holdning, at det er systemejernes eget ansvar at foretage en lokal risikovurdering og implementere nødvendige sikkerhedstiltag, herunder sikring af signaturers bevisværdi, som en del af det daglige arbejde med IT sikkerhed. Det forekommer således ikke hensigtsmæssigt at opstille konkrete påbud om konkrete metoder og mekanismer fra centralt hold, da de lokale forhold og risikovurderinger vil variere betragteligt. 14

< Overskrift Bagside kursiv tekst Bagside brødtekst

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback