Lovguiden Logo

Command Palette

Search for a command to run...

Alvorlig kritik af Digitaliseringsstyrelsen for utilstrækkelig sikkerhed ved MitID

Dato

23. juni 2023

Eksterne links

Læs hele sagen

Kategorier

AfgørelseOffentlige myndighederAlvorlig kritikAnmeldt brud på persondatasikkerhedenTilsyn / egendriftssagBehandlingssikkerhedUautoriseret adgangRisikovurdering og konsekvensanalyse

Lovreferencer

Databeskyttelsesloven § 5, stk. 1Forvaltningsloven § 9a

I januar 2022 oplevede flere borgere, at de ved login til deres netbank via MitID fik adgang til andre borgeres konti. Tre pengeinstitutter anmeldte dette som et brud på persondatasikkerheden til Datatilsynet, hvorefter tilsynet iværksatte en undersøgelse af egen drift.

Fejlens årsag

Det viste sig, at fejlen opstod, fordi login-anmodninger til samme netbank inden for millisekunder i visse tilfælde kunne resultere i, at MitID udstedte et token til en anden session. Denne fejl kunne være undgået, hvis brokeren (Signaturgruppen) havde valideret borgernes login med Broker Security Context. Digitaliseringsstyrelsen, som er dataansvarlig for MitID, havde anbefalet dette, men ikke gjort det obligatorisk.

Datatilsynets vurdering

Datatilsynet vurderer, at det burde have været et krav, og konkluderer, at Digitaliseringsstyrelsen ikke havde tilstrækkelige sikkerhedsforanstaltninger svarende til risiciene for borgerne. Tilsynet mener også, at Signaturgruppen som dataansvarlig for brokerløsningen ikke havde passende sikkerhedsforanstaltninger, da de anvendte Broker Security Context anderledes end anbefalet.

Parternes ansvar

  • Digitaliseringsstyrelsen er dataansvarlig for behandlingen af personoplysninger i MitID.
  • Brokerne har den tekniske opkobling til MitID-løsningen.
  • Tjenesteudbyderne (bankerne) er selvstændigt dataansvarlige, når de modtager autentifikationssvaret fra deres broker.

Afgørelse

Datatilsynet udtaler alvorlig kritik af Digitaliseringsstyrelsen for manglende overholdelse af Databeskyttelsesforordningens artikel 32, stk. 1, som omhandler passende tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau.

Begrundelse

  • Digitaliseringsstyrelsen havde ikke gjort brugen af Broker Security Context obligatorisk for brokerne før den 10. januar 2022.
  • Datatilsynet vurderer, at der er en betydelig risiko for de registreredes rettigheder, når MitID benyttes som autentifikationsservice til et stort antal personoplysninger.
  • Overtrædelsen har medført utilsigtet adgang til personoplysninger om økonomiske forhold, hvilket indebærer en ikke ubetydelig risiko for de registreredes rettigheder og frihedsrettigheder.
  • Digitaliseringsstyrelsen efter hændelsen har gjort de sikkerhedsforanstaltninger i Broker Security Context obligatoriske for alle brokerne.

Lignende afgørelser