Vedrørende elektronisk borgerservice til Københavns Kommune
Brevdato: 07.09.00
Journalnummer: 2000-082-0006
På vegne af Københavns Kommune og Cap Gemini, har Cap Gemini i brev af 14. juli 2000 fremsendt en række spørgsmål til Datatilsynet, som er formuleret på baggrund af drøftelser på et møde den 5. juli 2000 hvori deltog repræsentanter for Forskningsministeriet, Københavns Kommune, Cap Gemini og Datatilsynet.
- “Er det tilstrækkeligt at borgeren identificerer sig med ID og adgangskode (fx udsendt sammen med Skatteoplysninger) for at kunne læse/modtage fortrolige oplysninger fra Kommunens webserver?”
Datatilsynet finder, at den anførte identifikationsmetode normalt vil være tilstrækkelig.
- “Er det tilstrækkeligt at borgeren identificerer sig med ID og adgangskode (fx udsendt sammen med Skatteoplysninger) for at kunne læse/modtage følsomme oplysninger fra Kommunens web-server?”
Datatilsynet vil ikke afvise, at den anførte identifikationsmetode vil kunne være tilstrækkelig. Tilsynet anbefaler dog at øge sikkerheden gennem anvendelse af certifikat/digital signatur.
- “Stiller persondataloven mv. nogen krav til indsendelse af fortrolige person-data fra en borgers pc til web-serveren udover kryptering af data. Skal borgeren fx identificere sig således at meddelelsesautenticitet opnås?Hvis ja, er identifikation med Id og adgangskode tilstrækkelig.”
Datatilsynet finder, at borgeren skal identificere sig, og at ID og adgangskode i denne situation normalt vil være tilstrækkelig. Tilsynet anbefaler dog at øge sikkerheden gennem anvendelse af certifikat/digital signatur.
- “Stiller persondataloven mv. nogen krav til indsendelse af følsomme person-data fra en borgers pc til web-serveren udover kryptering af data. Skal borgeren fx identificere sig således at meddelelsesautenticitet opnås? Hvis ja, er identifikation med Id og adgangskode tilstrækkelig.”
Datatilsynet finder, at borgeren skal identificere sig, og at der i denne situation bør anvendes certifikat/digital signatur.
- “Kan CPR-nr. bruges som brugernavn eller skal det være et ID uden indholdsmæssig betydning? Det kan nævnes at der i løsningen er lagt op til at CPR-nr. optræder på samtlige websider med fortrolige eller følsomme data.”
Datatilsynet accepterer anvendelse af CPR-nr. som brugernavn, men CPR- nr. må ikke transmitteres ukrypteret over det åbne Internet.
- “Den almindelige arbejdsgang for borgeren er at denne henter en webside delvist udfyldt med personoplysninger, supplerer med yderligere oplysninger og sender siden tilbage til kommunens webserver. Denne procedure gentages eventuelt for en anden ydelse.”
Som det fremgår af de foregående svar, skal der samlet set skal være den fornødne sikkerhed for at personoplysninger ikke kommer uvedkommende i hænde, og at personoplysninger ikke forringes eller tilintetgøres.
Den første betingelse findes opfyldt ved at sikre, at oplysninger transmitteres i forsvarligt krypteret form.
Den anden betingelse findes opfyldt ved som minimum at anvende brugerid og adgangskode ved indsendelse af fortrolige oplysninger og anvendelse af certifikat/signatur ved indsendelse af følsomme oplysninger.
Endelig forespørger Cap Gemini og Københavns Kommune om rækkevidden af en identifikation i forbindelse med logon under hensyntagen til at borgeren kan tænkes at gøre brug af borgerservice fra egen pc, andres pc eller en offentlig tilgængelig pc.
Datatilsynet kan godkende en brugervenlig løsning, som baseres på, at en identifikation via logon eller certifikat er gyldig i en hel session og dermed først ophæves ved timeout eller ved nedlukning af browseren.
Det er dog en forudsætning, at brugeren i alle relevante skærmbilleder tydeligt gøres opmærksom på, hvorledes han sikkerhedsmæssigt forsvarligt skal logge af systemet.