Journalnummer: 2020-432-0049
Resume
Datatilsynet undersøgte i en sag af egen drift politiets selvbetjeningsløsning til ansøgning om våbentilladelser.
Det kunne konstateres, at den daværende ASP-løsning alene understøttede TLS version 1.0. Rigspolitiet anførte, at denne version var den højeste, som den pågældende løsning understøttede, og at der blev arbejdet på at udskifte den.
Datatilsynets har den opfattelse, at formularer og webløsninger til håndtering af personoplysninger stiller krav til sikkerheden, særligt at man som dataansvarlig sikrer, at personoplysninger ikke kommer til uvedkommendes kendskab. Oplysninger af beskyttelsesværdig karakter, herunder oplysninger om personnummer, skal derfor sikres på en måde, hvor indholdet ikke kan tilgås af uvedkommende.
Dette kan ske ved kryptering på transportlaget (TLS) i version 1.2 eller derover. Det er endvidere Datatilsynets opfattelse, at TLS version 1.0 og 1.1 indeholder kendte sårbarheder, der ikke sikrer den fornødne fortrolighed og integritet af de oplysninger, der udveksles.
Afgørelsen skal ses som en generel påmindelse om, at det ikke er udtryk for passende sikkerhed, såfremt de teknologier, der benyttes til at sikre fortrolighed og integritet (i dette tilfælde TLS), indeholder kendte svagheder, og hvor der på markedet findes let tilgængelige sikre standarder. Herudover er det tilsynets opfattelse, at understøttelsen af de pågældende udfasede versioner af TLS skal slås fra i både mail- og webløsninger.
Afgørelse
Datatilsynet vender hermed tilbage i sagen, som tilsynet indledte af egen drift efter at være blevet bekendt med, at man ved tilgang til hjemmesiden www.digimeld.politi.dk/vaaben/HTML/index.aspx?type=p70401, hvor man kan søge om våbentilladelse, bliver advaret om, at siden anvender svag kryptering, og at uvedkommende som følge heraf har mulighed for at tilgå de oplysninger, der indtastes. Man skal i forbindelse med ansøgningen bl.a. indtaste sit personnummer.
Ved brev af 4. november 2020 anmodede Datatilsynet Rigspolitiet om en udtalelse i sagen, hvorefter Rigspolitiet den 26. november 2020 fremkom med en udtalelse.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet grundlag for at udtale kritik af, at Rigspolitiets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Rigspolitiets udtalelse
Rigspolitiet har oplyst, at våbenansøgningssystemet på politiets hjemmeside består af henholdsvis en webansøgningsformular og en mailafsendelsesfunktion. I forbindelse med indtastning af personoplysninger i ansøgningsformularen er forbindelsen mellem politiets server og ansøgerens browser beskyttet med TLS 1.0-kryptering, indtil indtastningen afsluttes. Når indtastningen af oplysninger i ansøgningsformularen er afsluttet, bliver oplysningerne sendt via mailafsendelsesfunktionen til en e-mailadresse hos Politiets Administrative Center (PAC), der behandler selve ansøgningen om våbentilladelse. Når afsendelsen er afsluttet, vil formularen lukke ned, hvorefter alle indtastede oplysninger samt eventuelt vedhæftede filer slettes fra politiets server og våbenansøgningssystemet. E-mails fra selvbetjeningsløsningen sendes via en VPN-løsning, der anvender en AES256 bit kryptering.
Rigspolitiet har videre oplyst, at der anvendes TLS version 1.0 kryptering i webansøgningsformularen på hjemmesiden for ansøgning om våbentilladelse, mens der anvendes end-to-end kryptering i mailafsendelsesfunktionen. Årsagen til, at der anvendes TLS 1.0-kryptering i webansøgningsformularen er, at TLS 1.0 er det højeste krypteringsniveau, der kan køres på den eksisterende løsning. Rigspolitiet er imidlertid bekendt med Datatilsynets anbefaling om anvendelse af TLS 1.2 eller nyere ved kryptering på transpostlaget. Rigspolitiet er bl.a. derfor i gang med at implementere en ny ansøgningsløsning for våbentilladelser, hvor der anvendes en stærkere kryptering, således at våbenansøgningssystemet bliver endnu mere sikkert.
Rigspolitiet har afslutningsvis oplyst, at Rigspolitiet har iværksat udviklingen af et nyt våbenansøgningssystem, der baseres på Erhvervsstyrelsens blanketmotor, som benytter den på implementeringstidspunktets gældende TLS version, hvilket forventes at være TLS 1.3. Rigspolitiet forventer, at den nye ansøgningsløsning er idriftsat i første kvartal 2021.
3. Begrundelse for Datatilsynets afgørelse
Det fremgår af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risiciene for fysiske personers rettigheder og frihedsrettigheder.
Det er Datatilsynets opfattelse, at håndtering af beskyttelsesværdige personoplysninger stiller større krav til sikkerhed, herunder at man som dataansvarlig sikrer, at personoplysninger ikke kommer til uvedkommendes kendskab. Oplysninger af beskyttelsesværdig karakter, herunder oplysninger om personnummer, skal derfor sikres på en måde, hvor indholdet ikke kan tilgås af uvedkommende. Dette kan sikres ved kryptering på transportlaget (TLS) i version 1.2 eller derover. Det er endvidere Datatilsynets opfattelse, at TLS version 1.0 indeholder kendte sårbarheder, der ikke sikrer den fornødne fortrolighed og integritet af de oplysninger, der udveksles.
Datatilsynet finder på baggrund heraf, at Rigspolitiet – ved at anvende TLS version 1.0 kryptering i webansøgningsformularen på hjemmesiden for ansøgning om våbentilladelse – ikke har haft passende tekniske foranstaltninger for at sikre et passende sikkerhedsniveau, jf. databeskyttelsesforordningens artikel 32, stk. 1.
På baggrund heraf finder Datatilsynet, at der er grundlag for at udtale kritik af, at Rigspolitiets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har noteret sig, at Rigspolitiet har ændret løsningen for ansøgning om våbentilladelse, og at Rigspolitiet nu anvender et nyt våbentilladelsessystem, der baseres på Erhvervsstyrelsens blanketmotor.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).