Journalnummer: 2021-431-0138
Resume
Datatilsynet blev i marts 2021 gjort bekendt med, at det var muligt at tilgå en andens brugers profil ved login på e-Boks Express.
Datatilsynet startede derfor i april 2021 en sag af egendrift over for e-Boks.
E-boks Express er en selvbetjeningsportal, hvor virksomheder kan sende beskeder og dokumenter.
En fejl i Nets' opsætning af brugervalideringen af NemID medførte, at når en bruger tilgik e-Boks Express ved at logge på med NemID Erhverv/NemID medarbejdersignatur med nøglekort, kunne der blive etableret adgang til andre virksomheders oplysninger og oplysninger om sendte dokumenter i e-Boks Express.
E-Boks gjorde gældende, at NemID anvendes i e-Boks Express for at sikre, at kun de personer, der er autoriseret af afsendervirksomheden har adgang til e-Boks Express.
Datatilsynet udtalte kritik af, at e-Boks ikke havde levet op til kravet om passende sikkerhedsforanstaltninger, fordi e-Boks ikke havde testet alle relevante brugsscenarier ved login i e-Boks Express.
Datatilsynet udtalte i den forbindelse, at et login bruges til at identificere brugeren, som anvender it-løsningen – i dette tilfælde e-Boks Express.
Efter login skal de rettigheder, en bruger får afledt, sikre, at adgangen til data er netop det, denne bruger må have adgang til. E-Boks burde således have opdaget ved test, at e-Boks Express gav adgang til andre brugeres data, selv om brugeridentificeringen fejlede.
Afgørelsen illustrerer bl.a., at login – uanset at det er med NemID – ikke beskytter data, hvis rettighederne, brugeren får efter login, ikke er korrekte.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at e-Boks’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens0F[1] artikel 32, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af henvendelsen af 22. marts 2021 fra en bruger af e-Boks Express, at da han den 22. marts 2021 skulle logge på e-Boks Express, kom han i stedet direkte ind på en anden brugers profil. Brugeren har den 9. april 2021 oplyst over for Datatilsynet, at det samme skete den 9. april 2021, da han trykkede på ”Login på e-Boks Express”.
Brugen kontaktede telefonisk den 22. marts 2021 e-Boks Express om problemet.
Det fremgår endvidere af henvendelsen, at det umiddelbart så ud til, at brugeren kunne sende beskeder til e-Boks fra andre brugeres profiler.
2.1. E-boks’ bemærkninger
Indledningsvist har e-Boks oplyst, at e-Boks Express er en ny online selvbetjeningsportal, hvor små og mellemstore virksomheder kan tilmelde sig som afsendere og sende beskeder/dokumenter sikkert til e-Boks’ slutbrugeres digitale postkasse. Det er ikke muligt for afsendervirksomheden at modtage beskeder/dokumenter i e-Boks Express. En afsendervirksomhed har alene mulighed for at sende beskeder/dokumenter samt efterfølgende se den selvvalgte titel på afsendte beskeder/dokumenter og tidspunktet for afsendelse.
E-Boks har gjort gældende, at NemID Erhverv/NemID medarbejdersignatur anvendes i e-Boks Express for at sikre, at kun de personer, der er autoriseret af afsendervirksomheden, har adgang til e-Boks Express.
E-Boks har oplyst, at det utilsigtet har været muligt for den person, der har henvendt sig til Datatilsynet, at tilgå en anden afsendervirksomheds virksomhedsoplysninger, dvs. navnet på virksomheden, navnet på kontaktpersonen, virksomhedens adresse og cvr nr. Desuden har det været muligt at tilgå overskriften og datoen på et afsendt dokument. I den forbindelse har e-Boks oplyst, at det ikke har været muligt for afsendervirksomheden at tilgå oplysninger om modtageren af dokumentet, ligesom det ikke har været muligt at tilgå indholdet af den afsendte besked.
Herudover har e-Boks oplyst, at afsendervirksomheder alene kan få adgang til e-Boks Express via NemID Erhverv/NemID medarbejdersignatur, dvs. med nøglefil, nøglekort eller nøgleapp. At det var muligt for den nævnte afsendervirksomhed at tilgå en anden bruger konto, skyldtes en fejl i Nets Danmark A/S’ (herefter Nets) opsætning af brugervalideringen af NemID Erhverv/NemID medarbejdersignatur. Fejlen relaterede sig alene til brug af nøglekort. E-Boks har oplyst, at e-Boks har været i dialog med Nets, som har bekræftet, at fejlen i opsætningen er blevet rettet.
Endelig har e-Boks oplyst, at e-Boks har kørt test på fejlrettelsen, og dermed verificeret at fejlen er rettet, således at lignende hændelser ikke kan opstå.
2.2. Nets’ bemærkninger
Indledningsvist har Nets oplyst, at E-Ident er en brokerløsning, der benyttes til at identificere personer og virksomheder.
Nets har oplyst, at fejlen kun omfattede personer, der benyttede NemID nøglekort tilknyttet virksomheder, og som samtidig benyttede e-Boks Express. Det var således ikke en generel NemID fejl og berørte et mindre antal brugere, der anvendte e-Boks Express i den periode.
Hertil har NemID oplyst, at i E-Ident registreres det i logs, hvor mange der er logget på e-Boks Express med nøglekort. Antal logins med nøglekort var 227 i marts 2021 og 28 i april 2021. Det er en andel af disse, som potentielt har haft mulighed for at kunne udnytte fejlen.
Nets har anført, at virksomheden ikke kan komme antallet nærmere end, at 304 personer potentielt kunne have udnyttet fejlen, da Nets ikke kan skelne mellem om en person har logget sig på e-Boks Express med NemID nøglekort som medarbejder eller som privat person. Fejlen berørte kun personer med NemID nøglekort som loggede sig på som medarbejder, hvilket er et ukendt andel af de 304 påloggede personer.
Nets har endvidere oplyst, at fejlen lå i et såkaldt ”sub”-felt, som indeholder navn på ID type – i dette tilfælde NemID med nøglekort – og de unikke CVR- og RID værdier, hvor RID nummeret angiver en medarbejders unikke identifikation. For NemID nøglekort fejlede læsningen af CVR og RID numrene fra brugerens NemID i relation til e-Boks Express, og værdien blev derfor sat til nul, for de personer, der i perioden for hændelsen benyttede et fysisk NemID nøglekort tilknyttet en virksomhed, og som i samme periode benyttede e-Boks Express.
Det fremgår af Nets udtalelse, at fejlrettelsen bestod i, at koden blev opdateret, således at læsning af CVR- og RID-værdier fungerede korrekt, og disse værdier kunne skrives korrekt ind i ”sub”-feltet i forhold til e-Boks Express.
Om varigheden af sikkerhedsbruddet har Nets oplyst, at fejlen opstod første gang den 4. marts 2021, hvor e-Boks som dataansvarlig rettede henvendelse til Nets. Nets var herefter i løbende dialog med e-Boks om første fejlidentifikation og senere, hvordan fejlen kunne rettes. Fejlen var rettet i produktionen hos Nets den 27. april 2021.
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af det til sagen oplyste til grund, at en fejl i Nets opsætning af brugervalideringen af NemID medførte, at når en bruger tilgik e-Boks Express ved at logge på med NemID Erhverv/NemID medarbejdersignatur med nøglekort, kunne der blive etableret adgang til andre afsendervirksomheders virksomhedsoplysninger og titlen på afsendte dokumenter og tidspunktet for afsendelse.
Datatilsynet lægger på den baggrund til grund, at der er sket en uautoriseret adgang til personoplysninger, hvorfor tilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at ændringer til eksisterende it-løsninger og udvikling af nye løsninger kun bør ske med behørigt fokus på behandlingssikkerhed – både i forbindelse med udvikling og test af løsningen.
Datatilsynet finder på ovenstående baggrund, at E-Boks – ved at ikke at have foretaget test af alle relevante brugsscenarier ved login i E-Boks Express med NemID Erhverv/NemID medarbejdersignatur med nøglekort – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved E-Boks’ behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har herved lagt vægt på, at E-Boks ses at have baseret sikkerheden på, at der var etableret login med NemID, selvom det ikke beskyttede mod uautoriseret adgang til data. Særligt har tilsynet tillagt det vægt, at testning også skal afdække de mulige fejlscenarier i, den valgte log-on komponent, i det konkrete tilfælde, de muligheder der var for at have forskellige implementeringer af NemID hos brugerne.
Datatilsynet bemærker i den forbindelse, at et login bruges til at identificere brugeren, som anvender it-løsningen. Efter login skal de rettigheder en bruger får afledt sikre, at adgangen til data er netop det denne bruger må have adgang til. E-Boks burde således have opdaget ved test, at e-Boks Express gav adgang til andres brugeres data, selv om brugeridentificeringen fejlede.
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at E-Boks’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.
Datatilsynet har ved valg af reaktion i formidlende retning lagt vægt på, at bruddet ikke gav mulighed for at se andre oplysninger end kontaktperson, virksomhedsnavn, den selvvalgte titel på afsendte beskeder og dokumenter og tidspunktet for afsendelse.
Herudover har Datatilsynet lagt vægt på, at udnyttelse af fejlen kun kunne ske efter login med NemID Erhverv/NemID medarbejdersignatur med nøglekort, som – om end det ikke kunne forhindre muligheden for misbrug – dog ville give brugerne indtryk af, at de måske kunne blive afsløret, hvis de udnyttede sårbarheden, og at dette muligvis kunne afholde dem fra at gøre det. Hertil var det også kun kunder, som benyttede e-Boks Express, der kunne udnytte fejlen, hvilket begrænsede antallet af personer, der kunne opdage og misbruge den.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).