Journalnummer: 2022-442-16688
Resume
I september 2022 traf Datatilsynet afgørelse om alvorlig kritik af Digitaliseringsstyrelsen, efter at tilsynet havde modtaget en række anmeldelser om sikkerhedsbrud vedrørende MitID-appen. Flere brugere havde oplevet at få adgang til andre brugeres selvbetjeningsside på mitid.dk ved login med swipe-funktionen i appen. MitID-app-løsningen var nemlig designet og indrettet sådan, at det var muligt for brugere at godkende transaktioner i deres MitID-apps, som de ikke selv havde igangsat. På den måde kunne en bruger godkende en anmodning om login på en tjeneste på vegne af en anden bruger, og dermed uden at vide det logge denne ind på den pågældende tjeneste.
Digitaliseringsstyrelsen fik påbud om at foretage de nødvendige ændringer i MitID-appen, sådan at risikoen for, at en bruger ved brug af MitID-appen kunne komme til at godkende en transaktion, som vedkommende ikke selv havde igangsat, reduceredes til et niveau, der afspejler risikoen for det pågældende risikoscenarie.
Hvorfor alvorlig kritik og påbud?
Ved valg af reaktion lagde Datatilsynet blandt andet vægt på, at MitID-appen er en landsdækkende løsning, som Digitaliseringsstyrelsen stiller til rådighed som login-løsning for MitID, som er den danske nationale elektroniske identifikationsordning fastsat ved lov, og stilles til rådighed for som udgangspunkt alle danske statsborgere med flere til brug for at få adgang til en række digitale kerneydelser, for eksempel digital post fra det offentlige, netbank, mv. Brugerne må derfor efter tilsynets opfattelse med rette kunne forvente, at appen lever op til databeskyttelsesreglerne, herunder om passende sikkerhed og privacy by design med henblik på at sikre overholdelsen af det grundlæggende princip om fortrolighed og integritet.
Påbuddets efterlevelse
Digitaliseringsstyrelsen fik efter anmodning fra Digitaliseringsstyrelsen frist til den 30. juni 2023 til at efterleve påbuddet. Det er Datatilsynets vurdering, at påbuddet nu er efterlevet, idet Digitaliseringsstyrelsen har implementeret kanalsammenbinding ved login på tjenester med MitID-appen, hvormed brugeren nu med sin telefon skal scanne en QR-kode på den enhed, vedkommende er ved at logge ind på for at verificere, at det er den pågældende bruger, der er ved at logge ind.
Afgørelse (9. september 2022)
Datatilsynet vender hermed tilbage til sagen, hvor Digitaliseringsstyrelsen den 31. januar 2022 har anmeldt et brud på persondatasikkerheden til Datatilsynet. Anmeldelsen har følgende referencenummer:
58b8a81d0d4ff9d3bf77ae6c701f2f0db07a3653.
Digitaliseringsstyrelsen har yderligere den 11. februar 2022 og den 16. maj 2022 anmeldt brud på persondatasikkerheden til Datatilsynet. Disse har referencenumrene:
0b705be1cfc9bf8163aded0bad331371175f9e69
975c2c356a455c6faf71c523c0aadece302112b4
Alle tre anmeldte sikkerhedsbrud vedrører login ved swipe i MitID-appen, som Digitaliseringsstyrelsen er dataansvarlig for. Sagerne behandles derfor samlet og er alle tre indeholdt i denne afgørelse.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Digitaliseringsstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 25, stk. 1 og artikel 32, stk. 1.
Samtidig finder Datatilsynet grundlag for at meddele Digitaliseringsstyrelsen påbud om at foretage de nødvendige ændringer i MitID-appen, sådan at fejlen ikke længere kan opstå, det vil sige sådan at det ikke fremover er muligt for en bruger ved brug af MitID-appen at godkende en transaktion, som vedkommende ikke selv har igangsat med det udfald, at en anden og uvedkommende bruger får adgang til dennes selvbetjeningsside på mitid.dk.
Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Fristen for efterlevelse af påbuddet er den 31. oktober 2022. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens[2] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Digitaliseringsstyrelsen skal inden samme dato orientere Datatilsynet om, hvilke foranstaltninger Digitaliseringsstyrelsen foretager i anledning af påbuddet.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Digitaliseringsstyrelsen har den 31. januar, 11. februar og den 16. maj 2022 anmeldt brud på persondatasikkerheden til Datatilsynet, som alle omhandler sikkerhedsbrud vedrørende login ved swipe i MitID-appen, som Digitaliseringsstyrelsen er dataansvarlig for.
Det fremgår af anmeldelserne af 31. januar 2022 og 11. februar 2022, at brugere i to tilfælde havde oplevet at få adgang til en anden brugers MitID-data i selvbetjeningen på mitid.dk. Det fremgår videre, at hændelserne skete idet bruger(1) forsøgte at logge på sin bank, men vedkommende kom til at taste et forkert bruger-ID, som var ejet af bruger(2), og bruger(1) forsøgte login med dette bruger-ID to gange, hvilket førte til, at systemet lavede en annullering af en session, da der ikke kan være to åbne anmodninger. Bruger(2) fik notifikation på SMS om, at der var to parallelle anmodninger, og de blev annulleret, hvilket førte til, at bruger(2) åbnede sin MitID-app. Bruger(1) forsøgte herefter igen at logge ind på mitid.dk med bruger(2)’s bruger-ID, hvorefter bruger(2) fik anmodning i sin MitID-app om godkendelse af login på mitid.dk og bruger(2) godkendte transaktionen ved swipe uagtet, at bruger(2) ikke selv var ved at logge ind på mitid.dk. Bruger(1) var herefter autentificeret og blev logget ind på bruger(2)’s selvbetjening på mitid.dk. I det ene tilfælde var bruger(2) i forvejen oprettet som bruger på den samme tjeneste, som bruger(1) på tidspunktet forsøgte at logge ind på.
Det fremgår af anmeldelsen af 16. maj 2022, at en bruger oplevede at få adgang til en anden brugers oplysninger i selvbetjeningen på mitid.dk, idet bruger(1) tastede bruger(2)’s bruger-ID, som på tidspunktet allerede havde sin MitID-app åben, selvom vedkommende (bruger(2)) ikke selv var ved at logge ind med sit MitID. Bruger(2) godkendte anmodningen ved swipe i sin MitID-app og loggende på den måde bruger(1) ind på bruger(2)’s selvbetjeningsside på mitid.dk.
Digitaliseringsstyrelsen har den 10. marts 2022 og den 30. maj 2022 fremsendt yderligere oplysninger til sagen.
Det fremgår af sagens oplysninger, at hændelserne indtraf henholdsvis den 1. januar, 24. januar og den 10. maj 2022.
På selvbetjeningssiden på mitid.dk fremgår personoplysninger om navn, adresse, telefonnummer, e-mailadresse, sprog, MitID-referencenummer (UUID-nummer) samt personnummer. Det er også muligt på selvbetjeningssiden at ændre brugerID for den bruger, der er logget ind.
Digitaliseringsstyrelsen har til sagen oplyst, at Digitaliseringsstyrelsen har udarbejdet en risikovurdering, men at risikoen for den specifikke hændelse ikke er vurderet. Digitaliseringsstyrelsen har oplyst, at styrelsen efter de første to hændelser har instrueret Nets, som er databehandler for løsningen, i, at der i forbindelse med de løbende sårbarheds- og risikovurderingsvurderinger skal være særlig opmærksomhed på denne type risici.
Det fremgår videre af sagen, at brugerne i selvbetjeningen på mitid.dk kan vælge, hvilke typer af notifikationer, som brugeren ønsker at modtage, hvornår de modtages gennem hvilke kanaler med videre, og at brugeren skal tage stilling til dette ved oprettelse af MitID. Visse typer af sikkerhedsnotifikationer kan brugerne dog ikke selv slå fra, og annullering af notifikationen om parallelle anmodninger var en af disse. Denne blev slået fra den 28. januar 2022.
Digitaliseringsstyrelsen har den 10. marts 2022 oplyst, at styrelsen har vurderet, at de konkrete hændelser og relaterede anvendelsesmønstre var mitigeret ved at fjerne notifikation ved annullering af parallelle anmodninger.
Digitaliseringsstyrelsen har den 30. maj 2022 oplyst, at Digitaliseringsstyrelsen som led i den fortsatte udvikling af MitID-løsningen og behovet for at finde en fornuftig balance mellem sikkerhed og brugervenlighed, i samarbejde med leverandøren arbejder på en række tiltag, der yderligere kan mitigere på de konkrete hændelser. Digitaliseringsstyrelsen har oplyst, at blandt de identificerede tiltag er det besluttet at implementere såkaldt ’kanalsammenbinding’ i forbindelse med brugen af MitID-appen, hvor slutbrugere skal skanne en QR-kode med deres MitID-app for at kunne godkende en MitID-transaktion, som de ikke selv har igangsat.
Af den af Digitaliseringsstyrelsen fremsendte ’MitID Risk and Vulnerability Assessment – MitID App’ fremgår det som en mitigerende foranstaltning i forhold risikoen for for eksempel spoofing er iværksat, at der ved igangværende login med MitID i appen fremgår en kort transaktionstekst, som beskriver hvilken tjeneste/til hvilket formål, man er ved at logge ind. Det fremgår konkret, at:
“A social engineer will have to convince the user to authenticate on his/her behalf, since there is no authenticator output to give to the attacker for the MitID Code App. Furthermore, a transaction text, describing e.g. where the user is logging in will also be used. Service providers will be instructed to make this text as informative as possible, such that it may be discovered what the attacker is actually doing, enabling the user to have a better possibility of discovering the an attacker is trying to trick them in to doing something that they do not want to do.”
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af det af Digitaliseringsstyrelsen oplyste til grund, at i hvert fald tre brugere har oplevet at få adgang til en anden og for dem uvedkommende brugers selvbetjeningsside på mitid.dk, som de ikke skulle have haft, idet det, som MitID-app-løsningen var designet og indrettet på tidspunkterne for sikkerhedsbruddene, var muligt for brugere at godkende transaktioner i deres MitID-apps, som de ikke selv havde igangsat.
Datatilsynet lægger videre til grund, at fejlen i to af tilfældene kunne ske, bl.a. idet login-løsningen var sat op til at brugere modtog SMS-notifikationer ved parallelle anmodninger i MitID-appen, sådan at brugerne blev foranlediget til at tilgå deres MitID-app, hvor brugerne blev mødt af en anmodning om at logge ind ved swipe.
Tilsynet lægger yderligere til grund, at det på trods af, at Digitaliseringsstyrelsen besluttede at slå SMS-notifikation om annullering af parallelle anmodninger fra, og at Digitaliseringsstyrelsen vurderede, at de konkrete hændelser og relaterede anvendelsesmønstre var mitigeret herved, fortsat har været muligt for i hvert fald én bruger at godkende en transaktion i sin MitID-app, som vedkommende ikke selv havde igangsat, og dermed logge en anden og uvedkommende bruger ind på sin selvbetjeningsside på mitid.dk.
3.1. Databeskyttelsesforordningens artikel 25
Det følger af databeskyttelsesforordningens artikel 25, stk. 1, at den dataansvarlige – både på tidspunktet for fastlæggelse af midlerne til behandlingen og på tidspunktet for selve behandlingen – skal træffe passende tekniske og organisatoriske foranstaltninger, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.
Det er Datatilsynets opfattelse, at Digitaliseringsstyrelsen ved implementeringen og indretningen af login-løsningen ved swipe i MitID-appen, ikke har truffet passende tekniske og organisatoriske foranstaltninger gennem design med henblik på at opfylde kravene i databeskyttelsesforordningen.
Datatilsynet har særligt lagt vægt på, at der for udviklingen af login-løsninger, der skaber adgang til personoplysninger, herunder fortrolige personoplysninger, ikke kan siges at afspejle det aktuelle tekniske niveau, såfremt det er muligt for uvedkommende brugere ved indtastning af en anden brugers bruger-ID i løsningen kan lade sig gøre at få adgang til denne brugers brugerkonto, herunder ved at det teknisk er muligt for brugere at godkende transaktioner, som de ikke selv har igangsat.
Ved, allerede på tidspunktet for behandlingens tilrettelæggelse, at have forsømt dette, og ved at tillade brugere at godkende transaktioner, de ikke selv har igangsat, og idet det burde være imødegået ved designet af løsningen for at sikre overholdelsen af det grundlæggende princip i artikel 5, stk. 1, litra f, om integritet og fortrolighed, finder Datatilsynet, at Digitaliseringsstyrelsen ikke har iagttaget artikel 25, stk. 1. Det er Datatilsynets opfattelse, at en løsning, som ved indtastning af alene et bruger-ID giver adgang til login ved swipe på vegne af en anden bruger, som herefter får adgang til personoplysninger om denne bruger af bl.a. fortrolig karakter, ikke er udtryk for, at der for løsningen er gennemført passende tekniske og organisatoriske foranstaltninger designet med henblik på effektiv implementering af databeskyttelsesprincippet om integritet og fortrolighed. Efter princippet om integritet og fortrolig skal personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.
3.2. Databeskyttelsesforordningens artikel 32
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Det er Datatilsynets opfattelse, at kravet i artikel 32 om passende sikkerhed normalt vil indebære, at der i systemer med et stort antal oplysninger om et stort antal brugere, skal stilles højere krav til den dataansvarliges omhyggelighed ved sikring af, at der ikke sker uautoriseret adgang til personoplysninger. Det er i forlængelse heraf Datatilsynets opfattelse, at kravet i artikel 32 normalt indebærer, at man som dataansvarlig udarbejder en risikovurdering af den behandling af personoplysninger, som man foretager eller står over for at skulle foretage, og at denne tager højde for alle tænkelige risikoscenarier ved løsningen.
Datatilsynet finder på ovenstående baggrund, at Digitaliseringsstyrelsen – ved ikke forud for hændelserne at have udarbejdet en risikovurdering af behandlingen af personoplysninger i løsningen, som tog højde for den use case, at brugere ved indtastning af en anden brugers bruger-ID i MitID-appen ved swipe kan godkende transaktioner, de ikke selv har igangsat, og dermed utilsigtet give uvedkommende adgang til personoplysninger, herunder fortrolige oplysninger, om dem selv – ikke har truffet passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.
3.3. Sammenfatning
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Digitaliseringsstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 25, stk. 1 og artikel 32, stk. 1.
Datatilsynet har ved valg af reaktion i skærpende retning lagt vægt på, at MitID-appen er en landsdækkende løsning, som Digitaliseringsstyrelsen stiller til rådighed som login-løsning for MitID, som er den danske nationale elektroniske identifikationsordning fastsat ved lov[3], og stilles til rådighed for som udgangspunkt alle danske statsborgere m.fl. til brug for at få adgang til en række digitale kerneydelser, for eksempel digital post fra det offentlige, netbank, mv. Brugerne må derfor efter Datatilsynets opfattelse med rette kunne forvente, at MitID-appen lever op til databeskyttelsesreglerne, herunder at login-løsningen er designet på en måde, der sikrer, der ikke kan ske uautoriseret adgang til andres personoplysninger, herunder oplysninger af fortrolig karakter, samt at der for løsningen er udarbejdet en risikovurdering, der tager højde for alle relevante use cases for løsningen med henblik på at beskytte de registreredes rettigheder og frihedsrettigheder.
Datatilsynet har i formildende retning lagt vægt på, at Digitaliseringsstyrelsen efter de første to hændelser har instrueret Nets, som er databehandler for løsningen, i, at der i forbindelse med de løbende sårbarheds- og risikovurderingsvurderinger skal være særlig opmærksomhed på denne type risici, at Digitaliseringsstyrelsen har implementeret foranstaltninger til mitigering af risikoen for den konkrete hændelse, herunder slået SMS-notifikation ved parallelle anmodninger fra, samt ved at der ved igangværende login med MitID i appen fremgår en kort transaktionstekst, som beskriver hvilken tjeneste/til hvilket formål, man er ved at logge ind, sådan at brugerne kan se og tage stilling til, om de kan genkende anmodningen som én, de selv har igangsat.
4. Påbud
Datatilsynet finder endvidere grundlag for at meddele Digitaliseringsstyrelsen påbud om at foretage de nødvendige ændringer i MitID-appen, sådan at fejlen ikke længere kan opstå, det vil sige sådan at det ikke fremover er muligt for en bruger ved brug af MitID-appen at godkende en transaktion, som vedkommende ikke selv har igangsat med det udfald, at en anden og uvedkommende bruger får adgang til dennes selvbetjeningsside på mitid.dk.
Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Fristen for efterlevelse af påbuddet er den 31. oktober 2022. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens[4] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] Lov nr. 783 af 4. maj 2021 om MitID og NemLog-in
[4] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
Afgørelse efter anmodning om genoptagelse (26. oktober 2022)
Datatilsynet traf den 9. september 2022 afgørelse i en sag, hvor tilsynet fandt, at der var grundlag for at udtale alvorlig kritik af, at Digitaliseringsstyrelsens behandling af personoplysninger ikke var sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 25, stk. 1 og artikel 32, stk. 1.
Tilsynet fandt endvidere grundlag for at meddele Digitaliseringsstyrelsen et påbud, jf. databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Den 22. september og 5. oktober 2022 har Digitaliseringsstyrelsen anmodet om genoptagelse af sagen, og i samme forbindelse fremsendt nye oplysninger.
Den 13. oktober 2022 meddelte Datatilsynet Digitaliseringsstyrelsen, at Datatilsynet, indtil der var taget stilling til Digitaliseringsstyrelsens anmodning om genoptagelse af 22. september og 5. oktober 2022, havde besluttet at suspendere påbudsfristen i den oprindelige afgørelse.
1. Vedrørende afgørelse om alvorlig kritik
Efter en gennemgang af de af Digitaliseringsstyrelsen fremsendte nye oplysninger finder Datatilsynet ikke for så vidt angår afgørelsen om alvorlig kritik, at Digitaliseringsstyrelsen er fremkommet med nye faktiske oplysninger af så væsentlig betydning for sagen, at sagen ville have fået et andet udfald, hvis oplysningerne havde foreligget i forbindelse med tilsynets oprindelige stillingtagen til afgørelsen om alvorlig kritik.
Tilsynet finder derfor ikke grundlag for at imødekomme Digitaliseringsstyrelsens anmodning om genoptagelse og fastholder således sin afgørelse om, at der er grundlag for at udtale alvorlig kritik af, at Digitaliseringsstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 25, stk. 1 og artikel 32, stk. 1.
2. Vedrørende afgørelse om påbud
På baggrund af bemærkningerne omkring det oprindelige påbuds formulering, finder tilsynet grundlag for at revurdere ordlyden af det meddelte påbud samt fristen for dettes efterlevelse.
Som følge af, at denne del af afgørelsen genoptages, skal tilsynet herefter træffe ny afgørelse om påbud, hvorved den tidligere afgørelses bestemmelse om påbuddets ordlyd ændres.
2.1 Afgørelse
Tilsynet finder stadigvæk grundlag for at meddele Digitaliseringsstyrelsen påbud om at foretage de nødvendige ændringer i MitID-appen, sådan at risikoen for, at en bruger ved brug af MitID-appen kan komme til at godkende en transaktion, som vedkommende ikke selv har igangsat med det udfald, at en anden og uvedkommende bruger får adgang til dennes selvbetjeningsside på mitid.dk, reduceres til et niveau, der afspejler risikoen for det pågældende risikoscenarie.
Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Fristen for efterlevelse af påbuddet er den 17. februar 2023. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens[2] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Digitaliseringsstyrelsen skal inden samme dato orientere Datatilsynet om, hvilke foranstaltninger Digitaliseringsstyrelsen foretager i anledning af påbuddet.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse om påbud.
2.2 Sagsfremstilling
For så vidt angår Digitaliseringsstyrelsens bemærkninger af den 31. januar, 11. februar, 10. marts, 16. og 30. maj 2022 henvises til Datatilsynets afgørelse af 9. september 2022, som er vedlagt i kopi.
Digitaliseringsstyrelsen har den 5. oktober 2022 fremsendt nye oplysninger til sagen. Digitaliseringsstyrelsen har herunder oplyst, at Digitaliseringsstyrelsen arbejder med en løsning til forebyggelse af svindel med MitID – kanalsammenbinding. Som en afledt effekt vil denne løsning også i al væsentlighed mitigere scenarier som hændelsesforløbene af relevans for afgørelsen. Kanalsammenbindingen kræver, ifølge Digitaliseringsstyrelsen, større tekniske ændringer af MitID og stiller samtidig store krav til både brugervenlighed samt til kommunikation til brugerne, hvorfor Digitaliseringsstyrelsen finder det afgørende, at der er den nødvendige tid til tekniske test, brugertest og implementering af løsningen. Digitaliseringsstyrelsen har oplyst, at der derudover skal udvikles særlige tiltag over for grupper i befolkningen med f.eks. syns- eller bevægelseshandicap samt situationer generelt, hvor skanning af en QR-kode af en eller anden grund ikke er mulig.
Digitaliseringsstyrelsen har yderligere oplyst, at implementering af kanalsammenbinding allerede den 31. oktober 2022, som var den oprindelige frist for efterlevelse af påbud, vil have vidtrækkende og særledes negative konsekvenser for brugeroplevelsen og dermed også brugernes opfattelse og accept af MitID. Ifølge Digitaliseringsstyrelsen er arbejdet med løsningen igangsat og forventes at gå i pilottest i oktober 2022. Digitaliseringsstyrelsen har videre oplyst, at de oprindelige releasedatoer for kanalsammenbindingen var den 10. og 26. oktober 2022, men at disse datoer på grund af implementeringsmæssige udfordringer hos leverandøren har vist sig nødvendige at rykke til henholdsvis den 24. oktober og 7. november 2022. Som konsekvens af den samlede forskydning og med henblik på at sikre tilstrækkelig luft i planen samt mulighed for at håndtere uforudsete problemstillinger ved omfattende ændringer i MitID-løsningen, har det ifølge Digitaliseringsstyrelsen været nødvendigt at rykke den oprindelige dato 24. januar 2023 til den 31. marts 2023, hvorfor Digitaliseringsstyrelsen anmoder om, at fristen for efterlevelse af påbud fastsættes til den 31. marts 2023.
Digitaliseringsstyrelsen har oplyst, at på trods af kanalsammenbinding og vejledning til borgerne om hensigtsmæssig og sikker anvendelse af MitID, kan Digitaliseringsstyrelsen ikke kontrollere eller garantere, at borgerne altid vil anvende MitID i overensstemmelse hermed. I forlængelse heraf har Digitaliseringsstyrelsen oplyst:
”Ordlyden i Datatilsynets påbud om, det ikke fremover er muligt for en bruger ved brug af MitID-appen at godkende en transaktion, som vedkommende ikke selv har igangsat med det udfald, at en anden og uvedkommende bruger får adgang til dennes selvbetjeningsside på mitid.dk, vil således kun kunne efterleves ved brug af så omfattende sikkerhedsforanstaltninger, der vil stille så store krav til brugerne, at dels brugervenligheden vil blive voldsomt forringet, og at dels store dele af befolkningen må forventes ikke at kunne benytte MitID.”
2.3 Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af det af Digitaliseringsstyrelsen oplyste til grund, at det på grund af implementeringsudfordringer hos leverandøren har været nødvendigt for Digitaliseringsstyrelsen at ændre sin tidsplan for kanalsammenbinding i MitID-appen, hvilket medfører et behov for, at Datatilsynet tager hensyn hertil ved beslutning om fastsættelse af frist for efterlevelse af påbud.
Tilsynet lægger endvidere til grund, at det ikke til fulde er muligt for Digitaliseringsstyrelsen at kontrollere og garantere, at det aldrig vil kunne ske, at en bruger godkender en transaktion, som vedkommende ikke selv har igangsat, og at efterlevelse af et påbud med ordlyden ”[…] påbud om at foretage de nødvendige ændringer i MitID-appen, sådan at fejlen ikke længere kan opstå, det vil sige sådan at det ikke fremover er muligt for en bruger ved brug af MitID-appen at godkende en transaktion, som vedkommende ikke selv har igangsat med det udfald, at en anden og uvedkommende bruger får adgang til dennes selvbetjeningsside på mitid.dk” kun vil kunne efterleves ved brug af så omfattende sikkerhedsforanstaltninger, der vil stille så store krav til brugerne, at dels brugervenligheden vil blive forringet, og at dels store dele af befolkningen må forventes ikke at kunne benytte MitID.
Datatilsynet finder på baggrund heraf grundlag for at ændre den oprindelige ordlyd af påbud meddelt den 9. september 2022, sådan at tilsynet hermed meddeler Digitaliseringsstyrelsen påbud om at foretage de nødvendige ændringer i MitID-appen, sådan at risikoen for, at en bruger ved brug af MitID-appen kan komme til at godkende en transaktion, som vedkommende ikke selv har igangsat med det udfald, at en anden og uvedkommende bruger får adgang til dennes selvbetjeningsside på mitid.dk, reduceres til et niveau, der afspejler risikoen for det pågældende risikoscenarie.
Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Tilsynet finder endvidere grundlag for at ændre fristen for efterlevelse af påbuddet, som oprindeligt var den 31. oktober 2022, sådan at fristen for efterlevelse af påbuddet herefter er den 17. februar 2023. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Ifølge databeskyttelseslovens[3] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Fristen for påbuddet er fastsat efter de risici, som den fortsatte behandling af personoplysninger, indtil påbuddet er efterlevet, til stadighed har for de registreredes rettigheder og frihedsrettigheder. Fastsættelse af fristen for efterlevelse af påbuddet er nødt til at lægge betydelig vægt på hensynet til de registrerede, som behandlingen berører, sådan at disses rettigheder og frihedsrettigheder i mindst muligt omfang udsættes for vedvarende risici. Herudover har den af Digitaliseringsstyrelsen fremsendte projekt- og procesplan indgået i Datatilsynets vurdering.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[3] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
Fristforlængelse (23. december 2022)
Datatilsynet har modtaget Digitaliseringsstyrelsens anmodning af 20. december 2022 om forlængelse af frist for efterlevelse af påbud. Påbuddet er meddelt Digitaliseringsstyrelsen ved Datatilsynets afgørelser af hhv. den 9. september 2022 og den 26. oktober 2022.
På baggrund af det af Digitaliseringsstyrelsen fremsendte materiale finder tilsynet ikke grundlag for at tilsidesætte Digitaliseringsstyrelsens vurdering af projektforløbet, herunder behov for fristforlængelse af efterlevelse af påbuddet, som efter tilsynets opfattelse i store træk beror på Digitaliseringsstyrelsens vurdering af, at fastholdelse af fristen, som lige nu er den 17. februar 2023, vil medføre en række kritiske uhensigtsmæssigheder og dermed yderligere risici for de registreredes rettigheder.
Tilsynet har på den baggrund besluttet at imødekomme anmodningen med den virkning, at fristen forlænges til den 30. juni 2023.
Tilsynet skal understrege, at der er tale om en absolut sidste udsættelse af fristen, der ved Datatilsynets afgørelse af 26. oktober 2022 allerede én gang er blevet udsat. Tilsynet skal samtidig tilskynde Digitaliseringsstyrelsen til i videst muligt omfang at fremrykke tidsplanen for implementering af kanalsammenbinding, sådan at påbuddet efterleves hurtigst muligt.