Journalnummer: 2023-432-0025.
Datatilsynet har modtaget en henvendelse fra en borger den 20. januar 2022 om Digitaliseringsstyrelsens brug af JavaScript som script-sprog i forbindelse med anvendelse af MitID. Det er overordnet anført i henvendelsen, at JavaScript er forældet og usikkert, og at enheder, herunder telefoner og computere, let kan hackes, hvis JavaScript er aktiveret. Derudover er der i henvendelsen henvist til, at JavaScript gennem mange år er blevet fremhævet som usikkert af førende sikkerhedseksperter.
På baggrund af henvendelsen har Datatilsynet valgt at starte en sag af egen drift med henblik på at undersøge spørgsmålet.
Resumé
Datatilsynet har truffet afgørelse i en sag om Digitaliseringsstyrelsens benyttelse af JavaScript. Digitaliseringsstyrelsen anvender JavaScript som programmeringssprog til bl.a. at udstille MitID login-klienten. Tilsynet besluttede at undersøge sagen af egen drift på baggrund af en henvendelse fra en borger.
Datatilsynet udtalte kritik af Digitaliseringsstyrelsen for ikke at have påvist, at styrelsen havde identificeret de risici, som anvendelsen af JavaScript indebærer for de registrerede, og for ikke at have påvist, at de havde indført passende tekniske sikkerhedsforanstaltninger til at beskytte de registrerede mod disse risici. Dette var på baggrund af, at Digitaliseringsstyrelsen ikke specifikt havde vurderet risikoen for de registreredes rettigheder ved brugen af JavaScript.
Mangel på særskilt risikovurdering
Datatilsynet fastslog, at det er en forudsætning for brugen af en teknologi som JavaScript i kritisk national infrastruktur (som MitID), at den dataansvarlige foretager en særskilt risikovurdering. Dette er især relevant, når det er kendt, at teknologien kan indebære sikkerhedsmæssige risici. Datatilsynet bemærkede i den forbindelse, at der er flere offentligt kendte misbrugsscenarier ved brug af JavaScript. Det er derfor tilsynets opfattelse, at disse risikoscenarier skulle have været adresseret, hvor det måtte være relevant.
I den konkrete sag havde Digitaliseringsstyrelsen oplyst, at de ikke havde udført en specifik vurdering af risikoen for de registreredes rettigheder ved brugen af JavaScript. Styrelsen påpegede dog, at der var foretaget en risikovurdering af MitID, hvor relevante risici var afdækket – herunder overordnede risici ved kodekvalitet, som JavaScript hører under.
Digitaliseringsstyrelsen anførte derudover, at JavaScript er et globalt anvendt programmeringssprog til integration med browsere, og at mange af de funktioner og applikationer, der gør internettet anvendeligt i dag, er kodet i en eller anden form for JavaScript. Digitaliseringsstyrelsen henviste også til, at styrelsen i 2013 fik vurderet sikkerhedstiltag ved indførelsen af JavaScript i NemID-løsningen, hvor konklusionen var, at JavaScript-løsningen forventedes at have samme eller endda et potentielt højere sikkerhedsniveau end den daværende løsning.
Passende sikkerhedsforanstaltninger
Selvom det ikke fremgår af databeskyttelsesforordningen, hvor detaljerede risikovurderinger skal være, er det Datatilsynets opfattelse, at den dataansvarlige imidlertid er forpligtet til at fastlægge et passende niveau i betragtning af de konkrete og relevante risici, herunder i forhold til den anvendte teknologi.
”Det er essentielt at en dataansvarlig reelt vurderer de brugsscenarier en brugers personoplysninger gennemgår. Dette gælder også, selvom løsningen er baseret på standardteknologier. Eventuelle kendte designmæssige svagheder og angrebsvektorer skal indgå i de vurderinger, den dataansvarlige foretager med henblik på at træffe passende sikkerhedsforanstaltninger eller redesigne behandlingsforløbet. Det er endvidere væsentligt at holde sig for øje, at en standardteknologi – ikke altid – kan bibringe den fornødne sikkerhed, når behandlingen vedrører scenarier, hvor brugerens potentielle rettighedstab er betydeligt” udtaler Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Digitaliseringsstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 5, stk. 2, jf. stk. 1, litra f, og artikel 24, stk. 1, jf. artikel 32, stk. 1.
2. Sagsfremstilling
Datatilsynet har ved breve af 8. februar og 18. marts 2022 anmodet Digitaliseringsstyrelsen om udtalelser til brug for sagens behandling.
Digitaliseringsstyrelsen har ved breve af 15. marts og 27. april 2022 fremsendt udtalelser i sagen.
Det fremgår herefter af sagen, at Digitaliseringsstyrelsen benytter JavaScript i forbindelse med anvendelsen af MitID, herunder til at udstille MitID login-klienten.
Borgere skal derfor aktivere JavaScript i deres browsere, hvis de vil benytte MitID.
2.1. Digitaliseringsstyrelsens bemærkninger
Digitaliseringsstyrelsen har overordnet anført, at JavaScript er et programmeringssprog, som er bredt anvendt over hele verden til integration med browsere, og at de fleste af de funktioner og applikationer, der gør internettet anvendeligt i dag, er kodet i en eller anden form for JavaScript.
Digitaliseringsstyrelsen har derudover oplyst, at Digitaliseringsstyrelsen har foretaget en risikovurdering af MitID, og at styrelsen i risikovurderingen har afdækket relevante risici, som er forbundet med MitID, herunder overordnede risici ved kodekvalitet, hvilket JavaScript hører under. Digitaliseringsstyrelsen har i øvrigt oplyst, at styrelsen i risikovurderingen bl.a. har forholdt sig til risici ved manglende kodereview. I den forbindelse har Digitaliseringsstyrelsen oplyst, at risikoen for de registreredes rettigheder ved brug af den specifikke teknologi JavaScript dog ikke specifikt er vurderet.
Digitaliseringsstyrelsen har videre oplyst, at styrelsen har implementeret passende tekniske og organisatoriske foranstaltninger med henblik på at sikre et tilstrækkeligt sikkerhedsniveau til beskyttelse af de registreredes rettigheder og frihedsrettigheder.
I den forbindelse har Digitaliseringsstyrelsen oplyst, at styrelsen har stillet en række kontraktuelle krav til Nets som databehandler. Nets er bl.a. forpligtet til at levere en årlig revisionserklæring fra en uafhængig tredjepart med henblik på at dokumentere opfyldelse af Digitaliseringsstyrelsens krav til informationssikkerhed og krav vedrørende behandling af persondata. Det fremgår af Digitaliseringsstyrelsens udtalelser, at Nets skal levere en revisionsrapport af typen ISAE 3000 DK, type I (eller tilsvarende revisionsrapport) specifikt for al persondata, der behandles i MitID-løsningen, herunder for kravene til informationssikkerhed. Digitaliseringsstyrelsen har oplyst, at der ikke har været anmærkninger i den første revisionserklæring, styrelsen har modtaget.
Nets er derudover forpligtet til løbende at vurdere MitID-løsningen, således at det sikres, at løsningen til enhver tid har et tilstrækkeligt sikkerhedsniveau. Det fremgår i den forbindelse, at Nets er forpligtet til løbende at foretage de nødvendige justeringer, hvis sårbarheder opstår.
Derudover fremgår det, at Nets er forpligtet til at sikre kodekvalitet og at bruge nyeste teknologier og opdatere disse. Digitaliseringsstyrelsen har derudover oplyst, at der er stillet en lang række sikkerhedskrav om til stadighed at sikre, at løsningen til enhver tid er sikker, opdateret mv. Dette omfatter også krav til sikkerheden ved anvendelse af JavaScript.
I den forbindelse har Digitaliseringsstyrelsen oplyst, at Nets skal opdatere deres sårbarhedsvurdering af MitID-løsningen som minimum hver anden måned baseret på bl.a. sårbarhedsskanninger.
Digitaliseringsstyrelsen har derudover oplyst, at risikovurderingen for MitID har vist, at der ikke er en høj risiko for de registreredes rettigheder.
Digitaliseringsstyrelsen har endelig bemærket, at Digitaliseringsstyrelsen i 2013 fik vurderet sikkerhedstiltag ved indførelsen af JavaScript i NemID-løsningen, hvor konklusionen fra leverandørens eksterne sikkerhedsfirma nSense var, at ”en JavaScript-løsning vil have det samme, eller måske endog højere, sikkerhedsniveau som den nuværende Applet løsning.”
3. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af det til sagen oplyste til grund, at Digitaliseringsstyrelsen anvender JavaScript som programmeringssprog til bl.a. at udstille MitID login-klienten. Datatilsynet lægger endvidere til grund, at Digitaliseringsstyrelsen ikke specifikt har vurderet risikoen for de registreredes rettigheder ved brug af den specifikke teknologi JavaScript, men at der er foretaget en risikovurdering af MitID, hvor relevante risici er afdækket.
Databeskyttelsesforordningen kræver på flere punkter, at en dataansvarlig forholder sig til risikoen for de registreredes rettigheder og frihedsrettigheder og kan dokumentere de overvejelser og konklusioner, dette har givet anledning til.
Det følger direkte af bestemmelserne i artiklerne 5, stk. 1, litra f, 24, 25, 32, 33, 34, 35, 36 og 39, at den dataansvarlige skal forholde sig til risikoen for de registreredes rettigheder og frihedsrettigheder. Herudover følger det af såvel artikel 5, stk. 2, for så vidt angår principperne i artikel 5, stk.1, og artikel 24 for så vidt angår overholdelse af hele forordningen, at en dataansvarlig skal kunne påvise overholdelsen af databeskyttelsesreglerne.
Blandt andet artiklerne 25, 35 og 36 kræver, at overvejelserne om de involverede risici for de registreredes rettigheder skal ske inden behandlingerne igangsættes.
Det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra f, at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.
Den dataansvarlige skal herudover kunne påvise, at de grundlæggende principper overholdes, hvilket følger af databeskyttelsesforordningens artikel 5, stk. 2.
Af databeskyttelsesforordningens artikel 32, stk. 1, fremgår, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Det følger af databeskyttelsesforordningens artikel 24, stk. 1, at en dataansvarlig skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Den dataansvarlige skal endvidere kunne påvise, at personoplysninger behandles på en måde, der sikrer tilstrækkelig sikkerhed for de personer, oplysningerne vedrører. For at tilsynsmyndigheden kan vurdere, om der er sikret et passende sikkerhedsniveau, skal det således kunne dokumenteres og redegøres for, hvilke risici den dataansvarlige har identificeret, og hvilke mitigerende foranstaltninger der er truffet med henblik på at nedbringe disse risici.
Datatilsynet bemærker, at det ikke fremgår af databeskyttelsesforordningen, hvor detaljeret risikovurderingen skal være. Det er Datatilsynets opfattelse, at den dataansvarlige må fastlægge et passende niveau henset til de risici, som er relevante for den dataansvarliges behandling af personoplysninger.
Såfremt en leverandør, databehandler eller tilgængelige analyser mv. fastslår eller indikerer bestemte risikoscenarier, er det Datatilsynets opfattelse, at dataansvarlige bør forholde sig til disse vurderinger. Det gælder særligt, når anvendelse af en teknologi bliver udlagt til at indebære høje risici for de registrerede. Som minimum skal der foreligge en underbygget vurdering af, hvorfor forholdet ikke er relevant i forhold til den behandling af personoplysninger, der sker hos den dataansvarlige.
Det er Datatilsynets opfattelse, at det er en forudsætning for anvendelse af en teknologi som JavaScript i forbindelse med en kritisk national infrastruktur (som MitID), at den dataansvarlige foretager en særskilt risikovurdering af en sådan teknologi, når det er kendt, at denne kan indebære sikkerhedsmæssige risici. Det bemærkes i den forbindelse, at der ved brug af JavaScript er flere offentligt kendte misbrugsscenarier. Henset hertil er det tilsynets opfattelse, at disse risikoscenarier skulle have været adresseret, hvor det måtte være relevant.
Det er endvidere Datatilsynets opfattelse, at det ikke er tilstrækkeligt at henvise til en vurdering, der er foretaget flere år tilbage, hvor samme teknologi er anvendt i forhold til en anden løsning (her NemID).
Datatilsynet finder på ovenstående baggrund, at Digitaliseringsstyrelsen – ved ikke specifikt at have vurderet risikoen for de registreredes rettigheder ved brug af JavaScript – ikke har påvist, at de har identificeret de risici, som anvendelsen af JavaScript indebærer for de registrerede, ligesom tilsynet ikke finder det påvist, at Digitaliseringsstyrelsen har indført passende tekniske sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici. Datatilsynet udtaler derfor kritik af, at Digitaliseringsstyrelsens behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, jf. stk. 1, litra f, og artikel 24, stk. 1, jf. artikel 32, stk. 1.
Datatilsynet har ved valg af reaktion lagt vægt på, at Digitaliseringsstyrelsen har foretaget en risikovurdering af MitID, og at styrelsen i risikovurderingen bl.a. har forholdt sig til de overordnede risici ved kodekvalitet. Denne risikovurdering er imidlertid efter Datatilsynets opfattelse ikke tilstrækkelig detaljeret, da styrelsen ikke har foretaget en specifik vurdering af risikoen for de registreredes rettigheder og frihedsrettigheder ved brugen af den specifikke teknologi JavaScript, som det er kendt indebærer sikkerhedsmæssige risici. Datatilsynet har i den forbindelse lagt vægt på, at der er tale om kritisk national infrastruktur, og at Digitaliseringsstyrelsen er en professionel aktør, som burde have foretaget en sådan vurdering.
Det er Datatilsynets forventning, at Digitaliseringsstyrelsen herefter vil foretage en specifik vurdering af risikoen for de registreredes rettigheder og frihedsrettigheder, som anvendelsen af JavaScript indebærer for de registrerede. I den forbindelse forventer tilsynet, at Digitaliseringsstyrelsen foretager en vurdering af, om der er truffet passende foranstaltninger i forhold til de offentligt kendte sikkerhedsmæssige risici, som brugen af JavaScript medfører.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).