Journalnummer: 2009-122-0247
1. Ved e-post modtaget i Datatilsynet den 2. marts 2009 har IT- og Telestyrelsen fremsendt et udkast til en revideret certifikatpolitik for OCES personcertifikater (OCES II) og anmodet om Datatilsynets eventuelle bemærkninger.
IT- og Telestyrelsen har oplyst, at det i forbindelse med lanceringen af næste generation af den digitale signatur infrastruktur, som indebærer en forhøjelse af det generelle sikkerhedsniveau, har været nødvendigt at revidere certifikatpolitikken for OCES personcertifikater.
Med det fremsendte udkast til opdateret certifikatpolitik for personcertifikater introduceres bl.a. et krav om ægte to-faktor autentifikation samt strengere krav til identifikation af certifikatindehaver i overensstemmelse med reglerne i hvidvaskningsloven.
De foreslåede ændringer betyder, at certificeringscentret ikke længere kan tilbyde den eksisterende OCES I løsning, der baserer sig på installation af nøgler på brugeres pc, idet der nu stilles krav om, at den personlige nøgle er beskyttet af et kryptografisk modul, enten centralt hos CA eller decentralt hos certifikatindehaveren på chipkort.
2. Datatilsynet, der har behandlet sagen på et møde i Datarådet, skal udtale følgende:
2.1. Indledningsvis bemærkes, at det nye OCES certifikatet – hvis det skal anvendes i bl.a. offentlige myndigheders selvbetjeningsløsninger – skal leve op til persondatalovens krav om datasikkerhed og datakvalitet – § 41, stk. 3, og § 5, stk. 4.
Datatilsynet finder det positivt, at sikkerheden søges forhøjet med OCES II løsningen.
Efter Datatilsynets opfattelse ligger ansvaret for, at datasikkerheden i forbindelse med den nye løsning er tilstrækkelig høj, hos såvel certificeringscentret (DanID A/S) som IT- og Telestyrelsen.
Datatilsynet går i den forbindelse ud fra, at IT- og Telestyrelsen ved fastlæggelse af sikkerhedsniveauet for OCES II løsningen har foretaget en samlet risikovurdering omfattende alle elementer i løsningen, herunder en vurdering i forhold til den centrale opbevaring af private nøgler. En sådan vurdering bør efter Datatilsynets opfattelse omfatte en analyse af risikoen for, at uvedkommende kan skaffe sig adgang til personoplysninger, herunder adgang til at bruge den private nøgle, og passende sikkerhedsforanstaltninger til imødegåelse heraf bør etableres.
Datatilsynet har til brug for sin vurdering af sagen afholdt et møde med certificeringscentret (DanID A/S), og tilsynet har ikke grund til at antage, at sikkerheden omkring virksomhedens håndtering af OCES II løsningen ikke skulle være tilstrækkelig høj.
En afgørende forudsætning for, at det er tilstrækkeligt sikkert at bruge digital OCES II signatur, når f.eks. en myndighed giver borgeren adgang til oplysninger via selvbetjeningsløsninger, er efter Datatilsynets opfattelse, at certifikatindehaveren har enekontrol over sin private nøgle. Tilsynet har noteret sig, at dette også udtrykkeligt er forudsat i det fremsendte udkast til certifikatpolitik, punkt 7.2.8.
Det er herefter Datatilsynets vurdering, at OCES II certifikatet, ligesom det tidligere certifikat, generelt vil kunne benyttes ved borgernes indsendelse af oplysninger til myndighederne. Tilsvarende må der på alle områder, hvor myndighederne i dag besvarer indsigtsbegæringer ved fremsendelse af almindelig post til den registrerede – eventuelt under anvendelse af folkeregisteradressen – siges at være tilstrækkelig sikkerhed ved brug af OCES II certifikatet.
Datatilsynet skal gentage sin henstilling om, at ændringer til OCES CP’en og metoderne til sikring af certifikatmodtagerens identitet forelægges Datatilsynet, inden løsningen implementeres.
En forudsætning for tilsynets generelle accept af, at OCES certifikatet anvendes inden for persondatalovens område – f.eks. til at give borgerne adgang til følsomme oplysninger hos offentlige myndigheder – er, at registreringsprocedurerne i OCES II løsningen er tilstrækkeligt sikre. Tilsynet har endnu ikke fået forelagt de nye registreringsprocedurer, men tilsynet går ud fra, at dette sker, inden de tages i brug.
2.2. Det er endvidere Datatilsynets opfattelse, at et generelt hensyn til brugernes privacy taler for, at brugerne skal have et valg med hensyn til, hvor deres nøgle opbevares.
Datatilsynet skal derfor opfordre til, at der hurtigst muligt skabes mulighed for egen opbevaring af den private nøgle.
Datatilsynet skal endvidere anbefale, at det overvejes, om ikke muligheden for egen opbevaring af den private nøgle bør være gratis, eller at prisen i det mindste bliver så lav som muligt og alene kommer til at afspejle omkostningerne.
2.3. Datatilsynet skal understrege, at ansvaret for, at oplysninger, som udveksles ved hjælp af en selvbetjeningsløsning (tilgået med digital OCES II signatur), er tilstrækkeligt beskyttede, påhviler den dataansvarlige myndighed eller virksomhed, der stiller servicen til rådighed.
Den myndighed eller virksomhed, der er dataansvarlig i forbindelse med en selvbetjeningsløsning, skal derfor sikre sig, at anvendelsen af selvbetjeningsløsningen sker med de fornødne sikkerhedsforanstaltninger. Transmission af følsomme personoplysninger via hjemmesider skal eksempelvis altid beskyttes ved kryptering.
2.4. Efter Datatilsynets opfattelse afhænger sikkerheden i forbindelse med brug af digital signatur således ikke kun af, om det benyttede certifikat (OCES II), er tilstrækkeligt sikkert, men tillige af, om myndigheder, virksomheder og borgere ved deres brug af certifikatet er opmærksomme på at beskytte oplysningerne.
Det er derfor vigtigt, at alle de involverede informeres om, hvordan OCES II certifikatet anvendes med henblik på at opnå den ønskede grad af sikkerhed ved udveksling af oplysninger i konkrete situationer.
Datatilsynet skal i den forbindelse påpege, at tilsynet ser positivt på, at der med den centrale lagring af nøgler skabes øget mobilitet i den forstand, at brugeren vil kunne anvende sin digitale signatur på andre computere end sin egen, f.eks. på computere opstillet på biblioteker, internetcafeer mv. Dette må antages at medvirke til en øget brug af digital signatur.
Samtidig rejser den øgede mobilitet imidlertid også særlige sikkerhedsmæssige spørgsmål, da den må antages at skabe en øget risiko for, at brugeren kommer til at blotlægge sine oplysninger på computere eller i omgivelser, der ikke frembyder den fornødne sikkerhed. Herved tænker Datatilsynet f.eks. på, om en bruger uden videre bør tilgå følsomme oplysninger fra en internetcafe i udlandet, om eventuelle printere på et bibliotek er placeret på en sådan måde, at det er forsvarligt at foretage print af følsomme oplysninger fra bibliotekets computere osv.
Datatilsynet skal på den baggrund opfordre til, at IT- og Telestyrelsen –
såfremt det ikke allerede er sket – foretager en analyse af sådanne risici.
Datatilsynet forudsætter, at der i forbindelse med lanceringen af OCES II løsningen offentliggøres såvel borgerrettet information som vejledninger og informationsmateriale til myndigheder og virksomheder, som adresserer de ovenfor rejste spørgsmål om datasikkerhed.
3. Datatilsynet har enkelte bemærkninger af mere konkret karakter til indholdet af det fremsendte udkast til certifikatpolitik.
3.1. Under punkt 7.4.3 (personalesikkerhed) anføres om procedurerne for sikkerhedsklassifikation, at certificeringscentret (DanID A/S) skal kontrollere, at ledere og medarbejdere, der udfører betroede opgaver i eller for certificeringscentret, ikke er straffet for en forbrydelse, der gør dem uegnede til at bestride deres hverv.
Datatilsynet antager, at dette alene indebærer et krav om, at de pågældende medarbejdere skal forevise en straffeattest til privat brug.
Efter Datatilsynets opfattelse kunne det overvejes, om ikke særligt betroede medarbejdere hos certificeringscentret bør sikkerhedsgodkendes til at håndtere klassificerede oplysninger.
3.2. Under punkt 7.6. (placering af datacentre) anføres, at kravene i certifikatpolitikken gælder, uanset at certificeringscentret (DanID A/S) placerer hele eller dele af driftsmiljøet i udlandet. Den løbende kontrol, der er fastsat i certifikatpolitikken, skal således kunne gennemføres, uanset hvor certificeringscentret geografisk er placeret.
Datatilsynet skal i den forbindelse henlede opmærksomheden på, at persondataloven i § 41, stk. 4, indeholder en særlig regel, hvorefter der for oplysninger, der behandles for den offentlige forvaltning, og som er af særlig interesse for fremmede magter, skal træffes foranstaltninger, der gør det muligt at bortskaffe eller tilintetgøre oplysningerne i tilfælde af krig eller lignende forhold.
Denne regel indebærer bl.a., at visse større landsdækkende administrative systemer og specialregistre ikke må føres i udlandet. Reglen finder efter sin ordlyd alene direkte anvendelse, når det er en offentlig myndighed, der er dataansvarlig.
Datatilsynet har forstået punkt 7.6. i det fremsendte udkast til certifikatpolitik således, at der åbnes op for, at borgernes private nøgler kan opbevares uden for Danmark.
Datatilsynet finder, at IT- og Telestyrelsen i lyset af de hensyn, der ligger bag den ovenfor omtalte bestemmelse, nøje bør overveje hensigtsmæssigheden heraf.
4. Datatilsynet må forbeholde sig sin stilling, hvis der i relation til persondataloven skulle vise sig uhensigtsmæssigheder ved brugen af den skitserede sikkerhedsløsning.
………………………………………………………………………………………………………
Opdatering den 06.06.16:
Efterfølgende har Digitaliseringsstyrelsen godkendt ændringer til løsningen og dispenseret fra certifikat-politikken. Datatilsynets udtalelse vedrører løsningen, som den blev forelagt for tilsynet.