Journalnummer: 2011-323-0246
Ved e-mail af 16. juni 2011 har Kommunernes Landsforening (KL) anmodet Datatilsynet om en udtalelse vedrørende det forhold, at flere kommuner stiller krav om, at kommunens medarbejdere skal anvende deres personlige NemID som en del af kommunens log-in procedure.
Efter KL's vurdering er det generelt set ikke hensigtsmæssigt at sammenblande personlige og erhvervsmæssige NemID ("personlig NemID" og "medarbejdersignatur").
Datatilsynet skal på denne baggrund afgive følgende vejledende udtalelse:
Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Pligten til at træffe fornødne sikkerhedsforanstaltninger påhviler efter persondatalovens § 41, stk. 3, såvel den dataansvarlige som en eventuel databehandler.
En personlig NemID er karakteriseret ved, at den samme brugeridentifikation og adgangskode giver adgang til en række forskellige tjenester og systemer mv. NemID giver også adgang til at underskrive digitalt, og denne underskrift kan forpligte på samme måde, som en fysisk underskrift.
Dette medfører, at en kompromittering af den enkelte brugers adgangskode i én sammenhæng samtidig medfører en risiko for uberettiget adgang til data og afgivelse af forpligtende underskrifter i andre sammenhænge. De tjenester, som adgangskoden giver adgang til, er i vidt omfang rettede mod borgere som privatpersoner.
Offentligt ansattes anvendelse af personlig NemID som adgangsgivende til myndighedens systemer i arbejdsmæssig sammenhæng er efter Datatilsynets opfattelse ikke i overensstemmelse med persondatalovens § 41, stk. 3.
1. Datatilsynet lægger herved vægt på, at ved brug af medarbejdersignatur har myndigheden fuld kontrol med uddelegering og spærring af medarbejderens rettigheder og adgange. Det samme er ikke tilfældet med en personlig NemID, hvor medarbejderen selv kan åbne, spærre og genåbne signaturen. Derfor vil brugen af personlig NemID som log-in hos en myndighed kræve, at myndigheden etablerer særlige foranstaltninger, der gør, at medarbejderens autorisation og adgange kan styres alt efter medarbejderes tilknytning til myndigheden.
Dertil skal bemærkes, at en medarbejder kan have et legitimt behov for at skulle spærre sin personlige NemID (nøglekortet eller adgangskoden), f.eks. ved mistanke om misbrug. En sådan spærring vil samtidig betyde, at medarbejderens log-in til myndighedens systemer spærres, såfremt den personlige NemID bruges her. Igen er der tale om, at myndigheden ikke har kontrollen medarbejdernes autorisation og adgange.
2. Datatilsynet lægger også vægt på, at NemID i anden sammenhæng giver adgang til medarbejdernes personlige oplysninger, hvorfor medarbejderne selv skal have kontrollen over, hvordan adgangskoden anvendes, herunder de sikkerhedsmæssige forhold i det miljø (it-systemer og fysiske omgivelser) hvori adgangskoden indtastes. Dette er ikke tilfældet, når adgangskoden skal anvendes på arbejdspladsen.
3. Datatilsynet lægger endvidere vægt på, at myndigheden skal have kontrollen over, hvordan adgangskoder til myndighedens systemer anvendes, herunder de sikkerhedsmæssige forhold i det miljø (it-systemer og fysiske omgivelser) hvori adgangskoden indtastes. Dette er ikke tilfældet, når medarbejderen anvender adgangskoden til NemID til private formål udenfor myndighedens it-systemer. Adgangskoden kan således i denne sammenhæng blive eksponeret med risiko for efterfølgende misbrug af myndighedens systemer til følge.
4. Datatilsynet skal bemærke, at brugen af nøglekort tilknyttet NemID ikke ændrer på tilsynets udtalelse, idet den førnævnte manglende kontrol med anvendelse af adgangskoder i andre miljøer også vil gælde for brug af adgangskoderne på nøglekortet.