Journalnummer: 2011-323-0268
Ved e-mail af 5. oktober 2011 har Rudersdal Kommune rettet henvendelse til Datatilsynet med en forespørgsel om borgeradgang til en mobil udgave af kommunens selvbetjeningsløsning Min Rude – MobilRuden – via smartphones eller iPads. Rudersdal Kommune har oplyst, at det ikke er muligt at give borgere adgang til MobilRuden via NemID, og at kommunen derfor ønsker at anvende en anden nærmere beskrevet to faktor-autentifikationsløsning.
Datatilsynet kan i den anledning oplyse, at tilsynet i en udtalelse til Københavns Kommune og Cap Gemini af 7. september 20001 har udtalt følgende vedrørende borgeres adgang til og mulighed for indsendelse af følsomme2 personoplysninger:
- »“Er det tilstrækkeligt at borgeren identificerer sig med ID og adgangskode (fx udsendt sammen med Skatteoplysninger) for at kunne læse/modtage fortrolige oplysninger fra Kommunens webserver?” Datatilsynet finder, at den anførte identifikationsmetode normalt vil være tilstrækkelig.
- “Er det tilstrækkeligt at borgeren identificerer sig med ID og adgangskode (fx udsendt sammen med Skatteoplysninger) for at kunne læse/modtage følsomme oplysninger fra Kommunens
webserver?” Datatilsynet vil ikke afvise, at den anførte identifikationsmetode vil kunne være tilstrækkelig. Tilsynet anbefaler dog at øge sikkerheden gennem anvendelse af certifikat/digital signatur.
- “Stiller persondataloven mv. nogen krav til indsendelse af fortrolige persondata fra en borgers pc til web-serveren udover kryptering af data. Skal borgeren fx identificere sig således at meddelelsesautenticitet opnås? Hvis ja, er identifikation med Id og adgangskode tilstrækkelig.” Datatilsynet finder, at borgeren skal identificere sig, og at ID og adgangskode i denne situation normalt vil være tilstrækkelig. Tilsynet anbefaler dog at øge sikkerheden gennem anvendelse af certifikat/digital signatur.
- “Stiller persondataloven mv. nogen krav til indsendelse af følsomme persondata fra en borgers pc til web-serveren udover kryptering af data. Skal borgeren fx identificere sig således at meddelelsesautenticitet opnås? Hvis ja, er identifikation med Id og adgangskode tilstrækkelig.” Datatilsynet finder, at borgeren skal identificere sig, og at der i denne situation bør anvendes certifikat/digital signatur.«
Datatilsynet har anvendt disse retningslinjer i andre sager. F.eks. i en udtalelse til SKAT af 27. januar 2009.3
Isoleret set vil Datatilsynet ikke udelukke, at en anden fler-faktor-løsning end digital signatur kan anvendes som login, såfremt Rudersdal Kommune sikrer sig, at den anvendte løsning skaber tilstrækkelig sikkerhed for, at kun den rette person får adgang til oplysningerne om den pågældende.
Hvis Rudersdal Kommune gennem en mobil selvbetjeningsløsning giver borgere adgang til eller mulighed for indsendelse af følsomme personoplysninger, bærer kommunen ansvaret for, at løsningen i alle elementer er indrettet således, at persondatalovens regler – herunder kravet i § 41, stk. 3, om de fornødne sikkerhedsforanstaltninger – iagttages.
Når Rudersdal Kommune skal vurdere, om en tilstrækkelig sikker adgang kan etableres via mobile enheder, må kommunen efter Datatilsynets opfattelse tillige overveje, hvilke risici brug af sådanne enheder indebærer, og om det overhovedet er muligt på det nuværende teknologiske stade at håndtere disse udfordringer med tilstrækkelige foranstaltninger til at beskytte personoplysninger af fortrolig og følsom karakter.
Datatilsynet skal understrege, at ansvaret for, at sikkerheden i løsningen er tilstrækkelig, påhviler Rudersdal Kommune, og tilsynet skal opfordre til, at det nøje overvejes, hvilke typer af oplysninger og tjenester den mobile adgang eventuelt skal give adgang til. Herunder bør det særligt overvejes, om der overhovedet kan gives adgang via MobilRuden til systemer med følsomme personoplysninger på sundhedsområdet.
Datatilsynet er opmærksom på, at Rudersdal Kommune har henvist til, at en række banker anvender en mobil løsning til at give kunderne adgang til egne bankoplysninger. Datatilsynet bemærker i den forbindelse, at bankoplysninger i forhold til persondataloven anses for almindelige personoplysninger omfattet af persondatalovens § 6. En række kommunale systemer indeholder imidlertid også personoplysninger omfattet af persondatalovens §§ 7 og 8. Sådanne oplysninger anses efter persondataloven for følsomme og fordrer en højere beskyttelse. En henvisning til den finansielle sektors anvendelse af løsninger, der giver adgang til almindelige (ikke-følsomme) personoplysninger kan efter Datatilsynets opfattelse ikke i sig selv begrunde, at sikkerheden er god nok.
Datatilsynet er endvidere opmærksom på, at der via Min Rude tilsyneladende også er adgang til oplysninger, som andre myndigheder er dataansvarlige for, f.eks. skatteoplysninger. Hvis der er tale om at give adgang via MobilRuden til sådanne oplysninger, må det efter Datatilsynets opfattelse være de respektive myndigheders ansvar at beslutte, hvorvidt den påtænkte adgangsordning er tilstrækkelig sikker, bl.a. oplysningernes karakter taget i betragtning. Kommunen kan således ikke give adgang, medmindre de ansvarlige myndigheder har vurderet og accepteret den påtænkte løsning.
Med hensyn til spærring har Rudersdal Kommune oplyst, at adgangen til MobilRuden kan spærres på Min Rude af den enkelte bruger. Hvis udfaldet på Rudersdal Kommunes overvejelser om sikkerheden i løsningen er, at der i et eller andet omfang kan etableres adgang til personoplysninger, herunder følsomme personoplysninger, bør kommunen efter Datatilsynets opfattelse også give mulighed for at spærre adgangen i de tilfælde, hvor brugeren ikke har adgang til Min Rude.
I forlængelse af bl.a. henvendelsen fra Rudersdal Kommune har Datatilsynet rettet henvendelse til Digitaliseringsstyrelsen vedrørende behovet for en fællesoffentlig løsning til login på mobile enheder.
Kopi af Rudersdal Kommunes henvendelse samt dette svar er i den forbindelse blevet sendt til Digitaliseringsstyrelsen.
1 Udtalelsen i sagen, som har Datatilsynets j.nr. 2000-082-0006, er tilgængelig på tilsynets hjemmeside via følgende link: www.datatilsynet.dk/afgoerelser/seneste-afgoerelser/artikel/vedroerende-elektronisk-borgerservice-til-koebenhavns-kommune/
2 Følsomme oplysninger er de oplysninger, der er nævnt i persondatalovens §§ 7 og 8, dvs. oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, helbredsmæssige, seksuelle og strafbare forhold, væsentlige sociale problemer og andre rent private forhold.
3 Udtalelsen i sagen, som har Datatilsynets j.nr. 2008-632-0026, er tilgængelig på tilsynets hjemmeside via følgende link: www.datatilsynet.dk/afgoerelser/seneste-afgoerelser/artikel/virksomheders-adgang-til-oplysninger-i-eindkomst-via-tastselv-kode/
Der er sidenhen sket en fortsat behandling af enkelte spørgsmål i sagen. Klik her for at læse Datatilsynets udtalelse af 2. maj 2012 vedrørende mulighed for spærring af den mobile adgang til NemPost.