Journalnummer: 2012-112-0012
Vedrørende høring over forslag til lov om ændring af lov om Det Centrale Personregister, lov om dag-, fritids- og klubtilbud mv. til børn og unge, lov om folkeskolen og sundhedsloven
Ved e-mail af 27. januar 2012 har Digitaliseringsstyrelsen anmodet om Datatilsynets bemærkninger til ovennævnte lovforslag.
1. I afsnit 3.2 i de almindelige bemærkninger om "persondatabeskyttelse" omtales kravet om de fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3, samt sikkerhedsbekendtgørelsen, herunder bestemmelsen i bekendtgørelsens § 14.
Datatilsynet skal i tilknytning dertil påpege, at persondataloven i sin helhed skal iagttages, når der udvikles og implementeres digitale selvbetjeningsløsninger. Tilsynet skal særligt fremhæve følgende elementer:
- Grundbetingelserne om god databehandlingsskik, saglighed og proportionalitet.
- Krav om behandlingshjemmel, herunder evt. behov for samtykke. Der kan bl.a. være behov for, at borgeren i visse situationer klikker ja til, at oplysninger indhentes fra en anden myndighed f.eks. med henblik på automatisk udfyldelse af formularer.
- Iagttagelse af de registrerede personers rettigheder. Selvbetjeningsløsninger må bl.a. tage hånd om oplysningspligten, således at de oplysninger, som skal gives til borgeren, gives i forbindelse med udfyldningen af formularer og lignende online.
- Datasikkerhed: Krav om de fornødne sikkerhedsforanstaltninger, instruktion, skriftlig kontrakt med eventuelle databehandlere og kontrol med disse, sikkerhedsbekendtgørelsen.
2. Af afsnit 4.2 i de almindelige bemærkninger fremgår bl.a. følgende:
"[…] Allerede i dag er der således borgere, der får hjælp til at ansøge, anmelde, indberette mv., uanset om dette er ved udfyldelse af en blanket eller en mere digitalt baseret løsning. På tilsvarende vis er det forventningen, at der vil være borgere, som vil have behov for hjælp til at bruge digital selvbetjening. Andre institutioner som for eksempel bibliotekerne vil også være et oplagt sted at tilbyde borgerne hjælp til digital selvbetjening. De kommunale borgerservicecentre og eksempelvis bibliotekerne vil således kunne tilbyde adgang til computere og
medarbejdere, der kan hjælpe borgerne med de digitale løsninger. På den måde bliver også de mindre it-kyndige borgere efterhånden mere digitalt selvhjulpne.
Hjælp til digital selvbetjening ligger i forlængelse af den almindelige vejledningsopgave overfor borgerne, som de kommunale borgerservicecentre varetager. De offentlige myndigheder er således fortsat underlagt den sædvanlige vejledningspligt samt pligt til i givet fald at henvise en borger til rette myndighed, jf. forvaltningsloven § 7.
I kommuner, frivillige organisationer og oplysningsforbund foregår der en række ativiteter i såvel offentligt som privat regi, som støtter op om borgernes behov for hjælp og kompetencer. Heriblandt kan nævnes kommunernes Digitale Ambassadører, ældreorganisationernes datastuer og oplysningsforbundenes it-undervisning.
[…]
Det er hensigten, at borgerne fortsat skal tilbydes hjælp således, at det eksempelvis vil være muligt for en borger, der ikke selv har en PC, at møde op på borgerservice eller det lokale bibliotek og her udfylde en flytteanmeldelse eller skrive sit barn op til skolestart digitalt på kommunens PC."
2.1. Datatilsynet er enig i, at der er behov for vejledning og evt. undervisning i brug af digitale løsninger. Efter tilsynets opfattelse er der desuden behov for, at undervisning og instruktion kan ske, uden at borgerens eller underviserens egne personoplysninger anvendes. Datatilsynet skal på den baggrund opfordre til, at der bliver udarbejdet fiktive datasæt, som kan anvendes, når borgere skal have undervisning i digital selvbetjening.
2.2. I forhold til den omtalte vejledning i borgerservicecentre og på bibliotekerne skal Datatilsynet opfordre til, at det tydeliggøres, at såvel bibliotekets som borgerservicecentres medarbejdere handler som ansatte i en offentlig forvaltningsmyndighed (kommunen), og at kommunen er ansvarlig for den vejledning, der gives, og for medarbejdernes håndtering af oplysninger om borgerne, som de måtte blive bekendt med.
Forpligtigelsen efter persondataloven og sikkerhedsbekendtgørelsen til at give instruktion til medarbejdere, der håndterer personoplysninger, er ligeledes relevant i denne sammenhæng. Kommunens instrukser om håndtering af per-sonoplysninger i forbindelse med vejledning i brug af selvbetjeningsløsninger kan indgå i de uddybende sikkerhedsregler, som kræves efter sikkerhedsbekendtgørelsen.
2.3. Datatilsynet skal endvidere påpege vigtigheden af, at sikkerheden på de computere, der stilles til rådighed på eksempelvis borgerservicecentre og biblioteker, til enhver tid har et tilstrækkeligt niveau. For eksempel med hensyn til antivirus-beskyttelse, firewall, web-filtrering (URL-filter) og lignende. Det vil endvidere være relevant at opsætte pc'erne således, at der ikke er administratorrettigheder for borgerne, det sidstnævnte for at beskytte mod, at utilsigtede eller tilsigtede handlinger udført af én borger kan have indflydelse på sikkerheden for en anden borger, der benytter samme pc.
Som minimum bør kommunen fastlægge procedurer til sikring af, at de pc'er, der stilles til rådighed, konstant er sikkerhedsmæssigt opdaterede, her tænkes på antivirus, operativsystem og al anden software. Procedurerne bør indgå i de uddybende sikkerhedsregler. For at sikre, at der tages hånd om dette, foreslår Datatilsynet, at Digitaliseringsstyrelsen overvejer, om det kan være hensigtsmæssigt og formålstjentligt, at styrelsen udsteder mere formelle regler herom.
3. I de almindelige bemærkninger omtales NemID flere steder. Under overskriften "Identifikation af brugeren" er det i afsnit 4.2. bl.a. anført, at det på langt hovedparten af områderne må forventes, at der stilles krav om anvendelse af en sikker identifikation af borgeren i form af den nødvendige digitale signatur som eksempelvis NemID. Det er videre anført, at ved anvendelse af digital signatur skal der være tale om en digital signatur baseret på den til enhver tid gældende OCES-standart, som er fastlagt i certifikatpolitik for OCES-personcertifikater og certifikatpolitik for OCES-medarbejdercertifikater, såsom NemID.
Tvungen brug af selvbetjeningsløsninger baseret på NemID aktualiserer en problemstilling, som tilsynet tidligere har påpeget overfor IT og Telestyrelsen omkring opbevaring af borgernes private nøgle.
Datatilsynet udtalte bl.a. følgende i brev af 3. marts 2009 til IT og Telestyrelsen:
"[…] Det er endvidere Datatilsynets opfattelse, at et generelt hensyn til brugernes privacy taler for, at brugerne skal have et valg med hensyn til, hvor deres nøgle opbevares.
Datatilsynet skal derfor opfordre til, at der hurtigst muligt skabes mulighed for egen opbevaring af den private nøgle.
Datatilsynet skal endvidere anbefale, at det overvejes, om ikke muligheden for egen opbevaring af den private nøgle bør være gratis, eller at prisen i det mindste bliver så lav som muligt og alene kommer til at afspejle omkostningerne. […]"
Datatilsynet bekendt er der endnu ikke etableret mulighed for egen opbevaring af den private nøgle. På Datatilsynets forespørgsel har Digitaliseringsstyrelsen (IT og Telestyrelsen) den 22. august 2011 oplyst, at løsningen med decentral opbevaring af den private nøgle er udskudt til udgangen af 2012, og i medierne er det efterfølgende blevet oplyst, at løsningen nu er udskudt på ubestemt tid.
4. I de almindelige bemærkninger i lovforslagets afsnit 4.4 er bl.a. anført at, det ikke anses fornødent at fastsætte særlige krav om digital sikkerhed i form af eksempelvis digital signatur i lovforslaget.
Datatilsynet er for så vidt enig, men skal understrege, at der er behov for sikre løsninger. Tilsynet har set flere eksampler på, at myndigheder mv. har udviklet deres egen login til mobile enheder som smartphones og lignende. Tilsynet har i brev af 29. november 2011 rettet henvendelse til Digitaliseringsstyrelsen og gjort opmærksom på, at der er et aktuelt behov for et sikkerhedsmæssigt forsvarligt login til selvbetjeningsløsninger på smartphones og lignende.