Journalnummer: 2011-632-0105
1. Ved e-mail af 5. oktober 2011 rettede Rudersdal Kommune henvendelse til Datatilsynet med en forespørgsel om borgeradgang til en mobil udgave af kommunens selvbetjeningsløsning Min Rude – MobilRuden – via smartphones eller iPads.
Datatilsynet besvarede henvendelsen den 29. november 2011. Tilsynets svar er offentliggjort her.
Datatilsynet tilkendegav, at hvis udfaldet på Rudersdal Kommunes overvejelser om sikkerheden i løsningen er, at der i et eller andet omfang kan etableres adgang til personoplysninger, herunder følsomme personoplysninger, bør kommunen efter Datatilsynets opfattelse også give mulighed for at spærre adgangen i de tilfælde, hvor brugeren ikke har adgang til Min Rude.
2. På telefonisk forespørgsel fra Datatilsynet oplyste Rudersdal Kommune den 20. december 2011, at der ikke var etableret adgang til at spærre den mobile adgang i de tilfælde, hvor brugeren ikke har adgang til Min Rude.
Datatilsynet tog herefter sagen op af egen drift med henblik på at afklare, om Rudersdal Kommune lever op til persondatalovens1 sikkerhedskrav i forbindelse med muligheden for at spærre adgangen til den omhandlede selvbetjeningsløsning.
3. Ved e-mail af 23. december 2011 fremkom Rudersdal Kommune efter anmodning fra Datatilsynet med en redegørelse.
Rudersdal Kommune oplyste bl.a., at der i forbindelse med MobilRuden – i begrænset omfang – behandles personfølsomme oplysninger i form af modtagelse af NemPost. Kommunen henviste til borgerens mulighed for at for at gå på Min Rude og slette den godkendte enhed. I forhold til de af Datatilsynet skitserede yderligere tilfælde, hvor der kan være behov for at spærre adgangen til MobilRuden2 , anførte kommunen, at en iPhone-bruger har mulighed for at lukke sin iPhone, herunder adgangen til MobilRuden, på få sekunder via hjemmesiden www.icloud.com. Brugeren kan gøre dette uden adgang til Min Rude og uden NemID.
4. Datatilsynet har i sin udtalelse af 1. november 2010 vedrørende behandling af personoplysninger i NemPost3 lagt til grund, at Rudersdal Kommune og Gentofte Kommune er dataansvarlige for de behandlinger af personoplysninger, der sker i forbindelse med administration af NemPost-ordningen.
5. Den 13. marts 2012 skrev Datatilsynet herefter til såvel Gentofte Kommune som Rudersdal Kommune. Tilsynet udtalte bl.a. følgende:
”Ved vurderingen af, hvilke sikkerhedsforanstaltninger Gentofte Kommune og Rudersdal Kommune skal træffe for at leve op til persondatalovens § 41, stk. 3, må det efter Datatilsynets opfattelse tages i betragtning, at der er tale om adgang til NemPost og dermed til fortrolige og følsomme4 personoplysninger fra en række myndigheder og virksomheder, som er fremsendt til de enkelte borgere via NemPost, eller som borgeren har sendt til myndighederne via løsningen.
På denne baggrund er det Datatilsynets opfattelse, at de fornødne sikkerhedsforanstaltninger efter persondatalovens § 41, stk. 3, bl.a. omfatter mulighed for borgerne til at spærre for den omhandlede mobile adgang.
Det er endvidere tilsynets opfattelse, at der er behov for en eller flere muligheder for at spærre den mobile adgang også uden at logge ind på Min Rude med NemID.
Datatilsynet tænker herved på borgere, der – f.eks. ved et tyveri – har mistet både deres mobile enhed og deres nøglekort til NemID, borgere, som ikke er i nærheden af deres nøglekort, når de mister deres enhed (f.eks. i forbindelse med rejser o.lign.), samt borgere, hvis NemID er spærret.
Efter Datatilsynets opfattelse bør Gentofte Kommune og Rudersdal Kommune give mulighed for omgående spærring af den mobile adgang – f.eks. ved opkald til et telefonnummer – når der er behov for dette. Datatilsynet skal pege på, at en sådan adgang til spærring findes i forhold til f.eks. NemID. Tilsynet kan i den forbindelse endvidere henvise til OCES-certifikat-politikken5 , som efter tilsynets opfattelse anviser et tilstrækkeligt beskyttelsesniveau, når der er tale om adgang til følsomme personoplysninger.”
Datatilsynet fandt endvidere, at muligheden for at spærre eller ”wipe” sin telefon på hjemmesiden www.icloud.com ikke opfyldte kravet om, at der skal etableres mulighed for spærring af den mobile adgang.
6. Ved e-mail af 22. marts 2012 er Rudersdal Kommune og Gentofte Kommune fremkommet med udtalelser til sagen.
6.1. Rudersdal Kommune er ikke uenig i, at forpligtelsen efter persondataloven § 41, stk. 3, omfatter sikring af, at uvedkommende ikke kan tilgå og anvende den personlige MobilRuden. Rudersdal Kommune er derfor heller ikke uenig i Datatilsynets opfattelse, hvorefter de fornødne sikkerhedsforanstaltninger, jf. § 41, stk. 3, omfatter mulighed for borgerne for at spærre for den omhandlede mobile adgang.
Rudersdal Kommune er derudover enig i, at der er behov for adgang til at spærre for den mobile adgang – også uden login med NemId.
Kommunen har derfor tidligere i brev til Datatilsynet redegjort for muligheden på www.icloud.com og kan nu også redegøre for yderligere en løsning – NemStop.dk.
Rudersdal Kommune har oplyst, at NemStop.dk opfylder det behov, der opstår, når – som af Datatilsynet skitseret – en borger har mistet både den mobile enhed og nøglekortet, for en borger, som blot ikke er i nærheden af nøglekortet, samt for en borger, hvis NemID er spærret. Derudover kræver NemStop.dk ikke anvendelse af særlige operativsystemer og/eller funktioner men kan altså umiddelbart tilgås og spærres af brugere af MobilRuden til Android og iPhone. Nemstop.dk kræver ikke brug af nøglekort.
Nemstop.dk giver derfor adgang til omgående spærring af den mobile adgang. Derudover henviser kommunen til sit svar af 23. december 2011 for yderligere tilfælde af adgang til spærring og sletning af mobil adgang i forskellige henseender, hvilke alle vil blokere for uvedkommendes adgang til MobilRuden.
Rudersdal Kommune har anført, at en blokering af adgangen – uanset metode – vil hindre uvedkommendes forsøg på at kompromittere og tilegne sig persondata. Denne sikkerhedsforanstaltning tilvejebragt af Rudersdal Kommune anser kommunen for fuldt ud tilstrækkelig i forhold til opfyldelse af sikkerhedskravene, jf. persondataloven § 41, stk. 3.
Det er endvidere oplyst, at NemStop.dk er en umiddelbar adgang til spærring, og på grund af login med brugernavn, selvvalgt kode og personnummer (hvilke er tre komponenter, den retmæssige bruger altid er i besiddelse af) sikres derudover, at kun den retmæssige bruger kan spærre den mobile adgang.
NemStop.dk er desuden hostet med overvågning døgnet rundt. Det er derfor Rudersdal Kommunes opfattelse, at NemStop.dk opfylder de krav for omgående spærring, som Datatilsynet efterspørger.
Kommunen har desuden henledt opmærksomheden på, at kombinationen af aktiveringskode, selvvalgt brugernavn og selvvalgt adgangskode er niveauet over en ren pinkodeløsning, og at personer, der uretmæssigt tilegner sig en given enhed – udover denne enhed – skal være i besiddelse af brugernavn, adgangskode samt en udgave af MobilRuden, der ikke er lukket ved én af nævnte foranstaltninger. En adgang, der er lukket, kan ikke åbnes igen uden genaktivering, hvilket kræver brug af NemID og adgang til Min Rude.
På denne baggrund er det stadig Rudersdal Kommunes opfattelse, at persondata nyder et tilstrækkeligt højt sikkerhedsniveau, og kommunen anser det for en misforståelse, at sikkerhedskravene ikke skulle være iagttaget ved login til NemPost via MobilRuden.
6.2. Gentofte Kommune har oplyst, at behovet for som borger at kunne spærre sine mobile adgangsmuligheder til de digitale selvbetjeningsløsninger helt selvfølgeligt indgår i den sikkerhedstænkning, der i Rudersdal og Gentofte kommuner indgår i alle digitale udviklingstiltag.
Kommunerne har derfor sikret udvikling af en løsning, som giver mulighed for, at borgerne – 24/7 – kan spærre den mobile adgang – også til NemPost.
Løsningen hedder NemStop.dk og fungerer således, at den kan tilgås fra enhver internetforbindelse døgnet rundt. Brugeren – eller den han bemyndiger hertil – har her mulighed for via brugernavn, password og cpr-nr. at spærre den mobile adgang.
Gentofte Kommune har anført, at de kommuner, hvor borgerne har mobil adgang til NemPost kombineret med NemStop-løsningen, således kan sikre, at borgerne kan spærre for den mobile adgang til selvbetjeningsløsningen uden at have adgang til denne.
Gentofte Kommune oplyser i øvrigt, at alle brugere af NemPost i Gentofte Kommune skal logge på med NemID.
7. Datatilsynet har noteret sig det af Rudersdal Kommune og Gentofte Kommune oplyste og foretager sig herefter ikke yderligere i sagen.
Datatilsynet må forbeholde sig sin stilling, hvis der i relation til persondataloven skulle vise sig uhensigtsmæssigheder ved brugen af den skitserede sikkerhedsløsning.
Tilsynet skal for god ordens skyld oplyse, at dette brev forventes offentliggjort på tilsynets hjemmeside.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
2 Datatilsynet nævnte som eksempler herpå tilfælde, hvor borgere – f.eks. ved et tyveri – har mistet både deres mobile enhed og deres nøglekort til NemID, tilfælde hvor borgere ikke er i nærheden af deres nøglekort, når de mister deres enhed (f.eks. i forbindelse med rejser o.lign.), samt tilfælde hvor borgeres NemID er spærret
3 Jf. Datatilsynets j.nr. 2010-631-0114
4 Som følsomme personoplysninger regnes oplysninger omfattet af persondatalovens § 7 og § 8 – dvs. oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, helbredsmæssige, seksuelle og strafbare forhold, væsentlige sociale problemer og andre rent private forhold
5 www.nemid.nu/digital_signatur/oces-standarden/oces-certifikatpolitikker/POCES_Certifikatpolitik_version_4.pdf - se afsnit 7.3.6 om certifikatspærring