Journalnummer: 2011-323-0264
Datatilsynet vender hermed tilbage til sagen, hvor Rudersdal Kommune den 1. september 2011 har rettet henvendelse til Datatilsynet med en forespørgsel om login på SkoleIntra. Det fremgik oprindeligt af sagen, at Rudersdal Kommune havde valgt at ændre den måde, den enkelte bruger – forælder – tilgår Skoleintra på, således at login skulle ske med NemID.
Siden er Datatilsynet via medierne blevet bekendt med, at Rudersdal Kommune har forladt brugen af NemID i løsningen. Det fremgår således af en artikel på DR nyheder den 3. november 20111 , at der har været højlydte protester over, at det er blevet for besværligt at logge sig på SkoleIntra, samt at dette har fået Rudersdal til at gå tilbage til at bruge pinkoder som adgang fra den 1. december 2012.
I den anledning afgiver Datatilsynet følgende vejledende udtalelse:
1. I forhold til digitale løsninger har tilsynet i forskellige sammenhænge anbefalet brug af digital signatur eller anden to faktor-løsning frem for adgangskode i forbindelse med adgang til myndigheders systemer med følsomme personoplysninger via internet. Der henvises til Datatilsynets hjemmesidetekst ”Transmission af personoplysninger over internettet”2 samt de retningslinjer, der følger af tilsynets udtalelse til Københavns Kommune og Cap Gemini af 7. september 20003 , der også henvises til i hjemmesideteksten.
Datatilsynet kan endvidere henvise til sin udtalelse af 29. november 2011 til Rudersdal Kommune4 , hvori tilsynet har gennemgået de omtalte retningslinjer af 7. september 2000.
Ved vurderingen af, om der er behov for en ekstra sikkerhedsfaktor – ud over brugernavn og adgangskode – må kommunen efter Datatilsynets opfattelse tage karakteren af de oplysninger, der håndteres i løsningen, i betragtning. Herunder om der er tale om en løsning, der må forventes løbende at skulle håndtere følsomme personoplysninger, eller en løsning, hvor oplysninger af følsom karakter ikke er det typiske, men kun optræder tilfældigt og i meget begrænset omfang. Det kan evt. indgå i vurderingen, om der løbende sker sletning, således at e-mail og dokumenter med følsomme personoplysninger ikke gemmes i over en måned.
Datatilsynet skal understrege, at ansvaret for, at sikkerheden i de løsninger, der anvendes, er tilstrækkelig, påhviler Rudersdal Kommune.
For god ordens skyld skal Datatilsynet endvidere bemærke, at Rudersdal Kommune i forbindelse med indretningen af digitale løsninger også skal leve op til almindelige forvaltningsretlige regler og grundsætninger. Der henvises til de udtalelser herom, som Folketingets Ombudsmand er fremkommet med. Eksempelvis Folketingets Ombudsmands nyhed af 21. december 20115 , hvor det bl.a. udtales: ”Myndighederne kan ikke uden videre kræve at borgerne skriver elektronisk til dem. Kun hvis det står i loven.”
I den forbindelse må Rudersdal Kommune tage i betragtning, at ikke alle borgere har en NemID og ej heller har pligt til at have en sådan.
2. Rudersdal Kommune har i sagen påpeget, at tilsynet i flere sager har bedt kommunen om redegørelser for dens overholdelse af persondataloven. Kommunen finder det i den forbindelse utilfredsstillende, at kommunen ikke har fået svar på forespørgslen i denne sag, men i stedet blot løbende er blevet orienteret om tilsynets travlhed.
Datatilsynet er nødt til løbende at prioritere behandlingen af sine sager. Desværre vil der derfor være længere sagsbehandlingstid end ønskeligt ved visse typer sager. I forhold til en igangværende løsning kan der være anledning til for tilsynet at stille spørgsmål til sikkerheden. Det var f.eks. tilfældet med spørgsmålet om borgernes muligheder for at spærre den mobile adgang til NemPost (via MobilRuden). Dette vil i visse tilfælde kunne forlænge sagsbehandlingstiden for andre typer sager.
Det skal for en god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside.
1 www.dr.dk/P4/Kbh/Nyheder/Rudersdal/2011/11/03/071408.htm
2 www.datatilsynet.dk/offentlig/sikkerhed/transmission-over-internettet/
3 Udtalelse vedrørende elektronisk borgerservice til Københavns Kommune: www.datatilsynet.dk/index.php
4 Jf. Datatilsynets j.nr. 2011-323-0268. Tilsynets udtalelse i sagen er tilgængelig her: www.datatilsynet.dk/afgoerelser/arkiv-over-afgoerelser/artikel/borgeradgang-til-mobil-udgave-af-rudersdal-kommunes-selvbetjeningsloesning/
5 www.ombudsmanden.dk/find/nyheder/alle/gammeldags_vis/pdf
- se også:
www.ombudsmanden.dk/om/formidling_og_viden/publikationer/notater/
forvaltningsretlige_krav_til_det_offentliges_it/