Journalnummer: 2011-323-0246
1.
På baggrund af henvendelser fra Kommunernes Landsforening samt en række kommuner har Datatilsynet vurderet brug af medarbejderes personlige NemID i kommunernes log-in procedurer.
Datatilsynets konklusioner – som foreligger efter behandling i Datarådet – sammenfattes nedenfor under pkt. 3.
Datatilsynet har endvidere udarbejdet konkrete eksempler til illustration af den omhandlede problemstilling. Eksemplerne vedlægges som bilag 1. En nærmere gennemgang af persondatalovens regler vedlægges som bilag 2.
2.
Indledningsvis bemærkes, at brug af NemID som log-in blot er ét element i den samlede beskyttelse, som kommunerne som dataansvarlige myndigheder skal sørge for, er på plads. I det følgende fokuseres på brug af medarbejderes private NemID som en komponent i den samlede sikkerhedsløsning.
Det lægges herved til grund, at kommunerne har foretaget en risikovurdering omfattende alle elementer i løsningen og implementerer de fornødne sikkerhedsforanstaltninger til imødegåelse af de foreliggende risici.
Det lægges bl.a. til grund, at kommunerne supplerer brugen af medarbejderes private NemID med foranstaltninger, der gør, at medarbejderes autorisation og adgange kan styres alt efter deres stillinger og opgaver i kommunen, herunder at der sker tjek i kommunens Active Directory (AD).
3. Datatilsynets konklusioner
3.1. Brug af medarbejderes private NemID som log-in
- Medarbejderes private NemID kan anvendes ved log-in som alternativ til en adgang med brugernavn og adgangskode under følgende forudsætninger:
- Der må alene være tale om adgang til oplysninger, som hverken er af følsom eller fortrolig karakter, og:
- brug af den private NemID skal være et frivilligt tilbud for medarbejderne
Datatilsynet finder, at denne mulighed kan accepteres for at tilgodese hensynet til de medarbejdere, der ønsker en fleksibel adgang til f.eks. at logge på hjemmefra, og i de omhandlede tilfælde taler oplysningernes karakter ikke imod dette.
- Medarbejderes private NemID kan ikke anvendes som log-in til fortrolige og følsomme personoplysninger i kommunens it-systemer, eller
- hvis der stilles krav om, at medarbejdere skal bruge deres private
NemID i løsningen af deres arbejdsopgaver.
På grund af risiko for eksponering af personoplysninger – såvel medarbejderens personlige oplysninger som oplysningerne om borgerne i kommunens systemer – er det således Datatilsynets opfattelse, at det under disse omstændigheder ikke vil være i overensstemmelse med persondatalovens sikkerhedskrav, hvis kommuner anvender medarbejderes private NemID som log-in.
Datatilsynet har herved lagt vægt på, at når en autentifikationsmekanisme har til formål at forhindre, at persondata kommer til uvedkommendes kendskab, er det den dataansvarlige, der skal sikre de fornødne organisatoriske og tekniske sikkerhedsforanstaltninger omkring denne autentifikationsmekanisme.
Det bemærkes herved, at kommunen ikke har instruktionsbeføjelser i forhold til medarbejderes private brug af NemID. Kommunen kan derfor ikke i tilstrækkeligt omfang stille krav om, hvordan medarbejdere skal beskytte deres NemID.
Hertil kommer hensynet til medarbejderes mulighed for selv at kunne kontrollere sikkerheden på den computer og i det miljø, hvor de anvender deres private NemID – herunder muligheden for at undlade at benytte deres NemID under de givne forhold. Medarbejdere har som indehavere af en privat Nem-ID – der giver adgang til både deres private netbank og fortrolige og følsomme oplysninger om dem hos myndigheder mv. – selv et ansvar for at beskytte deres NemID1.
3.2 Brug af medarbejderes private NemID som en ekstra faktor på lige fod med en token
- Den private NemID kan anvendes som ekstra faktor, f.eks. når en sådan er påkrævet ved log-in til registre med følsomme personoplysninger via internet under følgende forudsætninger:
- den dataansvarlige myndighed skal sikre, at behandlingen af personoplysninger via den omhandlede adgang i det hele lever op til sikkerhedsbekendtgørelsen2 , jf. nærmere nedenfor
- brug af den private NemID til log-in skal være et frivilligt tilbud.
Med hensyn til sikkerhedsbekendtgørelsens krav skal Datatilsynet navnlig fremhæve følgende:
- forpligtelsen til at fastsætte nærmere retningslinjer, der uddyber, hvordan de fornødne sikkerhedsforanstaltninger konkret er etableret i organisationen
- kravet om instruktion af medarbejderne
- kravet om skriftlige aftaler med eventuelle databehandlere til sikring af, at datasikkerheden lever op til persondataloven og sikkerhedsbekendtgørelsen, samt at den dataansvarlige påser dett
- kravet om særlige retningslinjer ved adgang ved brug af it-udstyr uden for den dataansvarliges lokaliteter (hjemmearbejdspladser o.l)
- kravet om fysisk sikkerhed
- iagttagelse af de fornødne sikkerhedsforanstaltninger i forbindelse med reparation og service samt ved salg og kassation af anvendte datamedier
- kravet om en formel autorisationsprocedure, der sikrer, at kun personer, som autoriseres hertil, har adgang til personoplysninger, og at der kun autoriseres personer, for hvem adgangen er nødvendig som led i deres jobfunktion, at disse tildeles et individuelt personligt log-in, og den udstedte autorisation ændres eller lukkes ved medarbejderens fratræden eller flytning inden for organisationen
- kravet om, at der ved transmission via internettet (eller andre åbne net) foretages en risikovurdering omfattende alle elementer i løsningen, at der implementeres de fornødne sikkerhedsforanstaltninger til imødegåelse af de foreliggende risici, herunder brug af kryptering, hvis fortrolige eller følsomme personoplysninger overføres via internettet (eller andre åbne net), og sikring af sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) i fornødent omfang ved anvendelse af passende sikkerhedsforanstaltninger
- kontrol med afviste adgangsforsøg, herunder blokering for yderligere forsøg efter et antal afviste adgangsforsøg
- registrering (logning) af alle anvendelser af personoplysninger.
4.
Datatilsynet vil generelt anbefale, at medarbejdersignatur og andre alternative log-in løsninger benyttes, hvor dette er muligt. Datatilsynet henviser samtidig til, at Digitaliseringsstyrelsen i forbindelse med sagens behandling har oplyst, at det er styrelsens generelle anbefaling, at myndigheder og virksomheder anvender medarbejdersignatur, når medarbejdere skal identificere sig og agere på vegne af virksomheden.
5.
Sagen giver i øvrigt anledning til at minde om Datatilsynets generelle anbefalinger vedrørende hjemmearbejdspladser:
- Fortrolige og følsomme personoplysninger må ikke behandles på medarbejderes private computere. Hvis sådan behandling undtagelsesvist skal ske, bør der foreligge en aftale mellem myndigheden og den ansatte herom, og myndigheden skal konkret have sikret sig, at beskyttelsen af personoplysninger er tilstrækkelig.
Datatilsynet henviser i den forbindelse til sikkerhedsvejledningen og forudsætter, at kommunerne foretager en risikovurdering af den samlede løsning, som også omfatter vurdering af de computere, der anvendes til fjernopkobling, samt at kommunerne fastsætter nærmere retningslinjer for behandling af personoplysninger på pc-arbejdspladser uden for kommunens lokaliteter.
6.
Datatilsynet kan konstatere, at nogle kommuner allerede anvender medarbejderes private NemID i log-in procedurer, som ikke er i overensstemmelse med de ovenfor anførte konklusioner.
Datatilsynet finder, at de pågældende kommuner snarest må ændre log-in procedurerne, således at log-in sker i overensstemmelse med persondataloven.
Kopi af dette brev sendes til de kommuner, som Datatilsynet har modtaget oplysninger fra i forbindelse med behandlingen af nærværende sag, og brevet offentliggøres også på tilsynets hjemmeside3.
Bilag 1: 6 konkrete eksempler på brug af medarbejdernes private NemID
Bilag 2: Gennemgang af relevante regler i persondataloven
Bilag 1: Konkrete eksempler på brug af medarbejdernes private NemID i log-in procedurer i kommuner
Eksempel 1
Kommune A har en medarbejderportal/intranet, hvor medarbejdere kan søge svar på en række almindelige oplysninger om kommunen, f.eks. generel nyhedsformidling, medarbejdertelefonlister, kommunens politikker mv. Oplysninger, der kategoriseres som almindelige ikke-følsomme oplysninger.
Af hensyn til kommunens og medarbejdernes behov for fleksibilitet ønsker kommunen at give alle medarbejdere mulighed for at foretage log-in til portalen, også med NemID.
Kommunen vurderer, at løsningen ikke udgør en sikkerhedsmæssig risiko. De har styr på, hvem der arbejder i kommunen ved registreringer i Active Directory (AD).
Medarbejderne vælger selv, om de vil bruge muligheden for at logge ind med deres private NemID.
Den påtænkte løsning med brug af medarbejdernes private NemID er i overensstemmelse med persondataloven, idet log-in ikke giver adgang til fortrolige og/eller følsomme oplysninger og ikke er påtvunget medarbejderne.
Eksempel 2
Kommune B har en medarbejderportal/intranet, hvor medarbejdere kan søge svar på en række almindelige oplysninger om kommunen, f.eks. generel nyhedsformidling, medarbejdertelefonlister, kommunens politikker m.v. Oplysninger, der kategoriseres som almindelige ikke-følsomme oplysninger.
Kommunen ønsker at oprette et system på portalen, hvor den enkelte medarbejder skal indberette ferie, kørsel m.v.
Medarbejder A i kommunen er ansat som administrativ medarbejder på rådhuset og har derfor adgang til portalen via sin arbejdsplads-pc, hvor log-in sker ved brugernavn og adgangskode.
Kommunen ønsker at indføre brug af privat NemID (samt tjek i AD) som log-in procedure til portalen, når log-in sker via fjernadgang, f.eks. hjemme fra medarbejderens egen pc.
Det er op til A, om han vil foretage indberetningen med sin private NemID via internettet, eller når han er på arbejde, hvor log-in sker med brugernavn og adgangskode.
Den påtænkte løsning med brug af medarbejderens private NemID er i overensstemmelse med persondataloven, idet log-in ikke giver adgang til fortrolige og/eller følsomme oplysninger, og medarbejderen kan vælge at foretage indberetning uden at bruge sin private NemID.
Eksempel 3
Kommune C har en medarbejderportal/intranet, hvor medarbejdere kan søge svar på en række almindelige oplysninger om kommunen, f.eks. generel nyhedsformidling, medarbejdertelefonlister, kommunens politikker m.v. Oplysninger, der kategoriseres som almindelige ikke-følsomme oplysninger.
Kommunen ønsker at oprette et system på portalen, hvor den enkelte medarbejder skal indberette ferie, kørsel m.v.
Medarbejder G i kommunen er ansat som gartner og har ikke adgang til portalen via en arbejdsplads-pc, hvor log-in sker med brugernavn og adgangskode.
Kommunen ønsker at indføre brug af privat NemID som log-in procedure til portalen, når log-in sker via fjernadgang, f.eks. hjemme fra medarbejderens egen pc, fra en fjernarbejdsplads-pc stillet til rådighed af kommunen eller fra en biblioteks-pc.
Når systemet er indført, vil kommunen stille krav om, at medarbejderen skal indberette ferie, kørsel m.v. ved brug af denne løsning og dermed af den private NemID.
Den påtænkte løsning med brug af medarbejdernes private NemID er ikke i overensstemmelse med persondataloven, idet medarbejderen er tvunget til at foretage indberetningen ved brug af sin private NemID.
Eksempel 4
Kommune D har indført digital selvbetjening som tilbud til kommunens borgere.
Kommunen har oprettet en supportgruppe, som kan hjælpe borgere med spørgsmål til selvbetjeningsløsningen, samt opklare eventuelle opståede fejl mv. i løsningen.
For at medarbejderne i supportgruppen kan udføre disse opgaver, skal de foretage log-in med deres private NemID, som er det eneste der kræves for at få adgang.
Den påtænkte løsning med brug af medarbejdernes private NemID er ikke i overensstemmelse med persondataloven, idet medarbejderne er tvunget til at udføre supportopgaverne ved brug af deres private NemID.
Eksempel 5
Kommune E tilbyder administrative medarbejdere at kunne arbejde hjemme fra, og at medarbejderne kan foretage log-in fra deres private pc.
Medarbejderne kan via log-in procedure med privat NemID logge på kommunens intranet. Med indtastning af brugernavn og adgangskode kan medarbejderne derefter logge på kommunens ESDH-system og et sagsbehandlingssystem. I disse systemer behandles fortrolige og følsomme personoplysninger.
Kommunen har foretaget en samlet risikovurdering omfattende alle elementer i løsningen, som bl.a. omfatter brug af citrix og NemID som ekstra faktor ved log-in. Kommunen har indført automatisk virusscanning og andre forholdsregler til imødegåelse af de risici, der følger med brug af medarbejdernes private pc til behandling af fortrolige og følsomme personoplysninger om kommunens borgere. Der er desuden fastsat særlige retnings-linjer for adgangen, og medarbejderne er blevet instrueret i, hvordan de anvender adgangen på sikker vis.
Hvis kommunen sørger for, at ordningen etableres, således at risici imødegås med de fornødne sikkerhedsforanstaltninger, vil det ikke være i strid med persondataloven, at privat NemID anvendes som en ekstra faktor ved log-in.
Eksempel 6
Kommune F giver medarbejderne mulighed for at logge ind med privat NemID i et system til al kommunikation mellem pædagoger og forældre. En del af kommunikationen omfatter fortrolige og følsomme personoplysninger.
Den private NemID skal anvendes som log-in og ikke som en ekstra faktor.
Den påtænkte løsning med brug af medarbejderens private NemID er ikke i overensstemmelse med persondataloven, da der indgår fortrolige og følsomme personoplysninger.
Bilag 2: Gennemgang af relevante regler i persondataloven
Det fremgår af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.
Det fremgår af lovforslagets bemærkninger til denne bestemmelse, at iværksættelse af de fornødne sikkerhedsforanstaltninger særligt er påkrævet, hvis behandlingen omfatter fremsendelse af oplysninger i et net.
For behandlinger af personoplysninger, der foretages for den offentlige forvaltning, finder sikkerhedsbekendtgørelsen2 anvendelse.
Det følger af sikkerhedsbekendtgørelsens § 5, at den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse.
Det følger endvidere, at bestemmelserne navnlig skal omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer.
Af sikkerhedsbekendtgørelsens § 6 fremgår, at den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, der behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de interne sikkerhedsbestemmelser, der er fastsat af myndigheden, jf. sikkerhedsbekendtgørelsens § 5.
Sikkerhedsbekendtgørelsen § 7, stk. 2, omhandler behandling af personoplysninger på pc-arbejdspladser uden for den dataansvarliges lokaler. Hvis sådan behandling sker, skal myndigheden fastsætte særlige retningslinjer herfor, således at det sikres, at bestemmelserne om sikkerhedsforanstalt-ninger iagttages.
I henhold til sikkerhedsbekendtgørelsens § 14 må der kun etableres eksterne sikkerhedsforbindelse, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger.
I Datatilsynets sikkerhedsvejledning4 er det nærmere angivet, hvorledes sikkerhedsbekendtgørelsens krav vil kunne opfyldes.
For så vidt angår behandling af personoplysninger, der finder sted uden for den dataansvarliges lokaler tænkes der i sikkerhedsvejledningen først og fremmest på hjemmearbejdspladser (arbejdsplads som etableres ved opstilling i en medarbejders hjem af en pc med forbindelse til arbejdsgiverens edbsystem, således at medarbejderen kan udføre visse arbejdsopgaver hjemmefra). Men bestemmelsen vil også gælde i en række andre tilfælde, hvor behandling foretages andre steder end ved de sædvanlige arbejdspladser på arbejdsgiverens lokaliteter (brug af bærbare pc´er under rejse, hos kunder eller klienter etc., anvendelse af en pc i en anden virksomhed eller myndighed, anvendelse af privat pc i hjemmet).
Når behandling af personoplysninger finder sted uden for den dataansvarliges lokaler, fremgår det af sikkerhedsvejledningen, at myndigheden skal foretage en vurdering ud fra de sikkerhedsmæssige forhold og fastsætte særlige retningslinjer på grundlag heraf.
Sikkerhedsvejledningen gennemgår en række af de sikkerhedsmæssige problemområder, som skal vurderes i forbindelse med fastsættelse af de særlige retningslinjer.
1. NemID-reglerne kan ses på: www.nemid.nu/om_nemid/regler/regler_for_nemid/
2. Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
3. www.datatilsynet.dk
4 Vejledning nr. 37 af 2. april 2001, som kan findes på www.datatilsynet.dk.