Datatilsynet har truffet afgørelse i en egendriftssag vedrørende IT-systemet Mediconnect, som udbydes af EG Digital Welfare ApS (EG). Mediconnect bliver bl.a. brugt af kommuner, regioner og forsikringsselskaber til at håndtere følsomme og fortrolige oplysninger om borgere. EG agerer i den sammenhæng databehandler for IT-systemet Mediconnect.
Af sagen fremgår det, at der i IT-systemet Mediconnect bliver opbevaret passwords i klartekst, og at der er adgang til oplysninger af særlige kategorier udelukkende ved login med brugernavn og password.
På den baggrund har Datatilsynet udtalt kritik af EG og udstedt et påbud om at foretage en irreversibel kryptering af passwords, sådan at disse ikke findes i IT-systemet Mediconnect i klartekst. Herudover har tilsynet givet EG et påbud om at sikre, at login-løsningen, der giver adgang til personoplysninger af særlige kategorier, ikke sker udelukkende ved brug af brugernavn og password.
Sikring af login til særlige kategorier af oplysninger
Afgørelsen fastslår, at det normalt ikke vil være passende sikkerhed at give adgang til oplysninger af særlige kategorier alene ved indtastning af brugernavn og password, når dette sker over et netværk, som man ikke har kontrol over.
Det er i forlængelse heraf Datatilsynets opfattelse, at en-faktor-login medfører en forhøjet risiko for misbrug af adgange samt risiko for, at adgange deles af flere brugere, sådan at en eventuel logning af adgange til systemet ikke længere er effektiv, idet man ikke kan være sikker på, hvem der reelt har anvendt hvilke adgange.
Datatilsynet foreslår, at adgangen udbygges ud over brugernavn og password. Dette kunne være multifaktor-login, brug af certifikater, tokens eller en PKI-løsning.
Vil du vide mere?
Læs afgørelsen her.
Du kan læse mere om behandlingssikkerhed her.
Du kan læse mere om sikker håndtering af passwords i CFCS’ vejledning (Tip nr. 8 på side 22-33) her.
Journalister kan kontakte presseansvarlig Anders Due på tlf. 29 49 32 83.