Påbud om ændringer i MitID-app efterlevet af Digitaliseringsstyrelsen

Dato: 12-07-2023

Digitaliseringsstyrelsen har nu efterlevet Datatilsynets påbud om at foretage nødvendige ændringer i MitID-appen i forbindelse med login med swipe-funktion for at sikre passende sikkerhed og privacy by design.

I september 2022 traf Datatilsynet afgørelse om alvorlig kritik af Digitaliseringsstyrelsen, efter at tilsynet havde modtaget en række anmeldelser om sikkerhedsbrud vedrørende MitID-appen. Flere brugere havde oplevet at få adgang til andre brugeres selvbetjeningsside på mitid.dk ved login med swipe-funktionen i appen. MitID-app-løsningen var nemlig designet og indrettet sådan, at det var muligt for brugere at godkende transaktioner i deres MitID-apps, som de ikke selv havde igangsat. På den måde kunne en bruger godkende en anmodning om login på en tjeneste på vegne af en anden bruger, og dermed uden at vide det logge denne ind på den pågældende tjeneste.

Digitaliseringsstyrelsen fik påbud om at foretage de nødvendige ændringer i MitID-appen, sådan at risikoen for, at en bruger ved brug af MitID-appen kunne komme til at godkende en transaktion, som vedkommende ikke selv havde igangsat, reduceredes til et niveau, der afspejler risikoen for det pågældende risikoscenarie.

Hvorfor alvorlig kritik og påbud?

Ved valg af reaktion lagde Datatilsynet blandt andet vægt på, at MitID-appen er en landsdækkende løsning, som Digitaliseringsstyrelsen stiller til rådighed som login-løsning for MitID, som er den danske nationale elektroniske identifikationsordning fastsat ved lov, og stilles til rådighed for som udgangspunkt alle danske statsborgere med flere til brug for at få adgang til en række digitale kerneydelser, for eksempel digital post fra det offentlige, netbank, mv. Brugerne må derfor efter tilsynets opfattelse med rette kunne forvente, at appen lever op til databeskyttelsesreglerne, herunder om passende sikkerhed og privacy by design med henblik på at sikre overholdelsen af det grundlæggende princip om fortrolighed og integritet.

Påbuddets efterlevelse

Digitaliseringsstyrelsen fik efter anmodning fra Digitaliseringsstyrelsen frist til den 30. juni 2023 til at efterleve påbuddet. Det er Datatilsynets vurdering, at påbuddet nu er efterlevet, idet Digitaliseringsstyrelsen har implementeret kanalsammenbinding ved login på tjenester med MitID-appen, hvormed brugeren nu med sin telefon skal scanne en QR-kode på den enhed, vedkommende er ved at logge ind på for at verificere, at det er den pågældende bruger, der er ved at logge ind.

Vil du vide mere?

Læs afgørelserne i sagen her.