Datatilsynet har truffet afgørelse i en sag om Digitaliseringsstyrelsens benyttelse af JavaScript. Digitaliseringsstyrelsen anvender JavaScript som programmeringssprog til bl.a. at udstille MitID login-klienten. Tilsynet besluttede at undersøge sagen af egen drift på baggrund af en henvendelse fra en borger.
Datatilsynet udtalte kritik af Digitaliseringsstyrelsen for ikke at have påvist, at styrelsen havde identificeret de risici, som anvendelsen af JavaScript indebærer for de registrerede, og for ikke at have påvist, at de havde indført passende tekniske sikkerhedsforanstaltninger til at beskytte de registrerede mod disse risici. Dette var på baggrund af, at Digitaliseringsstyrelsen ikke specifikt havde vurderet risikoen for de registreredes rettigheder ved brugen af JavaScript.
Mangel på særskilt risikovurdering
Datatilsynet fastslog, at det er en forudsætning for brugen af en teknologi som JavaScript i kritisk national infrastruktur (som MitID), at den dataansvarlige foretager en særskilt risikovurdering. Dette er især relevant, når det er kendt, at teknologien kan indebære sikkerhedsmæssige risici. Datatilsynet bemærkede i den forbindelse, at der er flere offentligt kendte misbrugsscenarier ved brug af JavaScript. Det er derfor tilsynets opfattelse, at disse risikoscenarier skulle have været adresseret, hvor det måtte være relevant.
I den konkrete sag havde Digitaliseringsstyrelsen oplyst, at de ikke havde udført en specifik vurdering af risikoen for de registreredes rettigheder ved brugen af JavaScript. Styrelsen påpegede dog, at der var foretaget en risikovurdering af MitID, hvor relevante risici var afdækket – herunder overordnede risici ved kodekvalitet, som JavaScript hører under.
Digitaliseringsstyrelsen anførte derudover, at JavaScript er et globalt anvendt programmeringssprog til integration med browsere, og at mange af de funktioner og applikationer, der gør internettet anvendeligt i dag, er kodet i en eller anden form for JavaScript. Digitaliseringsstyrelsen henviste også til, at styrelsen i 2013 fik vurderet sikkerhedstiltag ved indførelsen af JavaScript i NemID-løsningen, hvor konklusionen var, at JavaScript-løsningen forventedes at have samme eller endda et potentielt højere sikkerhedsniveau end den daværende løsning.
Passende sikkerhedsforanstaltninger
Selvom det ikke fremgår af databeskyttelsesforordningen, hvor detaljerede risikovurderinger skal være, er det Datatilsynets opfattelse, at den dataansvarlige imidlertid er forpligtet til at fastlægge et passende niveau i betragtning af de konkrete og relevante risici, herunder i forhold til den anvendte teknologi.
”Det er essentielt at en dataansvarlig reelt vurderer de brugsscenarier en brugers personoplysninger gennemgår. Dette gælder også, selvom løsningen er baseret på standardteknologier. Eventuelle kendte designmæssige svagheder og angrebsvektorer skal indgå i de vurderinger, den dataansvarlige foretager med henblik på at træffe passende sikkerhedsforanstaltninger eller redesigne behandlingsforløbet. Det er endvidere væsentligt at holde sig for øje, at en standardteknologi – ikke altid – kan bibringe den fornødne sikkerhed, når behandlingen vedrører scenarier, hvor brugerens potentielle rettighedstab er betydeligt” udtaler Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet.
Vil du vide mere?
Læs hele afgørelsen her.
Du kan også finde Datatilsynets podcastepisode og informationstekst om risikovurdering her.