Datatilsynet udtaler alvorlig kritik i sag om nedbrud af NemID

Dato: 28-05-2024

Datatilsynet har truffet afgørelse i en sag om nedbrud af NemID i juni 2022, hvor op mod 1,5 mio. af NemID-brugerne oplevede problemer med at anvende NemID.

I fire dage kunne de pågældende brugere ikke tilgå større offentlige danske tjenester som borger.dk, e-Boks, sundhed.dk og minretssag.dk ved login med NemID. Nets DanID A/S, som var dataansvarlig på tidspunktet for hændelsen, fulgte deres nødprocedure i forsøget på at genoprette normal drift, ved at gendanne en server med en backup-løsning. Det var imidlertid ikke muligt for Nets DanID A/S at genoprette normaldriften før fire dage efter nedbruddet, da backup-løsningen var utilgængelig. Den test af nødproceduren, der kunne have konstateret årsagen til, at backup-løsningen var utilgængelig, blev senest foretaget ca. to år inden nedbruddet.

Datatilsynet har konkluderet i sagen, at Nets DanID A/S’ procedurer vedrørende afprøvning, vurdering og evaluering af effektiviteten af backup-løsningen ikke var tilstrækkelige. Derudover har Datatilsynet vurderet, at Nets DanID A/S ikke havde truffet tilstrækkelige foranstaltninger for at sikre vedvarende robusthed af NemID-løsningen. På den baggrund har Datatilsynet udtalt alvorlig kritik af Nets DanID A/S, for ikke at have tilstrækkelige foranstaltninger for at opnå et sikkerhedsniveau, der passede til de risici, der var for borgerne.

Datatilsynet har lagt særligt vægt på, at der var tale om kritisk, national infrastruktur, og at nedbruddet derfor potentielt kunne medføre betydelige konsekvenser for de berørte borgere - ikke mindst taget den lange periode i betragtning, som nedbruddet varede.

NemID blev udfaset den 31. oktober 2023, hvorefter det ikke længere var muligt at få og anvende NemID. MitID blev lanceret i 2021 og har erstattet NemID. Afgørelsens indhold om særligt robusthed og i den forbindelse test af backup og genetablering er dog fortsat relevant for dataansvarlige og databehandlere i forhold til andre løsninger. Særligt når der er tale om kritisk, national infrastruktur.

Test af backup og genetablering

Databeskyttelsesforordningens krav om passende sikkerhed vil normalt indebære, at der bør foretages test af backup. Det betyder, at det testes jævnligt, om backup udføres med de forventede intervaller (hyppighed), og om backup-kopien er tilgængelig, indeholder alle relevante data (omfang) og er retvisende (integritet). Derudover bør der foretages test af genetablering, hvor det testes om data reelt kan genindlæses og anvendes i et it-system. Dette er en test af, (1) om genetablering kan udføres med eksisterende vejledninger/procedurer, (2) at alt det, som der er kopier af (hardware, software, data) kan fungere sammen, og (3) at genetablering kan ske hurtigt nok i forhold til, at konsekvensen normalt stiger med tiden (Recovery Time Objective).

Vil du vide mere?

Læs afgørelsen her. Visse oplysninger i afgørelsen om tekniske forhold er udeladt efter ønske fra Nets DanID A/S.

Læs også Datatilsynets vejledning om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger her. 

 

Katalog over foranstaltninger

Læs mere om backup i Datatilsynets katalog over foranstaltninger.