UVT, Alm.del - 2009-10 - Bilag 270: Orientering vedr. debatten i medierne om krav fra Datatilsynet til DanID, fra videnskabsministeren

Til udvalget fremsendes hermed til orientering:På baggrund af den verserende debat i medierne, senest i Børsen den 2. septem-ber 2010, om krav fra Datatilsynet til DanID om spærring af 27.611 NemID,fremsender jeg hermed til orientering en redegørelse for sagens forløb og status.Den 4. august rettede IT- og Telestyrelsen henvendelse til DanID på baggrund afen henvendelse om, at en borger havde modtaget de to breve med henholdsvisNemID-nummer, nøglekort og midlertidig adgangskode samme dag. DanID oply-ste, at der var tale om en fejl hos printleverandøren, og IT- og Telestyrelsen ud-bad sig herefter en nærmere redegørelse for fejlen og bad dem opstramme proce-durerne for udsendelse, således at risikoen for, at fejlen kunne opstå igen, blevminimeret.Datatilsynet anmodede den 17. august DanID om en redegørelse på baggrund afen klage fra en borger, der ligeledes havde modtaget de to breve samme dag. Den24. august fremsendte DanID redegørelsen til Datatilsynet. I redegørelsen kort-lægges årsagen til fejlen, og der redegøres endvidere for den opstramning af pro-cedurer for udsendelse, som allerede var foretaget på baggrund af IT- og Telesty-relsens henvendelse til DanID.DanID konstaterer i redegørelsen, at fejlen potentielt berører op til 27.611 borge-re, somkanhave – men ikke nødvendigvis har – modtaget de to breve sammedag.Hverken DanID eller IT- og Telestyrelsen modtaget henvendelser om, at borgerehar oplevet tegn på forsøg på identitetstyveri, for eksempel ved ikke at ha-ve modtaget de to breve, der begge er nødvendige for at aktivere NemID, ellermodtaget breve, hvor forseglingen har været brudt.Det skal påpeges, at identitetstyveri på baggrund af modtagelse af de to brevesamme dag kræver, at der begås indbrud i andre borgeres postkasser, at post stilettil andre borgere brydes, og at man uberettiget aktiverer NemID udstedt til en an-den borger. Alle disse enkeltstående handlinger er strafbare i henhold til straffe-loven.På den baggrund konkluderede DanID i redegørelsen til Datatilsynet, at afvejnin-gen af overholdelsen af sikkerhedsprocedurerne i forhold til de gener, som enspærring ville medføre for de berørte borgere, efter DanIDs opfattelse ikke skulle

føre til, at det var nødvendigt at spærre de potentielt berørte 27.611 certifikater.Datatilsynet har vurderet sagen anderledes og har anmodet DanID om alligevel atspærre de omhandlede certifikater. Det vil DanID nu efterkomme hurtigst muligtpå den for de berørte borgere mest skånsomme måde.Jeg har på den baggrund fuld tillid til sikkerheden omkring NemID og til, at detiltag, der er foretaget i denne uheldige sag, er tilstrækkelige.