Udvalget for Videnskab og Teknologi 2009-10
UVT Alm.del
Offentligt
881355_0001.png
881355_0002.png
881355_0003.png
881355_0004.png
Ministeren for videnskab, teknologi og udvikling
Udvalget for Videnskab og TeknologiFolketingetChristiansborg1240 København K
Hermed fremsendes svar på spørgsmål nr. 198 og 199 (Alm. del) stillet af Udval-get for Videnskab og Teknologi den 20. juli 2010. Spørgsmålene er stillet efterønske fra Per Clausen (EL)..
17. august 2010
Ministeriet for VidenskabTeknologi og UdviklingBredgade 431260 København KTelefon3392 97003332 3501[email protected]www.vtu.dk1680 5408
Med venlig hilsen
TelefaxE-postNetsted
Charlotte Sahl-Madsen
CVR-nr.
Sagsnr.Dok nr.Side14730361/1

Spørgsmål nr. 198 og 199 (Alm. del) stillet af Udvalget for Videnskab og

Teknologi den 20. juli 2010 til Ministeren for videnskab, teknologi og udvik-

ling.

Spørgsmål 198

Kan ministeren bekræfte, at persondatalovens regler om samtykke og krypteringogså gælder, når der anvendes sms i forbindelse med Nem id?

Svar

IT- og Telestyrelsen oplyser, at den pågældende anvendelse af sms er omfattet afpersondataloven.Ministeriet for Videnskab
IT- og Telestyrelsen har til besvarelse af spørgsmålet indhentet følgende udtalel-se om samtykke og kryptering fra DanID, som er den driftsansvarlige operatør påløsningen, og som i henhold til persondataloven må betragtes som den dataan-svarlige:” Det kan oplyses, at sms i nogle tilfælde anvendes til udsendelse af meddelelsertil brugeren, herunder midlertidig adgangskode til aktivering af NemID. Det skeralene, når borgeren har angivet sit mobiltelefonnummer og er korrekt legitimereteller kendt i systemet.Borgeren vælger selv, om brugeren vil opgive et mobilnummer, og brugeren op-lyses om, at supportfunktionen kan sende meddelelser, herunder en midlertidigadgangskode som sms til mobiltelefonen, hvis brugeren skulle få brug for det.Den midlertidige adgangskode kan kun benyttes en gang og skal erstattes af en afbrugeren valgt ny kode. Den fremsendte midlertidige adgangskode indeholder ik-ke personnummer eller lignende oplysning om brugeren. Der udsendes såledesikke fortrolige personoplysninger via sms. Der foretages ingen kryptering af dissesms’er.Samtykkekravet i persondataloven i relation til udsendelse af meddelelser viasms anses opfyldt, når brugeren eksplicit vælger at angive mobiltelefonnumme-ret, hvis brugeren ønsker at modtage meddelelser på den måde.Persondataloven indeholder ikke eksplicitte bestemmelser vedrørende kryptering,men § 41, stk. 3 foreskriver, at der skal træffes foranstaltninger til imødegåelseaf, at data kommer i de forkerte hænder eller på anden måde forvanskes eller for-tabes. Bestemmelsen gælder såvel dataansvarlige som databehandlere.I praksis er reglen i persondataloven suppleret af bekendtgørelse nr. 528 af 15.juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger,som behandles for den offentlige forvaltning og den tilhørende vejledning nr. 37af 2. april 2001. Reglerne for offentlige virksomheder har haft en afsmittende ef-fekt for private virksomheder. Af bekendtgørelsen og vejledningen fremgår det:
Teknologi og UdviklingBredgade 431260 København KTelefonTelefaxE-postNetstedCVR-nr.3392 97003332 3501[email protected]www.vtu.dk1680 5408
Dok nr.Side
14730361/1
”Hvis der er tale om transmission af fortrolige oplysninger, herunder person-nummer, skal der som minimum foretages en kryptering.”DanID har vurderet, at en sms, der indeholder en midlertidig adgangskode, ikkeer fortrolige oplysninger i persondatalovens forstand, da den ikke indeholder op-lysninger om borgeren.”Jeg henholder mig til denne udtalelse fra DanID og fra IT- og Telestyrelsen.

Spørgsmål 199

Kan ministeren bekræfte, at det vil være nødvendigt med en backup på serverenmed private kryptonøgler og at dette vil indebære, at samtlige nøgler vil kunnetrækkes ud som software fra en sådan backup og at alle nøgler, som følge af dettevil kunne kompromiteres?Ministeriet for Videnskab

Svar

IT- og Telestyrelsen har til besvarelse af spørgsmålet indhentet følgende udtalel-se fra DanID, som er den driftsansvarlige operatør på løsningen:”DanID er underlagt de certifikatpolitikker, der gælder for udbydere af OCES-certifikater (Offentlige Certifikater til Elektronisk Service). I certifikatpolitikker-ne stilles en række krav til udbyderens udstedelsesprocesser, nøglehåndtering,certifikathåndtering, anvendelse af algoritmer samt styring og drift af det tekniskemiljø og de organisatoriske procedurer. For at opfylde disse krav er det bl.a. nød-vendigt, at den server, som beskytter brugerens private kryptonøgler er dubleret,og at det er muligt at foretage kontrollerede og autoriserede kloner/backup af ser-veren. I den konkrete implementering af NemID opbevares nøglerne på special-designet hardware, der er placeret på to forskellige lokationer. Sikkerheden i ser-verne er blandt andet baseret på kryptografiske moduler, såkaldte Hardware Se-curity Modules (HSM), der teknisk understøtter sikkerhedsprocedurer, hvor klo-ning/backup kun kan finde sted under kontrollerede forhold med deltagelse af fle-re betroede medarbejdere. En kloning/backup kræver således bl.a. anvendelse afto specifikke chipkort, der i DanID er placeret hos betroede medarbejdere i toforskellige organisatoriske enheder. Anvendelse af kontrollerede og autoriseredekloner/backup af HSM er gængs praksis for udbydere af certifikater.Det bemærkes, at DanID er underlagt løbende ekstern systemrevision som en delaf kravene fra certifikatpolitikken.Det kan ikke afvises, at det, ved at omgå alle praktiske, tekniske og procedure-mæssige sikkerhedsforanstaltninger, som DanID via certifikatpolitikerne ogDanID’s certificeringspraksis er underlagt, vil være muligt for DanID at lave enren softwareklon/backup af serveren med brugernes private kryptonøgler. Dettevil dog forudsætte at flere uafhængige betroede personer hos DanID optræder istrid med certifikatpolitikernes krav og vil være et klart brud på de forpligtelserog krav, DanID er underlagt.
Teknologi og Udvikling
Side
2/2
Det skal understreges, at selvom alle sikkerhedsforanstaltninger blev overtrådt,og der således i teorien er mulighed for at lave en softwareklon, vil dette ikke gi-ve DanID adgang til brugernes private nøgler, da disse er krypteret, og dermedutilgængelige uden anvendelse af brugerens selvvalgte adgangskode, der ikkekendes af DanID. Det samme gælder også, når DanID foretager kontrollerede ogautoriserede kloner/backup i hardware.”Jeg henholder mig til denne udtalelse fra DanID.
Ministeriet for VidenskabTeknologi og Udvikling
Side
3/3