Udvalget for Videnskab og Teknologi 2009-10
UVT Alm.del
Offentligt
Ministeren for videnskab, teknologi og udvikling
Udvalget for Videnskab og TeknologiFolketingetChristiansborg1240 København K
Hermed fremsendes svar på spørgsmål nr. 239 (Alm. del) stillet af Udvalget forVidenskab og Teknologi den 6. september 2010. Spørgsmålet er stillet efter øn-ske fra Per Clausen (EL).
11. oktober 2010
Ministeriet for VidenskabTeknologi og UdviklingBredgade 431260 København K
Med venlig hilsen
TelefonTelefaxE-post
Charlotte Sahl-Madsen
NetstedCVR-nr.
Sagsnr.Dok nr.Side
10-09318115255861/1
Spørgsmål nr. 239 stillet af Udvalget for Videnskab og Teknologi den 6. sep-
tember 2010 til Ministeren for videnskab, teknologi og udvikling (Alm. del).
Spørgsmål 239
Ministeren bedes redegøre for, hvordan det kan gå til, at brugernavn og kodeordtil NemId er modtaget samme dag af 27.611 borgere i strid med sikkerhedsreg-lerne og oplyse, hvilke konsekvenser denne fejl får.Svar
Jeg kan oplyse, at jeg i et brev den 9. september 2010 til Folketingets IT-ordførere og Udvalget for Videnskab og Teknologi har redegjort nærmere for sa-gen. Redegørelsen er gengivet nedenfor, og jeg tillader mig at henvise hertil.”På baggrund af den verserende debat i medierne, senest i Børsen den 2. sep-tember 2010, om krav fra Datatilsynet til DanID om spærring af 27.611 NemID,fremsender jeg hermed til orientering en redegørelse for sagens forløb og status.Den 4. august rettede IT- og Telestyrelsen henvendelse til DanID på baggrund afen henvendelse om, at en borger havde modtaget de to breve med henholdsvisNemID-nummer, nøglekort og midlertidig adgangskode samme dag. DanID oply-ste, at der var tale om en fejl hos printleverandøren, og IT- og Telestyrelsen ud-bad sig herefter en nærmere redegørelse for fejlen og bad dem opstramme pro-cedurerne for udsendelse, således at risikoen for, at fejlen kunne opstå igen, blevminimeret.Datatilsynet anmodede den 17. august DanID om en redegørelse på baggrund afen klage fra en borger, der ligeledes havde modtaget de to breve samme dag.Den 24. august fremsendte DanID redegørelsen til Datatilsynet. I redegørelsenkortlægges årsagen til fejlen, og der redegøres endvidere for den opstramning afprocedurer for udsendelse, som allerede var foretaget på baggrund af IT- og Te-lestyrelsens henvendelse til DanID.DanID konstaterer i redegørelsen, at fejlen potentielt berører op til 27.611 bor-gere, som kan have – men ikke nødvendigvis har – modtaget de to breve sammedag.Hverken DanID eller IT- og Telestyrelsen har modtaget henvendelser om, at bor-gere har oplevet tegn på forsøg på identitetstyveri, for eksempel ved ikke at havemodtaget de to breve, der begge er nødvendige for at aktivere NemID, eller mod-taget breve, hvor forseglingen har været brudt.Det skal påpeges, at identitetstyveri på baggrund af modtagelse af de to brevesamme dag kræver, at der begås indbrud i andre borgeres postkasser, at post sti-let til andre borgere brydes, og at man uberettiget aktiverer NemID udstedt til enanden borger. Alle disse enkeltstående handlinger er strafbare i henhold til straf-feloven.Ministeriet for VidenskabTeknologi og UdviklingBredgade 431260 København KTelefonTelefaxE-postNetstedCVR-nr.3392 97003332 3501[email protected]www.vtu.dk1680 5408
Sagsnr.Dok nr.Side
10-09318115255861/1
På den baggrund konkluderede DanID i redegørelsen til Datatilsynet, at afvej-ningen af overholdelsen af sikkerhedsprocedurerne i forhold til de gener, som enspærring ville medføre for de berørte borgere, efter DanIDs opfattelse ikke skulleføre til, at det var nødvendigt at spærre de potentielt berørte 27.611 certifikater.Datatilsynet har vurderet sagen anderledes og har anmodet DanID om alligevelat spærre de omhandlede certifikater. Det vil DanID nu efterkomme hurtigst mu-ligt på den for de berørte borgere mest skånsomme måde.”Hvad angår spørgsmålet om, hvordan fejlen er opstået, henholder jeg mig til føl-gende redegørelse, som Ministeriet for Videnskab, Teknologi og Udvikling harmodtaget fra DanID:”Der er tale om to forsendelser, for det første en forsendelse af velkomstbrevmed nøglekort og for det andet et pin-brev. Det er en del af sikkerhedsløsningen,at disse to forsendelser ikke sendes ud til borgerne samme dag.Ministeriet for Videnskab
DanID har over for Datatilsynet oplyst, at den procedure, der skal sikre, at derer en tidsforskydning mellem afsendelsen af velkomstbreve med nøglekort og af-sendelse af pin-breve, ikke er blevet overholdt i perioden fra den 1. til den 12.august 2010.Årsagen til, at de to breve i nogle tilfælde er udsendt samtidig i den pågældendeperiode, er for det første, at der har været en forsinkelse i produktionen af vel-komstbrevene med nøglekort, og for det andet, at der har været større ordrer påvelkomstbreve med nøglekort end forventet, hvorfor produktionen har strakt sigover en længere periode end planlagt.Herudover har det vist sig, at den planlagte forsinkelse imellem produktion afvelkomstbreve med nøglekort og pin-breve ikke altid medførte en tilsvarende for-sinkelse i udsendelsen. Som følge heraf har DanID øget antallet af dage imellemproduktion af velkomstbreve med nøglekort og pin-breve, ligesom der er tagetskridt til at tilrette it systemet, således at det ikke vil være muligt at producerepin-breve før velkomstbrev med nøglekort er udsendt.”Siden spørgsmålet er stillet, har det desværre vist sig, at der igen har været en fejlhos DanIDs underleverandør, som har medført, at breve med brugernavn og ko-deord er udsendt samtidig til nogle borgere.Hvad angår reaktionen på den seneste fejl, har DanID over for IT- og Telestyrel-sen oplyst, at der – indtil der er udviklet en teknisk styring, der kan forhindre, atnøglekort og pin-breve afleveres samtidigt til Post Danmark – vil blive placereten af DanID udpeget ressource hos printleverandøren Strålfors A/S med henblikpå at kontrollere at processerne overholdes.Jeg har gjort det helt klart for de involverede, at det er meget utilfredsstillende, atdisse fejl opstod, og at DanID må sikre, at det ikke gentager sig.
Teknologi og Udvikling
Side
2/2
