Udvalget for Videnskab og Teknologi 2010-11 (1. samling)
UVT Alm.del
Offentligt
Ministeren for videnskab, teknologi og udvikling
Udvalget for Videnskab og TeknologiFolketingetChristiansborg1240 København K
Hermed fremsendes svar på spørgsmål nr. 8 og 9 (Alm. del) stillet af Udvalgetfor Videnskab og Teknologi den 11. oktober 2010. Spørgsmålene er stillet efterønske fra Hanne Agersnap (SF).
9. november 2010
Ministeriet for VidenskabTeknologi og UdviklingBredgade 431260 København K
Med venlig hilsen
TelefonTelefaxE-post
Charlotte Sahl-Madsen
NetstedCVR-nr.
Sagsnr.Dok nr.Side
10-09608315737661/1
Spørgsmål nr. 8 og 9 stillet af Udvalget for Videnskab og Teknologi den 11.
oktober 2010 til Ministeren for videnskab, teknologi og udvikling (Alm. del).
Spørgsmål 8
Hvilke krav til systemer og standarder er etableret for at sikre, at sider, hvorfrader kan bruges NemID, har et tilstrækkeligt højt sikkerhedsniveau, så NemID ik-ke kan kompromiteres via andres sites?Svar
For så vidt, at spørgeren refererer til sikkerheden i selve NemID-løsningen, kanjeg oplyse, at den meget høje grad af sikkerhed og driftsstabilitet i NemID, somfra fællesoffentlig side er ønsket tilvejebragt, er afspejlet i den særdeles omfat-tende kontrakt, som Videnskabsministeriet på vegne af staten, KL og Danske Re-gioner har indgået med DanID. Det er således Videnskabsministeriet, som haransvaret for gennem en erklæring fra en statsautoriseret revisor at påse, at de be-stemmelser i kontrakten med DanID, som vedrører sikkerheden med videre iNemID, overholdes.Jeg har indhentet følgende udtalelse fra IT- og Telestyrelsen:”De overordnede standarder og aftaler vedrørende NemID beskrives i det føl-gende.Af kontrakten, som Videnskabsministeriet har indgået med DanID om NemIDfremgår blandt andet følgende krav til udstedelse af NemID. DanID er forpligtettil at efterleve en OCES-certifikatpolitik, som udarbejdes og administreres af IT-og Telestyrelsen. Certifikatpolitikken har været i offentlig høring. Certifikatpoli-tikken indeholder blandt andet krav om overholdelse af persondataloven og DS484, der fællesoffentligt er valgt som standard for informationssikkerhed.For at kunne udstede NemID skal udbyderen (her DanID) indgå en kontrakt medIT- og Telestyrelsen, hvori DanID blandt andet forpligter sig til at overholde cer-tifikatpolitikken, herunder at blive revideret af ekstern statsautoriseret revisor ogindgive årlig rapportering til IT- og Telestyrelsen, som påser overholdelse af cer-tifikatpolitikken.For så vidt angår en virksomhed eller myndighed (en såkaldt tjenesteudbyder),der ønsker at implementere adgang til sine systemer med brug af NemID, skalder som led i kunde-leverandørforholdet mellem DanID og tjenesteudbyderenindgås en såkaldt tjenesteudbyderaftale mellem DanID og tjenesteudbyderen omanvendelse af NemID-infrastrukturen. Tjenesteudbyderen har herved ansvaret forat overholde de krav, der stilles i tjenesteudbyderaftalen. Desuden har DanIDudarbejdet informationsmateriale, som udstikker en række vejledninger og anbe-falinger til, hvordan tjenesteudbyderne bør implementere NemID.Offentlige tjenesteudbydere skal overholde DS 484.
Ministeriet for VidenskabTeknologi og UdviklingBredgade 431260 København KTelefonTelefaxE-postNetstedCVR-nr.3392 97003332 3501[email protected]www.vtu.dk1680 5408
Sagsnr.Dok nr.Side
10-09608315737661/1
Herudover skal såvel DanID som virksomheder og myndigheder som dataansvar-lige naturligvis overholde relevante love, herunder Lov om behandling af per-sonoplysninger, (persondataloven). Af denne lov § 41, Stk. 3 fremgår: ”Den da-taansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsfor-anstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabeseller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbrugeseller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandle-re.”Datatilsynet fører tilsyn med overholdelse af persondataloven.”For så vidt spørgeren refererer til sikkerheden i de systemer, som myndighederog virksomheder etablerer, og hvor de bruger NemID som adgangsnøgle, kan jegoplyse, at hver myndighed og privat virksomhed selv har det fulde ansvar forsikkerheden i deres egne systemer. Eksempelvis er det Økonomistyrelsen, som eransvarlig for sikkerheden i NemLog-in, ligesom det er SKAT eller SU-styrelsen,som anvender NemID via NemLog-in, der har ansvaret for, at deres løsning bli-ver afsluttet på en sikker måde.I denne forbindelse skal myndigheder og virksomheder naturligvis leve op tilgældende lovgivning og sikkerhedsstandarder. Eksempelvis stiller forvaltnings-loven krav til offentlige myndigheder om fortrolighed ved håndtering af borger-nes data, og persondataloven opstiller en række krav til alle, det vil sige også tiloffentlige myndigheder og private virksomheder, der håndterer personoplysnin-ger, om at sikre, at oplysningerne behandles sikkerhedsmæssigt forsvarligt. An-svaret for egne løsninger omfatter også sikkerheden i forbindelse med, at syste-merne indrettes til at modtage NemID.IT- og Telestyrelsen har i øvrigt den opgave, at yde generel rådgivning til borgereog virksomheder om it-sikkerhed. Denne opgave løses blandt andet i den årligenetsikker nu!-kampagne. Herudover vedligeholder IT- og Telestyrelsen på sinhjemmeside en lang række råd og vejledninger om netsikkerhed til borgere ogvirksomheder.Lad mig til sidst nævne, som jeg også oplyste i det åbne samråd den 7. oktober2010, at vi har nedsat en tværoffentlig beredskabsgruppe, som kan sikre, at derhurtigt igangsættes en afhjælpning og en udmelding til offentligheden, hvis derindtræder en utilsigtet hændelse, som kan have negativ betydning for borgernesoplevelse af, at det er trygt at benytte NemID og de offentlige løsninger, der erknyttet hertil.Spørgsmål 9
Hvem har ansvaret for at NemID ikke kompromiteres fra login sites, f.eks. ved atder ikke er log ud krav eller automatik?Svar
I forlængelse af mit svar på spørgsmål 8 kan jeg sammenfatte, at Videnskabsmi-nisteriet på vegne af et fællesoffentligt samarbejde har indgået en kontrakt med
Ministeriet for VidenskabTeknologi og Udvikling
Side
2/2
leverandøren DanID om leverancen af NemID. Denne kontrakt indeholder højekrav om driftsstabilitet og sikkerhed. IT- og Telestyrelsen påser gennem en stats-autoriseret revisors erklæring i overensstemmelse med den indgåede kontakt, atleverandøren varetager ansvaret for sikkerhed i udvikling og drift af NemID.DanID har ansvaret for at overholde den indgåede kontrakt med Videnskabsmini-steriet samt i henhold til kontrakten at implementere og driftsafvikle NemID ioverensstemmelse med best practice og DS 484. Som beskrevet i kontrakten mel-lem DanID og Videnskabsministeriet har DanID endvidere ansvaret for at over-holde persondataloven, der via sikkerhedsbekendtgørelsen stiller særlige krav tilsystemer, der opbevarer og behandler persondata.En virksomhed eller en myndighed, der anvender NemID som indgang til sineløsninger, har ansvaret for at sikre, at relevante love overholdes, herunder ikkemindst persondataloven. Offentlige myndigheder skal herudover overholde denfællesoffentligt aftalte standard for informationssikkerhed, DS 484.Ministeriet for Videnskab
Det er således virksomheden eller myndigheden, der anvender NemID, der haransvaret for at sikre, at løsninger, der anvender NemID, bliver afsluttet på en sik-ker måde.Jeg henviser i øvrigt til det eksempel, som er nævnt i min besvarelse af spørgsmål8.
Teknologi og Udvikling
Side
3/3