Datatilsynet har undersøgt Digitaliseringsstyrelsens vurdering af risici for borgere, der foretager login med MitID, når styrelsen benytter JavaScript til bl.a. at udstille MitID login-klienten.
Datatilsynet har truffet afgørelse i en sag om Digitaliseringsstyrelsens benyttelse af JavaScript.
Digitaliseringsstyrelsen anvender JavaScript som programmeringssprog til bl.a. at udstille MitID login-klienten. Tilsynet besluttede at undersøge sagen af egen drift på baggrund af en henvendelse fra en borger.
Det skriver Datatilsynet i en pressemeddelelse.
Datatilsynet udtalte kritik af Digitaliseringsstyrelsen for ikke at have påvist, at styrelsen havde identificeret de risici, som anvendelsen af JavaScript indebærer for de registrerede, og for ikke at have påvist, at de havde indført passende tekniske sikkerhedsforanstaltninger til at beskytte de registrerede mod disse risici.
Dette var på baggrund af, at Digitaliseringsstyrelsen ikke specifikt havde vurderet risikoen for de registreredes rettigheder ved brugen af JavaScript.
Mangel på særskilt risikovurdering
Datatilsynet fastslog, at det er en forudsætning for brugen af en teknologi som JavaScript i kritisk national infrastruktur (som MitID), at den dataansvarlige foretager en særskilt risikovurdering. Dette er især relevant, når det er kendt, at teknologien kan indebære sikkerhedsmæssige risici.
Datatilsynet bemærkede i den forbindelse, at der er flere offentligt kendte misbrugsscenarier ved brug af JavaScript. Det er derfor tilsynets opfattelse, at disse risikoscenarier skulle have været adresseret, hvor det måtte være relevant.
I den konkrete sag havde Digitaliseringsstyrelsen oplyst, at de ikke havde udført en specifik vurdering af risikoen for de registreredes rettigheder ved brugen af JavaScript. Styrelsen påpegede dog, at der var foretaget en risikovurdering af MitID, hvor relevante risici var afdækket – herunder overordnede risici ved kodekvalitet, som JavaScript hører under.
Digitaliseringsstyrelsen anførte derudover, at JavaScript er et globalt anvendt programmeringssprog til integration med browsere, og at mange af de funktioner og applikationer, der gør internettet anvendeligt i dag, er kodet i en eller anden form for JavaScript.
Digitaliseringsstyrelsen henviste også til, at styrelsen i 2013 fik vurderet sikkerhedstiltag ved indførelsen af JavaScript i NemID-løsningen, hvor konklusionen var, at JavaScript-løsningen forventedes at have samme eller endda et potentielt højere sikkerhedsniveau end den daværende løsning.
