Spørgsmål 222

Ministeren bedes oplyse om, hvilke informationer virksomheder må hente fraborgernes computere henholdsvis med og uden udtrykkelig tilladelse fra borge-ren?

Svar

Da dette spørgsmål vedrører forhold, som hører under Datatilsynets ansvarsom-råde, har Ministeriet for Videnskab, Teknologi og Udvikling til brug for besva-relse af spørgsmålet indhentet følgende udtalelse fra Datatilsynet:”1. Ved e-post af 18. august 2010 har Ministeriet for Videnskab, Teknologi ogUdvikling anmodet Datatilsynet om en udtalelse til brug for besvarelsen af oven-nævnte spørgsmål fra Folketingets Udvalg for Videnskab og Teknologi.2. I den anledning kan Datatilsynet oplyse følgende:2.1. Det fremgår af henvendelsen fra Ministeriet for Videnskab, Teknologi ogUdvikling, at spørgsmålene udspringer af en aktuel medieomtale vedrørendeNemID.På det foreliggende grundlag kan Datatilsynet alene give en generel beskrivelseaf reglerne i persondataloven.Herudover findes der anden lovgivning, der nærmere præciserer rammerne for atbehandle personoplysninger på særlige områder, f.eks. inden for teleområdet.Persondataloven gælder for behandling af personoplysninger, som foretages afoffentlige myndigheder og af private virksomheder, foreninger og lignende.Persondataloven gælder som hovedregel kun for, hvordan man behandler oplys-ninger om personer, dvs. fysiske personer.Reglerne for, under hvilke betingelser offentlige myndigheder og private virk-somheder, foreninger m.v. må behandle personoplysninger, er i vidt omfangskønsmæssige. Det vil derfor ofte afhænge af en konkret vurdering i den enkeltesituation, om betingelserne for at indsamle og registrere personoplysninger er op-fyldt.2.2. Kravene til databehandlingen består bl.a. af grundbetingelser, som altid skalvære opfyldt. De grundlæggende krav går ud på følgende:Ministeriet for VidenskabTeknologi og UdviklingBredgade 431260 København KTelefonTelefaxE-postNetstedCVR-nr.3392 97003332 3501[email protected]www.vtu.dk1680 5408

Når man behandler personoplysninger, skal det ske i overensstemmelsemed god databehandlingsskik. Dette indebærer, at den dataansvarlige nø-je skal overholde reglerne i loven, såvel i ånd som bogstav, og ikke måforsøge at omgå reglerne.Når en dataansvarlig samler personoplysninger ind, skal det stå klart,hvilket formål oplysningerne skal bruges til, og formålet skal være sag-ligt. Det er ikke tilladt at indsamle oplysninger, hvis man ikke aktuelt harnoget at bruge dem til, men blot forventer, at der senere viser sig et for-mål. Om et bestemt formål med en indsamling af personoplysninger ersagligt, afhænger først og fremmest af, om der er tale om løsning af enopgave, som det er naturligt for den pågældende myndighed, virksomhedm.v. at løse. Hvad der er sagligt for den ene myndighed eller virksomhed,vil altså ikke nødvendigvis være sagligt for den anden.En senere behandling må ikke være uforenelig med det formål, som op-lysningerne oprindeligt blev indsamlet til. Indsamlede oplysninger kanefterfølgende principielt godt anvendes til et andet end det oprindeligeformål, blot den senere anvendelse ikke er uforenelig med det formål,som oplysningerne oprindeligt blev indsamlet til. Hvis den senere be-handling direkte modarbejder eller skader det oprindelige formål, er detklart, at behandlingen ikke kan finde sted. Herudover må det vurdereskonkret, om en senere behandling må anses for så uvedkommende i for-hold til det oprindelige formål, at den ikke kan accepteres.Indsamlede oplysninger må ikke omfatte mere end nødvendigt, formålettaget i betragtning. Denne regel skal bidrage til at sikre mod en unødven-dig ophobning af personoplysninger. Loven bygger altså på det princip,at offentlige myndigheder og private virksomheder m.v. ikke må indsam-le og registrere flere oplysninger om den enkelte borger, end hvad der ernødvendigt.Den dataansvarlige skal sikre sig, at der ikke behandles urigtige ellervildledende oplysninger. Viser det sig alligevel, at der behandles oplys-ninger, som er urigtige eller vildledende, skal disse snarest muligt sletteseller rettes. Disse krav skal bidrage til at sikre den bedst mulige datakva-litet.Indsamlede oplysninger skal slettes eller anonymiseres, når det ikke læn-gere er nødvendigt for den dataansvarlige at være i besiddelse af oplys-ningerne i en form, der gør det muligt at identificere den enkelte person.Også denne regel skal sikre mod dataophobning.Ministeriet for VidenskabTeknologi og Udvikling

Hvilken regel, der finder anvendelse i et givent tilfælde, afhænger også af, hvadformålet med databehandlingen er. F.eks. indeholder persondataloven særreglerfor behandlinger, der sker udelukkende i statistisk og videnskabeligt øjemed. Herer der ikke krav om samtykke fra den berørte person.2.4. Persondataloven indeholder også regler, der giver den person, som der regi-streres oplysninger om, en række rettigheder over for de dataansvarlige myndig-heder, virksomheder, foreninger m.v.Persondatalovens regler medfører bl.a. pligt for den dataansvarlige til i en rækkesituationer til at oplyse den registrerede person om, at der behandles oplysningerom den pågældende.”Jeg henholder mig til denne udtalelse fra Datatilsynet.

Spørgsmål 223

Ministeriet for Videnskab

Mener ministeren, at DanID ikke behøver oplyse borgerne om, at borgerne giverDanID adgang til samtlige informationer, som borgerne selv har adgang til på de-res computer ved brug af NemID?

Svar

Jeg tillader mig indledningsvis at henvise til mit brev til Forbrugerrådet samt dettil brevet vedlagte notat, som er fremsendt til Udvalget for Videnskab og Tekno-logi til orientering 13. august 2010.Som det fremgår af brevet og notatet, anvendes NemID appletten fra DanID tilentydigt at identificere en bruger over for en bestemt tjenesteudbyder, det kanvære en bank, en offentlig myndighed eller en privat tjenesteudbyder. NemIDappletten læser på intet tidspunkt personlige filer fra brugerens computer. Bor-gerne kan således roligt tilslutte sig og benytte NemID uden at være nervøse for,at andre kan følge borgernes færden på nettet eller få adgang til deres personligeoplysninger.Derudover oplyser DanID A/S følgende:”NemID gør brug af en Java-applet på borgerens computer i forbindelse med log-in og elektronisk signering af data. Denne Java-applet er digitalt underskrevet afDanID, dels fordi der er funktionalitet i appletten, der kræver, at den er under-skrevet, og dels for at borgeren skal kunne se, at appletten kommer uændret fraDanID.Dette er principielt ikke forskelligt fra alle øvrige programmer, som brugeren in-stallerer efter download fra internettet, herunder eksempelvis Apple iTunes ogAdobe Reader.DanID's applet er designet til ikke at indeholde funktionalitet til at give DanIDeller tredjepart adgang til private informationer på borgerens computer. Der ergennemført kodereview af appletten med deltagelse af uvildige eksperter for net-

op at sikre, at der ikke findes sådanne utilsigtede adgange for DanID eller tredje-parter.”Jeg har på den baggrund fortsat fuld tillid til sikkerheden i NemID.

Spørgsmål 224

Mener ministeren at banker, forsikringsselskaber og andre virksomheder ikke be-høver oplyse borgerne om, at borgerne giver dem adgang til samtlige informatio-ner som borgeren selv har adgang til på deres computer ved brug af certificeredeJava-appletter?

Svar

Jeg henviser til min besvarelse af spørgsmål 223, hvoraf det fremgår, at DanID'sapplet er designet til ikke at indeholde funktionalitet til at give DanID eller tred-jepart adgang til private informationer på borgerens computer.Da spørgsmålet er meget bredt formuleret, har jeg samtidig bedt om en udtalelsefra Datatilsynet, som er gengivet i besvarelsen af spørgsmål 222. Jeg henviserderfor tillige til besvarelsen af dette spørgsmål.

Spørgsmål 225

Mener ministeren, at borgeren selv skal kunne kontrollere hvad DanID via certi-ficerede Java-appletter giver adgang til på borgerens computer?

Svar

Ministeriet for Videnskab, Teknologi og Udvikling har til brug for besvarelse afspørgsmålet indhentet følgende udtalelse fra DanID A/S:”Borgeren har samme muligheder for at kontrollere, hvad DanID's applet tilgår afressourcer på borgerens computer som for øvrige installerede programmer. F.eks.findes et værktøj på Microsoft Windows platformen kaldet "Process Monitor",der logger aktivitet på computerens filsystem og den såkaldte registreringsdata-base.”Jeg henholder mig til denne udtalelse fra DanID A/S.

Spørgsmål 226

Ministeren bedes undersøge, i hvilket omfang banker indhenter oplysninger fraborgernes computere (f.eks. ved at skanne dem) i forbindelse med deres brug afcertificerede Java appletter til netbank?

Svar

Da regulering af bankerne hører under Økonomi- og Erhvervsministeriets an-svarsområde, har Ministeriet for Videnskab, Teknologi og Udvikling til brug for

besvarelse af spørgsmålet indhentet følgende udtalelse fra økonomi- og er-hvervsministeren:”Efter det oplyste kan Java-appletten ikke anvendes til andet end at identificereden pågældende kunde, og hermed er der heller ikke mulighed for, at hente andreoplysninger fra den pågældende computer. Der kan i den forbindelse henvises tilIt- og Telestyrelsens hjemmeside(http://www.itst.dk/nyheder/nyhedsarkiv/2010/afvisning-af-pastande-om-sikkerhedsbrist-i-nemid/), hvor It- og Telestyrelsen afviser, at der er en sikker-hedsbrist i den applet, som NemID gør brug af.Jeg kan endvidere oplyse, at efter Finanstilsynets oplysninger anvendes certifice-rede Java-appletter af danske pengeinstitutter alene til at identificere den pågæl-dende kunde, og der er derfor ikke behov for at informere kunderne. Hertil harFinansrådet endvidere oplyst, at det er et princip i de danske netbanker, at applet-ter ikke anvendes til andet end at understøtte selve netbankens funktionalitet. Så-ledes indhenter pengeinstitutterne ikke andre oplysninger fra kundernes compute-re end de oplysninger, som kunderne indtaster i deres netbank, når denne anven-des.”Jeg henholder mig til denne udtalelse fra økonomi- og erhvervsministeren.

Spørgsmål 227

I hvilket omfang oplyser bankerne om, at de indhenter oplysninger fra borgernescomputere?

Svar

Da regulering af bankerne hører under Økonomi- og Erhvervsministeriets an-svarsområde, har Ministeriet for Videnskab, Teknologi og Udvikling til brug forbesvarelse af spørgsmålet indhentet følgende udtalelse fra økonomi- og er-hvervsministeren:”Jeg henviser i det hele til mit bidrag til besvarelse af spørgsmål 226.”Jeg henholder mig til denne udtalelse fra økonomi- og erhvervsministeren.

Spørgsmål 228

Mener ministeren, at borgeren selv skal kunne kontrollere, hvad en certificeretJava-applet fra f.eks. en bank, giver adgang til på borgerens computer?

Svar

Som det fremgår af min besvarelse af spørgsmål 225, har borgerne samme mu-ligheder for at kontrollere, hvad DanID's applet tilgår af ressourcer på borgerenscomputer som for øvrige installerede programmer.Da spørgsmålet specifikt berører bankernes brug af Java apppletter, og da ban-kerne hører under Økonomi- og Erhvervsministeriets ansvarsområde, har Mini-

steriet for Videnskab, Teknologi og Udvikling til brug for besvarelse af spørgs-målet tillige bedt om en udtalelse fra økonomi- og erhvervsministeren, som hen-viser til bidraget til besvarelse af spørgsmål 226.

Spørgsmål 229

Hvad er grunden til at NemID ikke bruger den samme løsning som Jyske BankNetbank, der ikke giver adgang til brugerens harddisk fordi der bruges Java-skript i stedet for signerede Java-appletter?

Svar

Ministeriet for Videnskab, Teknologi og Udvikling har til brug for besvarelse afspørgsmålet indhentet følgende udtalelse fra DanID A/S:”NemID og Jyske Banks løsning kan ikke sammenlignes direkte, da Jyske Banksløsning i modsætning til NemID alene er en løsning mellem banken og kunden,hvor NemID skal kunne bruges af mange forskellige tjenesteudbydere. Applettensikrer blandt andet, at kommunikationen mellem brugeren og DanID servere ikkekan aflyttes af tredjepart, herunder den aktuelle tjenesteudbyder. Desuden findesder funktionalitet i NemID, som Jyske Bank ikke har haft behov for. F.eks. un-derstøtter appletten mulighed for at underskrive vedhæftede filer elektronisk.Brugeren har mulighed for at kunne gemme disse filer på egen harddisk, indender skrives under.”Jeg henholder mig til denne udtalelse fra DanID A/S.

Spørgsmål 230

Ministeren bedes oplyse om, til hvilke specifikke formål og funktioner NemIDappletten kræver caching og dermed læse- og skriveadgang til brugerens hard-disk?

Svar

Jeg tillader mig indledningsvis at henvise til mit brev til Forbrugerrådet samt dettil brevet vedlagte notat, som er fremsendt til Udvalget for Videnskab og Tekno-logi til orientering.Som det fremgår af notatet, kræver NemID appletten læse- og skriveadgang tilbrugerens harddisk af hensyn til caching. Det er kun NemID appletten, der harlæse- og skriveadgang, og denne adgang stilles ikke til rådighed for nogen tjene-steudbyder. NemID appletten læser på intet tidspunkt personlige filer fra bruge-rens computer, og cachingen sker udelukkende af performancehensyn, så applet-ten kan startes hurtigere, næste gang brugeren vil logge på med NemID.Ministeriet for Videnskab, Teknologi og Udvikling har desuden indhentet føl-gende udtalelse fra DanID A/S:”NemID appletten cacher funktionalitet på brugerens PC med det ene formål, atbrugeren ikke skal downloade den fulde applet, hver gang NemID anvendes.Ministeriet for VidenskabTeknologi og Udvikling

Spørgsmål nr. 222, 223, 224, 225, 226, 227, 228, 229 og 230 stillet af Udvalget

for Videnskab og Teknologi den 17. august 2010 til Ministeren for viden-

skab, teknologi og udvikling (Alm. del).

Spørgsmål 222

Svar

Spørgsmål 223

Svar

Spørgsmål 224

Svar

Spørgsmål 225

Svar

Spørgsmål 226

Svar

Spørgsmål 227

Svar

Spørgsmål 228

Svar

Spørgsmål 229

Svar

Spørgsmål 230

Svar