Datatilsynet har udtalt alvorlig kritik af Digitaliseringsstyrelsen og Signaturgruppen for utilstrækkelige sikkerhedsforanstaltninger i MitID. Sagen udspringer af hændelser, hvor borgere ved netbank-login fik adgang til andre kunders konti, hvilket udgør et brud på persondatasikkerheden.
Fejlen opstod, når næsten samtidige login-anmodninger i særlige tilfælde medførte, at et autentifikationstoken blev udstedt til en forkert session. Ifølge tilsynet burde Digitaliseringsstyrelsen have pålagt brugen af Broker Security Context, som kun var anbefalet. Signaturgruppen anvendte desuden mekanismen i strid med anbefalingen.
Tilsynet finder, at de dataansvarlige ikke levede op til kravet om passende sikkerhed efter GDPR, herunder risikobaserede og ajourførte foranstaltninger, jf. bl.a. art. 32. Afgørelserne fremhæver behovet for robust leverandørstyring, realistiske belastningstests og klar dokumentation. Læs afgørelsen over for Digitaliseringsstyrelsen her. Læs afgørelsen over for Signaturgruppen her.
