Alvorlig kritik af utilstrækkelig sikkerhed ved MitID

Alvorlig kritik af utilstrækkelig sikkerhed ved MitID

IT-ret Offentlig ret Persondata og cybersikkerhed
Datatilsynet udtaler alvorlig kritik af Digitaliseringsstyrelsen og Signaturgruppen efter netbank-login via MitID gav adgang til fremmede konti. Manglende krav til Broker Security Context og forkert implementering førte til brud på persondatasikkerheden og skærper kravene til risikovurdering.

Datatilsynet har udtalt alvorlig kritik af Digitaliseringsstyrelsen og Signaturgruppen for utilstrækkelige sikkerhedsforanstaltninger i MitID. Sagen udspringer af hændelser, hvor borgere ved netbank-login fik adgang til andre kunders konti, hvilket udgør et brud på persondatasikkerheden.

Fejlen opstod, når næsten samtidige login-anmodninger i særlige tilfælde medførte, at et autentifikationstoken blev udstedt til en forkert session. Ifølge tilsynet burde Digitaliseringsstyrelsen have pålagt brugen af Broker Security Context, som kun var anbefalet. Signaturgruppen anvendte desuden mekanismen i strid med anbefalingen.

Tilsynet finder, at de dataansvarlige ikke levede op til kravet om passende sikkerhed efter GDPR, herunder risikobaserede og ajourførte foranstaltninger, jf. bl.a. art. 32. Afgørelserne fremhæver behovet for robust leverandørstyring, realistiske belastningstests og klar dokumentation. Læs afgørelsen over for Digitaliseringsstyrelsen her. Læs afgørelsen over for Signaturgruppen her.

Læs hele artiklen hos Datatilsynet →
Søgeord
GDPR, Risikovurdering, Risikobaseret tilgang, Leverandørstyring, GDPR art. 32, Datatilsynet, MitID, Databeskyttelsesforordningen, Sikkerhedsbrud, Dataansvarlig, Databeskyttelsesret, GDPR art. 33, Brud på persondatasikkerheden, GDPR art. 5, Myndighedstilsyn, Behandlingssikkerhed, Tekniske og organisatoriske foranstaltninger, Digitaliseringsstyrelsen, GDPR art. 25, Finansiel sektor, Persondataret, It-sikkerhed, Integritet og fortrolighed, Offentlig digitalisering, Tilsynsafgørelse, Autentifikation, Netbank, Identitets- og adgangsstyring, Signaturgruppen, Broker Security Context, Token, Session management, Broker, Race condition

Relaterede artikler

Regeringens lovprogram for 2026: Disse nye ændringer bør arbejdsgivere forberede sig på
HjulmandKaptain

Regeringens lovprogram for 2026: Disse nye ændringer bør arbejdsgivere forberede sig på

Lovprogrammet for 2026 moderniserer arbejdsskadesystemet, lemp­er fristen for anmeldelse af arbejdsulykker og skærper tilsynet med asbest. Bidrag til barselsudligning stiger, social dumping bekæmpes med ID‑kort og arbejdsklausuler, og adgang til udenlandsk arbejdskraft lettes via lavere beløbsgrænse.
Regeringen tester grænserne for retsstaten med udvisningsreformen
Advokatsamfundet

Regeringen tester grænserne for retsstaten med udvisningsreformen

Regeringens udvisningsreform sænker tærsklen for at udvise dømte udlændinge, men kolliderer med EMRK art. 3 og 8. Advokatrådet advarer mod lovgivning baseret på forventede praksisændringer og fremhæver retssikkerhedsrisici samt behov for en grundig høringsproces.
Teknologiretlige nyheder - januar highlights
Kromann Reumert

Teknologiretlige nyheder - januar highlights

Ny national cyberstrategi styrker SMV’er og beredskab, mens EU udvider EuroHPC, reviderer Cybersecurity Act og lancerer frivillige retningslinjer for mærkning af AI-indhold. Få overblik over konsekvenser for compliance, certificering og governance.
Når formelt ejerskab ikke anses for reelt ejerskab
TVC Advokatfirma

Når formelt ejerskab ikke anses for reelt ejerskab

Skatteankenævnet tilsidesatte avancebeskatning, fordi den tinglyste ejer ikke var reel ejer. Manglende betaling af realkreditlån og intet salgsprovenu blev afgørende. Afgørelsen er endelig, da Skatteministeriet lod stævningsfristen udløbe.

Relaterede kurser

Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
Bevisret
7
Djøf
Bevisret
Bevisret - herunder syn og skøn
6
Danske Advokater
Bevisret - herunder syn og skøn

Relaterede jobs

Naturstyrelsen
Jurister med interesse for natur- og miljøbeskyttelse
Naturstyrelsen
Erhvervsministeriet
Erhvervsstyrelsen søger analytisk fuldmægtig til arbejdet med national sikkerhed og udenlandske investeringer
Erhvervsministeriet
Statens It
Indkøbere med drive til Statens It
Statens It
Erhvervsministeriet
Engageret jurist med interesse for offentlig ret til Erhvervsstyrelsens interne advokatkontor
Erhvervsministeriet
Sundhedsdatastyrelsen
Erfaren jurist til udviklingsopgaver i Sundhedsdatastyrelsen
Sundhedsdatastyrelsen
Bech-Bruun
Senioradvokat/erfaren jurist til vores GDPR-team
Bech-Bruun
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →