Datatilsynet har udtalt alvorlig kritik af Nets DanID A/S efter et nedbrud, der i fire dage forhindrede brugere i at logge ind på bl.a. borger.dk, e-Boks, sundhed.dk og minretssag.dk. Backup-løsningen var utilgængelig, og test af nødprocedurer var senest gennemført omkring to år før hændelsen. Tilsynet fandt, at procedurerne for afprøvning, vurdering og evaluering af backup og genetablering var utilstrækkelige i lyset af løsningens karakter som kritisk national infrastruktur.
Krav til sikkerhedstiltag
Efter GDPR art. 32 skal dataansvarlige og databehandlere sikre et passende sikkerhedsniveau. Det indebærer regelmæssig test af, om backup kører med forventet hyppighed, at kopier er tilgængelige, komplette og intakte, samt at genetablering faktisk kan gennemføres i praksis.
Genetableringstests bør også verificere samspil mellem hardware, software og data og dokumentere, at målsætninger for genetableringstid (RTO) kan opfyldes. Kravene følger en risikobaseret tilgang, men skærpes, hvor konsekvenserne for borgere og samfund er væsentlige.
Betydning for praksis
Selv om NemID er udfaset, er afgørelsens principper direkte anvendelige på andre identitets- og infrastruktur løsninger. Organisationer bør sikre løbende test, dokumenterede procedurer og robust kontinuitetsstyring med fokus på tilgængelighed, integritet og hurtig genopretning.
Læs Datatilsynets afgørelse her. Se også vejledningen om behandlingssikkerhed her.
