Digitaliseringsstyrelsen får kritik for utilstrækkelig risikovurdering

Digitaliseringsstyrelsen får kritik for utilstrækkelig risikovurdering

Compliance IT-ret Persondata og cybersikkerhed
Datatilsynet retter kritik mod Digitaliseringsstyrelsen for ikke at dokumentere en særskilt risikovurdering af JavaScript i MitID. Tilsynet kræver, at kendte misbrugsscenarier adresseres, og at passende sikkerhedsforanstaltninger dokumenteres efter GDPR ved brug af standardteknologier.

Kritik for manglende risikovurdering

Datatilsynet har udtalt kritik af Digitaliseringsstyrelsen for ikke at dokumentere, at risici ved brugen af JavaScript i MitID er identificeret og håndteret. Tilsynet vurderer, at en særskilt risikovurdering af teknologien er påkrævet, når den indgår i kritisk infrastruktur, og der findes kendte misbrugsscenarier.

Styrelsen henviste til en overordnet MitID-risikovurdering og tidligere sikkerhedsvurderinger fra NemID, men Datatilsynet fandt dette utilstrækkeligt, fordi vurderingen ikke specifikt adresserede JavaScripts designsvagheder og angrebsvektorer i relation til de registreredes rettigheder.

Interesseret i forvaltningsret? Deltag i Forvaltningskonferencen 2026

Læs mere her →

Krav til passende sikkerhedsforanstaltninger

Tilsynet præciserer, at databeskyttelsesforordningen kræver et dokumenteret sikkerhedsniveau, der er passende i lyset af konkrete risici og anvendt teknologi, jf. bl.a. GDPR art. 24, art. 25 og art. 32. Anvendelse af standardteknologier kan ikke i sig selv begrunde fravalg af yderligere foranstaltninger eller redesign.

For dataansvarlige indebærer afgørelsen et skærpet fokus på scenariegennemgang, evidens for risikobehandling og løbende opdatering i takt med trusselsbilledet. Hvor behandlingen kan medføre høj risiko, bør behovet for konsekvensanalyse efter art. 35 vurderes. Den fulde afgørelse kan læses hos Datatilsynet.

Læs hele artiklen hos Datatilsynet →
Søgeord
GDPR, Dokumentationskrav, Risikovurdering, Informationssikkerhed, Risikostyring, Sårbarhedsstyring, GDPR art. 32, Datatilsynet, Databeskyttelse, Kritisk infrastruktur, MitID, Konsekvensanalyse, Dataansvarlig, GDPR art. 35, Privacy by design, Cybersikkerhed, Kryptering, Tilsynspraksis, Behandlingssikkerhed, Offentlige myndigheder, Logning, GDPR art. 25, Adgangskontrol, Ansvarlighedsprincippet, Compliance, Persondataret, GDPR art. 24, Trusselsvurdering, Passende sikkerhedsforanstaltninger, It-styring, JavaScript, Browser sikkerhed, Angrebsvektorer, Standardteknologier, Kodekvalitet, Softwareforsyningskæde, Scriptinjektion, National identitetsløsning, Designsvagheder

Relaterede artikler

Fondsejede virksomheder skal undgå unødige registreringer af reelle ejere: Ny vejledning fra Erhvervsstyrelsen
DLA Piper

Fondsejede virksomheder skal undgå unødige registreringer af reelle ejere: Ny vejledning fra Erhvervsstyrelsen

Erhvervsstyrelsen præciserer registreringen af reelle ejere i fondsejede selskaber: Bestyrelsen registreres i kraft af funktionen ved kontrol over 25 procent, og unødige oplysninger om kapital- og stemmeandele undgås. Brug standardtekst i feltet Andre rettigheder og opdatér eksisterende registreringer.
Advokatrådet ændrer proces for udstedelse af hvidvaskpåbud
Advokatsamfundet

Advokatrådet ændrer proces for udstedelse af hvidvaskpåbud

Fra 1. april 2026 udsteder Advokatrådet påbud ved alvorlige, gentagne eller systematiske brud på hvidvaskloven – også ved første tilsyn. Påbud offentliggøres i fem år efter partshøring. Ændringen skal styrke præventiv effekt og lægge sig på linje med andre tilsyn.
Fælles udtalelse fra EDPB og EDPS om Biotech Act
Datatilsynet

Fælles udtalelse fra EDPB og EDPS om Biotech Act

EDPB og EDPS bakker op om EU-Kommissionens Biotech Act og støtter et eksplicit behandlingsgrundlag for personoplysninger i kliniske forsøg. Samtidig efterlyser de klare afgrænsninger og stærke garantier for privatliv, så harmoniseringen sker i fuld overensstemmelse med GDPR.
Ny vejledning om GDPR ved konkursbehandling
Danske Advokater

Ny vejledning om GDPR ved konkursbehandling

Ny vejledning samler praksis for GDPR i konkursboer. Kuratorers dataansvar, lovlige behandlingsgrundlag og sikker håndtering af medarbejder-, kunde- og kreditoroplysninger beskrives med fokus på dataminimering, oplysningspligt, overdragelse af kundedata og sletning.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Finanstilsynet
Erfaren jurist til Finanstilsynets tilsyn med betalingstjenester
Finanstilsynet
Styrelsen for Patientklager
Vi søger studentermedhjælper til Styrelsen for Patientklager
Styrelsen for Patientklager
Klima-, Energi- og Forsyningsministeriet
Talentfulde jurister til Koncernjura
Klima-, Energi- og Forsyningsministeriet
Erhvervsministeriet
Jurist til tilsyn med skadesforsikring
Erhvervsministeriet
Politiets Efterretningstjeneste
Kollega til operative og databeskyttelsesretlige revisioner i PET
Politiets Efterretningstjeneste
Erhvervsministeriet
Erfaren jurist til Finanstilsynets tilsyn med betalingstjenester
Erhvervsministeriet
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere - og holder dig foran.
Opret gratis profil →