Datatilsynet konstaterer, at Digitaliseringsstyrelsen har efterlevet et tidligere påbud ved at indføre kanalsammenbinding i MitID-appen. Login kræver nu, at brugeren scanner en QR-kode på den enhed, der ønskes adgang til, så godkendelse kun kan ske for den transaktion, brugeren selv har igangsat.
Påbuddet blev meddelt efter flere sikkerhedshændelser, hvor appens swipe-godkendelse kunne medføre, at én persons loginanmodning blev bekræftet fra en anden brugers app. Som landsdækkende eID-løsning til bl.a. offentlig selvbetjening og netbank skal MitID opfylde databeskyttelsesreglernes krav om passende sikkerhed, herunder fortrolighed og integritet samt indbygget databeskyttelse.
Den nye løsning reducerer risikoen i det identificerede scenarie til et niveau, der anses for passende efter GDPR, særligt kravene om sikkerhed ved behandling (art. 32) og databeskyttelse gennem design og standardindstillinger (art. 25). Digitaliseringsstyrelsen fik frist til 30. juni 2023 og vurderes nu at være i overensstemmelse med påbuddet.
Organisationer, der anvender nationale loginflows, bør tilsvarende sikre tæt binding mellem initiering og godkendelse for at undgå forvekslinger og uautoriserede sessioner. Se Datatilsynets afgørelser for detaljerede præmisser på myndighedens hjemmeside: datatilsynet.dk.
