Firecifret NemID-kode får Datatilsynet til at kræve godkendelsestekst fjernet

Datatilsynet kræver nu, at Digitaliseringsstyrelsen fjerner tekster om, at NemID skulle være godkendt at tilsynet. Et NemID-kodeord på fire cifre får tilsynet til at trække sig.

Datatilsynet har anmodet Nets og Digitaliseringsstyrelsen om at fjerne tekster, der giver udtryk for, at tilsynet skulle have godkendt sikkerheden bag NemID.

Det fremgår af en udmelding på Datatilsynets hjemmeside.

Anledningen er, at det, som det tidligere har været fremme, skal være muligt at logge på NemID via en pinkode på fire cifre.

»Muligheden for at få en adgangskode på fire cifre har ikke været forelagt for Datatilsynet. Og så synes vi, det må være på tide, at man får fjernet sætningerne om, at løsningen er godkendt af Datatilsynet,« siger kontorchef i Datatilsynet Lena Andersen.

Der er en række krav til den nuværende NemID-adgangskode, som eksempelvis skal bestå af mindst seks tegn, og så skal koden både indeholde bogstaver og tal. Hvorvidt det kommer til at påvirke login-sikkerheden i negativ retning, når kodeordet kan være en pinkode på fire cifre, har blandt andet været diskuteret i debatten her på Version2

»Vi forholder os ikke til, om det er sikkert eller ej, det må Digitaliseringsstyrelsen selv stå på mål for. Det er et spørgsmål om, hvad man kan bruge os til i forhold til den information, man giver om løsningen.«

Formuleringen om, at NemID skulle have været godkendt af Datatilsynet udspringer af en udtalelse, tilsynet kom med tilbage i 2009 om den digitale signatur, OCES (Offentlige Certifikater til Elektronisk Service), der knytter sig til NemID..

Men 2009-udtalelsen har ifølge Lena Andersen aldrig været ensbetydende med en godkendelse.

»Allerede fra starten har det nok været en lille overdrivelse at kalde det en godkendelse. Men når nu Digitaliseringsstyrelsen har godkendt en ændring og givet dispensation for de politikker, som ligger til grund for Datatilsynets udtalelse tilbage fra 2009, så er det i hvert fald ikke længere retvisende, at man bliver ved med at skrive, at løsningen er godkendt af Datatilsynet.«

Tager Datatilsynets udtalelse til efterretning

I et skriftligt svar oplyser kontorchef Charlotte Jacoby i Digitaliseringsstyrelsen, at styrelsen tager Datatilsynets udtalelse til efterretning.

»Datatilsynets udtalelse refererer ganske rigtigt til løsningen, som den blev forelagt i 2009. På baggrund af den sikkerhedsvurdering, som styrelsen er blevet forelagt, er det Digitaliseringsstyrelsen vurdering, at NemID med den nye model fortsat er på samme høje sikkerhedsniveau,« står der i svaret fra Charlotte Jacoby, som fortsætter:

»Samtidig anerkender Digitaliseringsstyrelsen, at Datatilsynets udtalelser ikke bør omtales som godkendelser, og styrelsen imødekommer derfor anmodningen om at fjerne disse.«

Efter planen er det meningen, at den firecifrede NemID-kode skal indføres 15. juni.