Den danska Digitaliseringsstyrelsen har följt Datatilsynets föreläggande att göra nödvändiga ändringar i MitID-appen i samband med inloggning med svepfunktion för att säkerställa lämplig säkerhet och inbyggt dataskydd.
I september 2022 beslutade Datatilsynet att rikta allvarlig kritik mot Digitaliseringsstyrelsen efter att ha mottagit ett antal incidentanmälningar gällande MitID-appen. Flera användare hade fått tillgång till andra användares självbetjäningssidor på mitid.dk genom att logga in med swipe-funktionen i appen. MitID-applösningen var utformad och organiserad på ett sådant sätt att det var möjligt för användare att godkänna transaktioner i sina MitID-appar som de inte själva hade initierat. På så sätt kunde en användare godkänna en begäran om att logga in på en tjänst för en annan användares räkning och därmed omedvetet logga in på den aktuella tjänsten.
Digitaliseringsstyrelsen ålades att göra nödvändiga ändringar i MitID-appen så att risken för att en användare använder MitID-appen för att godkänna en transaktion som de inte själva har initierat minskas till en nivå som återspeglar risken i det aktuella riskscenariot.
Vid valet av påföljd betonade Datatilsynet bland annat att MitID-appen är en rikstäckande lösning som tillhandahålls av Digitaliseringsstyrelsen som en inloggningslösning för MitID, som är det danska nationella elektroniska identifieringssystemet som inrättats enligt lag, och är tillgängligt för alla danska medborgare och andra för tillgång till ett antal digitala kärntjänster, såsom digital post från den offentliga sektorn, nätbank etc. Enligt Datatilsynets uppfattning måste användarna därför ha rätt att förvänta sig att appen uppfyller dataskyddsreglerna, inklusive lämplig säkerhet och inbyggt dataskydd för att säkerställa efterlevnaden av den grundläggande principen om konfidentialitet och integritet.
På begäran av Digitaliseringsstyrelsen fick myndigheten fram till den 30 juni 2023 på sig att följa föreläggandet. Det är Datatilsynets bedömning att föreläggandet nu har följts, eftersom Digitaliseringsstyrelsen infört kanallänkning vid inloggning till tjänster med MitID-appen, vilket innebär att användaren nu måste skanna en QR-kod på den enhet de loggar in på med sin telefon för att verifiera att det är den aktuella användaren som loggar in.