Search
Close this search box.

Danmark: Digitaliseringsstyrelsen kritiseras för otillräcklig riskbedömning i samband med användning av JavaScript

Datatilsynet anser att det finns anledning att framföra kritik mot att Digitaliseringsstyrelsens behandling av personuppgifter inte har skett i enlighet med bestämmelserna i dataskyddsförordningen (GDPR).

Av beslutet framgår att Datatilsynet tagit emot en förfrågan från en medborgare om Digitaliseringsstyrelsens användning av JavaScript som skriptspråk i samband med användningen av MitID. Det anges generellt i förfrågan att JavaScript är föråldrat och osäkert, och att enheter, inklusive telefoner och datorer, lätt kan hackas om JavaScript är aktiverat. Dessutom hänvisar förfrågan till det faktum att JavaScript har lyfts fram som osäkert av ledande säkerhetsexperter under många år. Mot bakgrund av medborgarens förfrågan har Datatilsynet valt att starta ett ärende på eget initiativ för att utreda frågan.

Efter en genomgång av ärendet konstaterar Datatilsynet att Digitaliseringsstyrelsen inte har visat att myndigheten identifierat de risker som användningen av JavaScript medför för de registrerade och för att inte ha visat att de infört lämpliga tekniska säkerhetsåtgärder för att skydda de registrerade mot dessa risker. Detta på grundval av att Digitaliseringsstyrelsen inte specifikt bedömt risken för de registrerades rättigheter vid användning av JavaScript.

Enligt Datatilsynet är det en förutsättning för användning av en teknik som JavaScript i kritisk nationell infrastruktur (såsom MitID) att den personuppgiftsansvarige genomför en separat riskbedömning. Detta är särskilt relevant när det är känt att tekniken kan innebära säkerhetsrisker. I detta sammanhang noterade Datatilsynet att det finns flera allmänt kända missbruksscenarier vid användning av JavaScript. Det är därför Datatilsynets uppfattning att dessa riskscenarier borde ha behandlats där det var relevant.

Datatilsynet konstaterar att det inte framgår av GDPR hur detaljerad riskbedömningen ska vara, utan att det är den personuppgiftsansvarige som måste fastställa en lämplig nivå med hänsyn till de risker som är relevanta för den personuppgiftsansvariges behandling av personuppgifter.

Om en leverantör, personuppgiftsbiträde eller tillgängliga analyser etc. fastställer eller anger vissa riskscenarier, är det Datatilsynets uppfattning att personuppgiftsansvariga bör förhålla sig till dessa bedömningar. Detta gäller särskilt när användningen av en teknik tolkas som att den medför stora risker för de registrerade. Som ett minimum måste det finnas en underbyggd bedömning av varför ärendet inte är relevant i förhållande till den personuppgiftsansvariges behandling av personuppgifter.

Datatilsynet anser att det är en förutsättning för användning av en teknik som JavaScript i samband med en kritisk nationell infrastruktur som exempelvis MitID att den personuppgiftsansvarige gör en separat riskbedömning av sådan teknik när det är känt att den kan innebära säkerhetsrisker. I detta avseende noteras att när JavaScript används finns det flera offentligt kända missbruksscenarier. Mot bakgrund av detta anser Datatilsynet att dessa riskscenarier borde ha behandlats där så var lämpligt.

Mot bakgrund av ovanstående konstaterar Datatilsynet att Digitaliseringsmyndigheten, genom att inte specifikt ha bedömt risken för de registrerades rättigheter vid användning av JavaScript, inte har visat att de har identifierat de risker som användningen av JavaScript innebär för de registrerade, på samma sätt som Datatilsynet inte anser att det har visats att Digitaliseringsmyndigheten har infört lämpliga tekniska säkerhetsåtgärder som skyddar de registrerade mot dessa risker. Datatilsynet kritiserar därför att Digitaliseringsstyrelsens behandling av personuppgifter inte har utförts i enlighet med artikel 5.2 GDPR, jfr punkt 5.1 (f), och artikel 24.1, jfr artikel 32.1.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 5 GDPR, art. 24 GDPR, art. 32 GDPR, art. 35 GDPR

Sanktionsavgift: N/A

Mottagare: Digitaliseringsstyrelsen

Beslutsnummer: 2023-432-0025

Beslutsdatum: 2023-11-09

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.