Datatilsynet riktar allvarlig kritik mot Digitaliseringsstyrelsen och Signaturgruppen över överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår flera medborgare i januari 2022 insett att fått tillgång till andra medborgares konton när de loggade in på sin internetbank via MitID. Detta rapporterades till Datatilsynet som en personuppgiftsincident av tre banker. Händelsen föranledde att Datatilsynet på eget initiativ öppnade ett ärende för att undersöka det bakomliggande problemet.
Felet visade sig bero på att inloggningsförfrågningar till samma internetbank inom millisekunder i speciella fall kunde få MitID att utfärda en så kallad token för en annan session. Felet hade kunnat undvikas om Signaturgruppen (det företag som förmedlar autentiseringssvaret) validerat medborgarens inloggning med en teknik som kallas Broker Security Context. Digitaliseringsstyrelsen, som är personuppgiftsansvarig för MitID, hade rekommenderat detta men inte ställt det som krav.
Enligt Datatilsynet borde ha varit ett krav, varför myndigheten drar slutsatsen att Digitaliseringsstyrelsen inte vidtagit tillräckliga åtgärder för att uppnå en säkerhetsnivå som matchar riskerna för medborgarna. Samtidigt är det Datatilsynets uppfattning att Signaturgruppen, som är personuppgiftsansvarig för lösningen, inte heller haft tillräckliga säkerhetsåtgärder eftersom de använt Broker Security Context på ett annat sätt än vad som beskrivs i rekommendationen.
Mot denna bakgrund riktar Datatilsynet allvarlig kritik mot både Digitaliseringsstyrelsen och Signaturgruppen då bolagens behandling av personuppgifter inte skett i överensstämmelse med artikel 32 GDPR.
När det gäller en så central infrastruktur som MitID är det enligt Datatilsynet avgörande att den personuppgiftsansvarige gör rätt bedömning av risken. Denna bedömning måste ta hänsyn till både sannolikheten för att fel uppstår med volymen i lösningen och risken för de medborgare som använder infrastrukturen.