Datatilsynet framför allvarlig kritik mot att Nets DanID A/S behandling av personuppgifter inte har skett i enlighet med bestämmelserna i artikel 32.1 dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet efter pressbevakning fått kännedom om att det i juni 2022 skedde ett haveri av NemID, vilket resulterade i att en stor andel av NemID-användarna upplevde problem med att använda NemID från 21 juni 2022 till 26 juni 2022, vilket innebar att användarna inte kunde få tillgång till stora offentliga danska tjänster som borger.dk, e-Boks, sundhed.dk och minretssag.dk genom att logga in med NemID.
Nets DanID, som var personuppgiftsansvarig vid tidpunkten för incidenten, följde sin nödprocedur i ett försök att återställa normal drift genom att återställa en server med en backup-lösning. Det var dock inte möjligt för Nets DanID att återställa normal drift förrän fyra dagar efter avbrottet, eftersom reservlösningen inte var tillgänglig. Det test av nödproceduren som skulle ha kunnat fastställa orsaken till att backup-lösningen inte var tillgänglig utfördes senast cirka två år före felet.
Datatilsynet har i ärendet dragit slutsatsen att Nets DanID:s rutiner för att testa, bedöma och utvärdera effektiviteten i backup-lösningen inte var tillräckliga. Dessutom fann Datatilsynet att Nets DanID inte vidtagit tillräckliga åtgärder för att säkerställa NemID-lösningens fortsatta robusthet. På grundval av detta har Datatilsynet riktat allvarlig kritik mot Nets DanID för att inte ha vidtagit tillräckliga åtgärder för att uppnå en säkerhetsnivå som är lämplig i förhållande till riskerna för medborgarna.
Datatilsynet har betonat att det rör sig om en kritisk, nationell infrastruktur och att driftstoppet därför potentiellt kan få betydande konsekvenser för de drabbade medborgarna, inte minst med tanke på den långa tid som driftstoppet varade.
NemID fasades ut den 31 oktober 2023, varefter det inte längre var möjligt att erhålla och använda NemID. MitID lanserades 2021 och har ersatt NemID. Beslutets innehåll om robusthet och, i detta sammanhang, testning av backup och återställning är dock fortfarande relevant för personuppgiftsansvariga och personuppgiftsbiträden i förhållande till andra lösningar. Särskilt när det gäller kritisk, nationell infrastruktur.
Datatilsynets krav på lämplig säkerhet innebär normalt att säkerhetskopieringstestning ska utföras. Detta innebär att regelbundet testa om säkerhetskopiering sker med förväntade intervall (frekvens) och om säkerhetskopian är tillgänglig, innehåller all relevant data (omfattning) och är korrekt (integritet). Dessutom bör återställningstester utföras för att testa om data faktiskt kan laddas om och användas i ett IT-system. Detta är ett test av (1) om återställning kan utföras med befintliga guider/procedurer, (2) att allt som kopieras (hårdvara, mjukvara, data) kan fungera tillsammans, och (3) att återställning kan göras tillräckligt snabbt med tanke på att påverkan vanligtvis ökar med tiden (Recovery Time Objective).