Datatilsynet udtaler alvorlig kritik i sag om nedbrud af NemID

Datatilsynet udtrykker “alvorlig kritik” af, at op mod 1,5 millioner NemID-brugere i flere dage oplevede problemer med at anvende it-løsningen.

Problemerne fandt sted i juni 2022. I fire dage kunne visse brugere ikke tilgå større offentlige danske tjenester som borger.dk, e-Boks, sundhed.dk og minretssag.dk ved login med NemID.

– Datatilsynet har lagt særligt vægt på, at der var tale om kritisk, national infrastruktur, og at nedbruddet derfor potentielt kunne medføre betydelige konsekvenser for de berørte borgere – ikke mindst taget den lange periode i betragtning, som nedbruddet varede, lyder det i en pressemeddelelse.

Nets DanID var dataansvarlig på tidspunktet for hændelsen. Virksomheden kunne ikke genoprette normaldriften før fire dage efter nedbruddet, da backup-løsningen var utilgængelig.

Den test af nødproceduren, der kunne have konstateret årsagen til, at backup-løsningen var utilgængelig, blev senest foretaget cirka to år inden nedbruddet.

Datatilsynet konkluderer, at virksomhedens afprøvning, vurdering og evaluering af effektiviteten af backup-løsningen ikke var tilstrækkelig.

Derudover har Datatilsynet vurderet, at Nets DanID ikke havde truffet tilstrækkelige foranstaltninger for at sikre NemID-løsningen.

NemID blev lanceret i 2010 og afviklet i 2023.

Bag løsningen står Nets DanID, som også har udviklet MitID, der blev lanceret i 2021, hvorefter man gradvist har afviklet NemID.

Men ifølge Datatilsynet er afgørelsen stadig relevant.

– Afgørelsens indhold om særligt robusthed og i den forbindelse test af backup og genetablering er dog fortsat relevant for dataansvarlige og databehandlere i forhold til andre løsninger.

– Særligt når der er tale om kritisk, national infrastruktur, skriver Datatilsynet.