DanID udsender på fredag nye adgangskoder til 3.604 NemID-brugere, der ellers allerede havde fået koder. Det sker efter pres fra Datatilsynet.
Problemet er det samme, som skete for en måned siden. DanID har endnu en gang udsendt breve uden forskudt forsendelse.
De 3.604 brugere modtog for to uger siden på samme dag både brev med nøglekort og brev med den midlertidige adgangskode. Det er et brud på sikkerhedsstandarder, der siger, at brevene skal sendes med nogle dages mellemrum. På den måde bliver eksempelvis postbude eller andre i distributionskæden ikke fristet.
For blot en måned siden måtte DanID spærre omtrent 17.261 certifikater på grund af samme fejl og efter pres fra Datatilsynet.
Problemet, der skyldes en fejl hos DanID’s printleverandør, har efter DanIDs oplysninger ikke medført misbrug af NemID. Af sikkerhedsmæssige grunde vælger DanID alligevel at spærre alle 3.604 brugerprofiler, skriver DanID i en pressemeddelelse.
En borger sår dog tvivl om, hvorvidt DanID er bekymret for sikkerheden. Borgeren fik for to uger siden, efter at have talt med DanID's support, det indtryk, at DanID ikke havde tænkt sig at gøre noget ved problemet.
"DanID mener altså ikke, at der er et problem med, at jeg modtager alle nemid-oplysninger samme dag, og jeg sagtens kan gå i gang med at bruge dem," skrev borgeren til Datatilsynet umiddelbart efter sikkerhedsbristen.
Jette Knudsen, kommunikationschef hos DanID, afviser, at DanID ikke tager problemet alvorligt. Hun siger, at det er en medarbejder i support-afdelingen, som ikke har givet den rigtigt besked.
"Der har været en borger, der har fået en forkert information fra supporten," siger Jette Knudsen.
DanID spærrer først de 3.604 NemID-brugere tirsdag. I det tidligere tilfælde af brud ville Datatilsynet have DanID til at spærret med det samme.
"Derfor mener Datatilsynet, at DanID straks efter virksomhedens konstatering af fejlen burde have spærret disse certifikater," skrev Datatilsynet for en måned siden.
Arbejder hurtigt
Jette Knudsen siger, at DanID arbejder så hurtigt som muligt. DanID har brugt tiden på at finde ud af, hvilke borgere der har modtaget brevet på samme tid.
"Det kunne lige så godt have været to, der har været uheldige med posten. Der foregår et analysearbejde," siger Jette Knudsen.
Det går tjept, siger hun.
"Vi spærrer dem så hurtigt, vi kan. Det foregår med det samme. Vi skal jo heller ikke lukke for NemID for nogen, hvor der ikke er problemer," siger Jette Knudsen.
Hun henviser til, at Datatilsynet for en måned siden bad om at få spærret for 27.000 certifikater, men at DanID siden kun fandt det nødvendigt at spærre for 17.000 brugere.
"Vi skulle jo ikke spærre for 10.000 brugere, hvor der ikke var problemer," siger Jette Knudsen.
At den nuværende sag er alvorlig, fremgår tydeligt af Datatilsynets brev til DanID for en uge siden:
"Datatilsynet kan på nuværende tidspunkt ikke udelukke, at der i den foreliggende sag er grundlag for en konkret mistanke om overtrædelse af persondataloven, der kan medføre straf," skrev Datatilsynet til DanID.
Ændret procedure
DanID oplyser, at der er tale om en menneskelig fejl hos DanIDs printleverandør, men at ansvaret naturligvis er DanIDs. DanID indførte nye og skrappere procedurer efter en lignende hændelse i begyndelsen af september, men procedurerne er ikke blevet overholdt.
Som en direkte konsekvens vil en af DanIDs medarbejdere fremover gennemføre en daglig kontrol på stedet hos printleverandøren.
Desuden implementeres der den 24. oktober en teknisk løsning, hvorved risikoen for menneskelige fejl minimeres, oplyser DanID. Ved den tekniske løsning sikres det automatisk, at nøglekortet er printet korrekt, inden print af de midlertidige adgangskodebreve kan igangsættes.
