JavaScript må vurderes som risiko, mener Datatilsynet

– Hva blir det neste? spør advokat seg, etter at det danske Datatilsynet kritiserer JavaScript-bruk, og det norske sier seg enig.

Skal du skrive noe i JavaScript, må språket sikkerhetsvurderes for å være innenfor GDPR, mener det danske og norske Datatilsynet. 📸: Shutterstock / NTB
Skal du skrive noe i JavaScript, må språket sikkerhetsvurderes for å være innenfor GDPR, mener det danske og norske Datatilsynet. 📸: Shutterstock / NTB Vis mer

MitID er danskenes offentlige identifiseringsløsning, sammenliknbart med BankID her i Norge. I fjor fikk det danske Datatilsynet en klage på systemet fra en privatperson, som mente MitIDs bruk av JavaScript i klienten utgjorde en risiko:

"Det er overordnet anført i henvendelsen, at JavaScript er forældet og usikkert, og at enheder, herunder telefoner og computere, let kan hackes, hvis JavaScript er aktiveret" skriver det danske Datatilsynet.

De så derfor på saken, og gikk før jul ut med kritikk av Digitaliseringsstyrelsen, som står bak MitID, for "utilstrekkelig risikovurdering".

- De fant at det at ikke JavaScript var risikovurdert, var et brudd på GDPR, forklarer personvern og teknologirett-advokat Jan Sandtrø til kode24.

- Dette til tross for at det var gjort mange sikkerhetstiltak knyttet til bruken av JavaScript, men det hjalp ikke, når det ikke forelå en konkret risikovurdering av JavaScript før tiltakene ble innført.

Advokat Jan Sandtrø
Advokat Jan Sandtrø Vis mer

"Teknologien JavaScript"

JavaScript er som kjent praktisk talt det eneste programmeringsspråket nettleseren kan lese for å skape mer avanserte interaksjoner med brukerne. Å både bruke og lage nettløsninger uten JavaScript er praktisk talt umulig – selv om retninger som progressive enhancement helst vil det annerledes.

Dette påpeker Digitaliseringsstyrelsen i sine innspill til det danske Datatilsynet. Også at de har gjort vurderinger rundt kodekvalitet, som språket JavaScript var en del av. Men samtidig:

"...at risikoen for de registreredes rettigheder ved brug af den specifikke teknologi JavaScript dog ikke specifikt er vurderet."

Om det danske Datatilsynet kritiserer manglende risikovurdering av at MitID er programmert med JavaScript, eller at brukerne ikke får brukt systemet på klientsida uten JavaScript, kommer ikke fram. Tilsynelatende forholder de seg bare til JavaScript som en brukt "teknologi".

"Hva blir det neste?"

"Det er Datatilsynets forventning, at Digitaliseringsstyrelsen herefter vil foretage en specifik vurdering af risikoen for de registreredes rettigheder og frihedsrettigheder, som anvendelsen af JavaScript indebærer for de registrerede" skrives det.

- Datatilsynet krever her at risikovurderingen er på et veldig detaljert nivå. MitID er en løsning som stiller høye krav til sikkerhet, siden det er en løsning for to-faktor-identifisering, men å risikovurdere programmeringsspråket er på et nivå som vi ikke har sett tidligere, sier Sandtrø til kode24.

- Hva er det neste? Risikovurdere maskinvaren i servere eller annet språk som brukes til programmering? Hvor detaljert og konkret skal risikovurderingen være, og hvor langt ned skal man gå? Jeg tviler på at noen gjør dette i dag, og det vil kreve mye i fremtiden om slike vurderinger skal gjøres.

«Hvor detaljert og konkret skal risikovurderingen være, og hvor langt ned skal man gå?»
Veronica Jarnskjold Buer i Datatilsynet
Veronica Jarnskjold Buer i Datatilsynet Vis mer

Gjelder også i Norge

Sandtrø kjenner ikke til liknende saker fra Norge. Men han mener den danske kritikken kan få ringvirkninger også her, da vi deler det samme GDPR-regelverket, med de samme kravene til å risikovurdere løsningene man lager.

Veronica Jarnskjold Buer, direktør for teknologi, analyse og sikkerhet i det norske Datatilsynet, påpeker også at "pliktene for virksomheter som behandler personopplysninger er identiske".

- Allerede i 2017 utarbeidet det norske Datatilsynet en veileder rettet mot nettopp utviklere. I denne peker vi på at alle verktøy, bibliotek og så videre som benyttes ved utvikling av tjenester og løsninger som behandler personopplysninger skal risikovurderes, sier hun til kode24, og viser til veillederen om innebygget personvern.

- Men har dere noen praksis på hvorvidt Javascript i seg selv skal inkluderes i slike risikovurderinger?

- Som beskrevet over; ja, alle verktøy skal risikovurderes, svarer hun, og påpeker at tiltak dessuten må testes, analyseres og vurderes opp mot regelverket.

Med andre ord: Også i Norge kan programmeringsspråk som JavaScript bli ansett som "et verktøy" som må risikovurderes, for å holde seg innenfor GDPR-reglene.

"Håper dere lærer"

- Jeg håper at de som utvikler, anskaffer og leverer tjenester og løsninger i Norge, forstår og lærer av pålegget som det danske Datatilsynet har gitt om risikovurderinger. Jeg synes det danske Datatilsyn har belyst pliktene som virksomhetene har, på en meget god måte, fortsetter Buer i det norske Datatilsynet.

Advokat Sandtrø er ikke fullt like entusiastisk.

- Man må risikovurdere kritiske løsninger, som MitID. Men denne saken betyr at man må da risikovurdere bruken av programmeringsspråket som brukes i slike løsninger. Det kan også være at flere forhold som ikke tidligere er vurdert, nå må vurderes. Det skal presiseres at dette gjelder i Danmark, men saken kan få ringvirkninger til Norge også, sier han, og spør seg:

- Hva om JavaScript anses som ikke sikkert? Skal da nær alle sider som krever en viss sikkerhet, som MinID, ID-porten, bank-login, BankID og så videre, slutte å bruke det?