Journalnummer: 2016-632-0197
Datatilsynet vender hermed tilbage til sagen, hvor tilsynet af egen drift anmodede SKAT om en udtalelse vedrørende sikkerheden ved bestilling af en ny TastSelv-kode på SKATs hjemmeside.
Efter anmodning fra Datatilsynet er SKAT ved e-mail af 22. august og 19. oktober 2016 fremkommet med udtalelser til sagen.
Datatilsynet lægger til grund, at funktionaliteten bag bestilling af TastSelv-kode, i perioden fra 2. december 2011 til 22. juli 2016, afslørede sammenhængen mellem det personnummer, der blev indtastet, og den pågældende persons e-mailadresse og/eller telefonnummer. Dette forhold ved SKATs behandling af personoplysninger har efter Datatilsynet opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 31.
Datatilsynet har tidligere behandlet en lignende sag vedrørende TastSelv, hvor det – i forbindelse med autorisation af en fuldmagts bruger- var muligt at få oplyst sammenhængen mellem denne anden brugers navn og personnummer. Sagen kan ses her: www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/sikkerhedsbrist-i-tastselv/.
Datatilsynet finder det på denne baggrund kritisabelt, at SKAT via TastSelv, igen har gjort det generelt muligt, at få oplyst en sammenhæng mellem et personnummer og den konkrete borger.
Datatilsynet har noteret sig det oplyste om, at funktionaliteten ved anmodning om TastSelv-kode, hvor personnummer indtastes og personens egen e-mail-adresse eller telefonnummer vises på skærmen som identifikation og kvittering blev stoppet den 22. juli 2016, at SKAT ikke i forbindelse med funktionens etablering var opmærksom på, at der var risiko for misbrug, at borgerne fortsat kan bestille nye TastSelv-koder, men uden brug af den nævnte funktionalitet, at selve TastSelv-koden ikke kan sendes til andre e-mailadresser eller telefonnumre end den/det som borgeren har oplyst til SKAT, og at teksten ved bestilling af TastSelv-koden fremadrettet kun indeholder besked om, at koden er sendt til den mailadresse/det telefonnummer, som er oplyst til SKAT, uden at afsløre disse.
Underretning af de berørte personer
Efter Datatilsynets praksis vil det i tilfælde, hvor personoplysninger efter en sikkerhedsbrist er kommet til uvedkommendes kendskab eller der har været en risiko herfor, være god databehandlingsskik, at den ansvarlige myndighed eller virksomhed foretager en vurdering af om de skal underrette de berørte personer. Ved vurderingen af spørgsmålet om underretning må den dataansvarlige bl.a. tage oplysningernes karakter og de mulige konsekvenser for de berørte i betragtning.
Datatilsynet har, efter det af SKAT til sagen oplyste, noteret sig, at det ikke har været muligt at vurdere om funktionaliteten konkret har været benyttet uretmæssigt til at identificere borgere ud fra deres personnummer, at der ikke er modtaget henvendelser om misbrug, at potentielt alle borgere med et personnummer kunne være berørt af forholdet, at det efter SKATs opfattelse vil det være en uforholdsmæssig stor opgave at informere samtlige potentielt berørte borgere individuelt og at den massive dækning i medierne medfører, at borgerne denne vej rundt er informeret.
Datatilsynet finder, at offentliggørelse af oplysninger om personnummer kan have væsentlige og konkrete konsekvenser for eventuelt berørte personer, men set i lyset af den tid der er forløbet siden hændelsen, og da der ikke efterfølgende er konstateret konkrete tilfælde af uretmæssig anvendelse, finder Datatilsynet dog ikke nu grundlag for at tilsidesætte den af SKAT foretagne vurdering.
Såfremt der efter afgivelsen af SKATs udtalelser har vist sig konkret berørte borgere, skal Datatilsynet henstille til SKAT, at underrette de pågældende, herunder oplyse disse om, hvilke forholdsregler de bør være opmærksom på, med henblik på at undgå evt. misbrug af deres personoplysninger.
SKAT’s fremsendelse af TastSelv-kode på ukrypteret e-mail
I forlængelse af den konkrete sikkerhedsbrist, anmodede Datatilsynet SKAT om at beskrive funktionaliteten i TastSelv.
Datatilsynet har noteret sig det af SKAT oplyste, at den midlertidige kode til TastSelv Borger bliver sendt til borgeren via en ukrypteret e-mail, hvis borgeren har valgt e-mail som forsendelseskanal, at adgangen til en borgeres TastSelv kræver identifikation af såvel den pågældende borgeres e-mailadresse samt CPR-nummer, at SKATs vurdering er at løsningen ikke er i strid med persondataloven, at den midlertidige kode bliver inaktiv efter 72 timer, hvis den sendes via e-mail og SMS, at der ingen udløbsdato er, hvis koden sendes via brev og, at man som borger ikke kan lukke af for muligheden for at bede om en TastSelv-kode.
Det er generelt Datatilsynets opfattelse, at brugeroplysninger og kendeord der giver adgang til personoplysninger, skal beskyttes på minimum det samme niveau som de personoplysninger de giver adgang til.
Den af SKAT benyttede fremgangsmåde er almindeligt udbredt og kendes fra flere andre services såsom kundekonti, e-mail services, sociale fora med flere. Det er en relativt enkel måde, at sætte brugeren i stand til, at genskabe adgang såfremt kendeordet skulle være glemt.
Der er ikke i det følgende taget stilling til denne generelle brug af fremsendelse af engangskendeord til en af bruger selvvalgt mailkonto.
Datatilsynet konstaterer dog, at der for flere af de pågældende services, over de seneste år, er sket en udvikling hen imod understøttelse af 2-faktor bekræftelse, supplerende kontrolspørgsmål og notifikation til bruger ved kontoændringer.
Det er Datatilsynets opfattelse, at risikobilledet skærpes når det der skabes adgangs- og ændringsbeføjelser til er, data opbevaret af en offentlig dataansvarlig myndighed, data af fortrolig karakter og data der umiddelbart lægges til grund for afgørelser.
Yderligere skærpes forholdet af, at det som anført i indledningen må lægges til grund, at selve det at løsningen synligt koblede et givet personnummer og e-mailadressen sammen, udover personsammenhængen eksponerede både dataflowet, den manglende kryptering og destinationen for engangskendeordet.
Datatilsynet finder, at løsningens funktionalitet afslører en entydig angrebsvektor nemlig e-mailadressen og synligt benytter ukrypteret mail til transport af engangskendeord der giver adgang til en service der udstiller fortrolige personoplysninger. Denne behandling har efter Datatilsynets samlede vurdering ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3.
Datatilsynet finder dette meget beklageligt.
Datatilsynet har noteret sig det oplyste om, at eksponeringen af e-mailadressen i den beskrevne løsning efter den 22. juli 2016 er bragt til ophør.
Datatilsynet skal henstille, at SKAT på baggrund af en fornyet risikovurdering som minimum tager stilling til følgende:
- Brug af funktionalitet hvor engangskendeord i TastSelv sendes ukrypteret til en usikker postkasse og over det åbne internet.
- Brug af supplerende sikkerhedsforanstaltninger f.eks. brug af 2-faktor autentificering, sådan at engangskendeordet kun giver adgang til at lave et nyt varigt kendeord ved brug af en supplerende kode. Tilsvarende kan overvejes for login generelt.
- På baggrund af vurderingen og den endelige funktionalitet skal borgeren informeres behørigt om konsekvensen ved valg af transportform. Borgeren skal oplyses om andre mere sikre valgmuligheder såfremt disse findes.
- Der bør ved udstedelse af et engangskendeord og efterfølgende kendeordsskifte, gives borgeren meddelelse herom, sådan at der skabes mulighed for interessevaretagelse ved uberettiget brug.
Datatilsynet har noteret sig det oplyste om, at der arbejdes på at udfase TastSelv-koden som login til SKATs TastSelv-systemer, og at en kommende løsning vil resultere i, at det fremover kun vil være personer der ikke kan få udstedt en NemID, der vil kunne bestille en TastSelv-kode. Datatilsynet skal i den anledning blot henvise til, at det af tilsynet udtalte, finder tilsvarende anvendelse for behandlinger rettet mod denne resterende persongruppe.
Datatilsynet foretager sig herefter ikke yderligere i sagen.
Det skal for god ordens skyld oplyses, at tilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside.
_________________________________
1Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.