Virksomheders adgang til oplysninger i eIndkomst via TastSelv-kode

Publiceret 27-01-2009
Historisk afgørelse Offentlige myndigheder

Journalnummer: 2008-632-0026

Datatilsynet vender hermed tilbage til sagen om virksomheders adgang til oplysninger i eIndkomst via TastSelv-kode.

Datatilsynet har bl.a. noteret sig, at SKAT har anvist to løsningsmuligheder for de virksomheder, for hvem det ikke er hensigtsmæssigt at anvende én TastSelv-kode: Anvendelse af administrative SE-numre eller digital signatur.

Sagsfremstilling og Datatilsynets bedømmelse af sagen fremgår nedenfor.

Sagsfremstilling

På baggrund af en henvendelse fra HCS A/S Transport & Spedition om ad-gangen til oplysninger i SKATs eIndkomstregister anmodede Datatilsynet den 21. februar 2008 SKAT om en udtalelse.

Datatilsynet anmodede om at få oplyst, hvordan virksomhedernes adgang til eIndkomstregistret er tilrettelagt, herunder om SKAT logger virksomhedernes opslag, og hvordan SKAT i øvrigt sikrer sig, at persondataloven overholdes.

Datatilsynet har endvidere modtaget en henvendelse fra Dansk Arbejdsgiverforening. Til orientering vedlægges kopi af organisationens brev af 5. marts 2008.

SKAT er ved brev af 14. marts 2008 fremkommet med en udtalelse i sagen.

SKATs udtalelse

SKAT har oplyst, at virksomhedernes adgang til eIndkomstregistret er nærmere beskrevet i skatteministerens svar på to § 20-spørgsmål, og har henvist hertil.

Svaret på § 20-spørgsmålet S 748 lyder således:

"Spørgsmål:
Hvad er ministerens holdning til, at eIndkomst giver adgang til, at uvedkommende i en virksomhed kan se fortrolige lønoplysninger i eIndkomst, og vil ministeren ændre dette?
Svar:
Jeg er naturligvis af den opfattelse, at der ikke må gives uvedkommende i en virksomhed adgang til at se fortrolige indkomstoplysninger.
 
SKAT har i den forbindelse oplyst:

"Adgang til oplysninger i indkomstregistret sker via TastSelv Erhverv (Digital selvbetjeningsløsning, som er tilgængelig på SKATs hjemmeside). I TastSelv Erhverv har en virksomhed eller den, som agerer på vegne af denne, alene ad-gang til egne lønoplysninger i indkomstregistret.

Måden, som TastSelv Erhverv fungerer på, er den samme som før obligatorisk indberetning til indkomstregistret.  Der er således ikke noget nyt i, hvordan en virksomhed anvender TastSelv Erhverv. Forskellen er, at indkomstoplysninger nu indberettes mindst en gang om måneden mod tidligere en gang om året.

En virksomhed har adgang til TastSelv Erhverv med enten digital signatur eller TastSelv-kode med angivelse af CVR- eller SE-nummer. Vejledning om anvendelsen TastSelv Erhverv, herunder brugen af digital signatur eller Tast-Selv-kode, fremgår af SKATs hjemmeside.

En virksomhed vælger selv, om den vil bruge TastSelv-Kode eller digital signatur. Hvordan den enkelte virksomhed så bruger TastSelv Erhverv, er op til denne.

TastSelv Erhverv giver mulighed for, at en virksomhed på grundlag af egne sikkerhedsregler kan give en eller flere medarbejdere adgang til indkomstop-lysninger i indkomstregistret. Hvilke medarbejdere, der har adgang, og hvilke rettigheder og begrænsninger disse har, fastlægges internt i virksomheden.

For en virksomhed, som har valgt at anvende TastSelv-kode, er der adgang til alle oplysninger, der er indberettet for virksomheden, for alle de medarbejdere, som virksomheden har givet TastSelv-koden til. Virksomheder, der anvender TastSelv-kode, og som har givet den til forskellige medarbejdere, må have til-tro til, at disse ikke misbruger den til at se fortrolige indkomstoplysninger.

Anvendes TastSelv-kode er der med andre ord ikke mulighed for at give for-skellige medarbejdere eller grupper af medarbejdere adgang til forskellig funk-tionalitet og dermed forskellige typer af oplysninger. Det betyder, at den medarbejder, der har en TastSelv-kode, har adgang til eksempelvis både moms- og indkomstoplysninger.

Hvis større virksomheder, der anvender TastSelv-kode, har særligt fortrolige indkomstoplysninger for grupper af medarbejdere, hvor alene særligt betroede medarbejdere må have adgang, kan dette opnås ved at indberette til indkomstregistret for hver gruppe af medarbejdere på såkaldte administrative SE-numre. Et administrativt SE-nummer bør derfor ikke bruges til andre formål, medmindre medarbejderen/ medarbejderne har samme rettighed/rettigheder til fortrolige indkomstoplysninger i virksomheden.

Hvis mindre virksomheder anvender denne regel, skal de være opmærksom på, at angivelses- og betalingsfristen for indeholdte skatter, derved ændres til sid-ste bankdag i måneden i stedet for den 10. i følgende måned, fordi virksomheden derfor bliver anset for stor virksomhed, som skal indberette på sidste bankdag.

For den virksomhed, som har valgt at anvende digital signatur, er adgangen til indkomstoplysninger tilrettelagt, så virksomheden selv kan bestemme, hvilken funktionalitet og dermed hvilke type af oplysninger en medarbejder må have adgang til. Virksomheden kan autorisere en eller flere medarbejdere til at indberette og forespørge på indkomstoplysninger og samtidig give en eller flere andre medarbejdere adgang til at indberette moms eller punktafgifter. Den medarbejder, der har adgang til indkomstoplysninger, har adgang til alle indkomstoplysninger for virksomheden."

Der er altså ingen principiel forskel i, at virksomhederne allerede, før eIndkomst blev indført, skulle være opmærksomme på at adgang til TastSelv Erhverv vil kunne give adgang til oplysninger om indkomst m.v. Derfor er TastSelv Erhverv indrettet så virksomheden kan tilrettelægge sin indberetning således, at alene autoriseret personale kan få adgang til at indberette og se f.eks. fortrolige indkomst-oplysninger.

Som jeg nævnte indledningsvis, er jeg naturligvis af den opfattelse, at der ikke må gives uvedkommende i en virksomhed adgang til at se fortrolige indkomstoplys-ninger. SKAT stiller som nævnt løsninger til rådighed for virksomhederne, som de kan benytte til indberetning af indkomstoplysninger. Jeg tror, at langt de fleste virksomheder på dette grundlag forstår at tilrettelægge deres arbejdsgange på en fornuftig måde."

Svaret på § 20-spørgsmålet S 750 lyder således:

"Spørgsmål:
Hvorfor har SKAT ikke inden den pligtmæssige indberetning til eIndkomst informeret om, at der er risiko for, at alle i en virksomhed, der indberetter til SKAT, kan komme til at se fortrolige lønoplysninger?

Svar:
Af § 20, stk. 1, i forretningsorden for Folketinget fremgår det, at § 20-spørgsmål fremover skal omhandle en ministers holdning til eller opfattelse af et offentligt anliggende på grundlag af information, der er umiddelbart tilgængelig for ministeren.

Jeg finder på den baggrund, at det stillede spørgsmål ligger uden for rammerne for et § 20-spørgsmål, og at spørgsmålet således i givet fald bør stilles som ud-valgsspørgsmål."

SKAT har supplerende oplyst over for Datatilsynet, at der foretages logning af alle forespørgsler til eIndkomstregistret.

Ved anvendelse af TastSelv-kode logges oplysninger om tidspunkt og handlinger vedrørende den, der er logget på med TastSelv-kode, og ved anvendelse af digital signatur logges desuden oplysninger om, hvilket medarbejdercertifikat der er logget på med.

For så vidt angår driften af eIndkomstregistret er der indgået en kontrakt med IBM som databehandler, og en særskilt sikkerhedsaftale er videreført. I henhold til denne sikkerhedsaftale modtager SKAT en gang årligt en revisionserklæring.

Datatilsynet skal herefter udtale følgende:

Ifølge persondatalovens  § 41, stk. 3, skal den dataansvarlige træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Datatilsynet går ud fra, at såvel offentlige myndigheder som private virksomheder har adgang til indkomstregistret. For de offentlige myndigheder er persondatalovens sikkerhedskrav nærmere udmøntet i sikkerhedsbekendtgørelsen , og Datatilsynet anbefaler, at private dataansvarlige også tager udgangspunkt heri.

Krav om personlige og fortrolige adgangskoder

Sikkerhedsbekendtgørelsen indeholder bl.a. regler om tildeling af brugerrettigheder (autorisation) til medarbejderne og anvendelse af password, jf. §§ 11, 12 og 16.

Disse regler indebærer kort fortalt, at der kun må gives autoriserede medarbejdere adgang til personoplysninger, og at medarbejderne kun må få adgang til det, de har behov for. Når der er tale om adgang til fortrolige eller følsomme personoplysninger, skal den enkelte bruger tildeles et personligt og fortroligt password.

Efter Datatilsynets opfattelse vil det således ikke være i overensstemmelse med persondatalovens sikkerhedskrav, hvis flere medarbejdere anvender samme adgangskode. Datatilsynet lægger herved vægt på, at der indgår fortrolige og evt. også følsomme personoplysninger i indkomstregistret. Datatilsynet bemærker endvidere, at en "én til én" sammenhæng mellem bruger og adgangskode må være en forudsætning for, at loggen over forespørgsler som forudsat kan anvendes til at afklare, hvem der har foretaget et givent opslag.

Efter Datatilsynets opfattelse medfører persondatalovens krav om personlige og fortrolige adgangskoder også, at en virksomhed eller myndighed, der har givet en medarbejder autorisation til adgang under anvendelse af TastSelv-koden, skal sikre sig, at koden inaktiveres, hvis medarbejderen fratræder eller får nye arbejdsopgaver, hvor der ikke længere er brug for adgang til indkomstregistret. Den medarbejder, der overtager opgaven, bør tildeles en ny personlig og fortrolig kode.

Digital signatur ved adgang til følsomme personoplysninger via internet

Hvis der - via internet - gives adgang til følsomme personoplysninger, f.eks. oplysninger om helbredsbetingede ydelser, anbefaler Datatilsynet digital signatur frem for pinkode. Der henvises herved til Datatilsynets høringssvar af 1. december 2006 over indkomstregisterbekendtgørelsen, hvori tilsynet henstillede, at der tages initiativer til at øge sikkerheden, således at der arbejdes hen imod, at pinkodeadgangen udgår, og at der alene gives adgang ved anvendelse af certifikat/digital signatur og eventuelt Net-ID. Kopi af Datatilsynets høringssvar vedlægges.

Datatilsynets konklusion

Efter Datatilsynets opfattelse skal de løsninger, som SKAT stiller til rådighed, gøre det muligt at anvende indkomstregistret med respekt af persondatalovens krav.

Efter Datatilsynets opfattelse er datasikkerheden ikke tilstrækkelig, hvis løsningen er baseret på, at flere medarbejdere skal kunne anvende samme Tast-Selv-kode. Efter Datatilsynets opfattelse kan der endvidere stilles spørgsmålstegn ved, om adgangen til data altid er afgrænset til det, som er nødvendigt for den givne medarbejders varetagelse af sine opgaver. Datatilsynet henviser her til, at anvendelse af digital signatur ifølge det oplyste indebærer adgang til at se alle indberettede indkomstoplysninger for virksomheden.

Datatilsynet skal derfor opfordre til, at der arbejdes hen imod en løsning, der er indrettet til at håndtere adgangen til data korrekt.

Ved SKATs indretning af adgangsmulighederne må det efter Datatilsynets opfattelse også tages i betragtning, at løsningerne ikke må underminere begrænsninger i adgangen til oplysninger, som virksomheden i øvrigt har i sine egne systemer.

Datatilsynet skal opfordre til, at SKAT - så længe den eksisterende løsning anvendes - giver information til virksomhederne og myndighederne om, at TastSelv-koden ikke må bruges, hvis flere end én person skal have adgang, samt at koden skal udskiftes, hvis en ny medarbejder skal overtage de opgaver, hvortil der er brug for adgang til registeret. Den digitale signatur skal ligeledes inaktiveres, hvis medarbejderen ikke længere skal løse opgaver med indberetning til indkomstregistret. TastSelv-koden bør heller ikke tages i brug, hvis de oplysninger, som den pågældende virksomhed eller myndighed har adgang til, omfatter følsomme oplysninger, f.eks. om helbredsbetingede ydelser.

Datatilsynet skal endvidere anmode SKAT om at overveje, hvor mange oplysninger i indkomstregistret der skal stilles til rådighed via TastSelv, herunder historiske oplysninger.

Datatilsynet skal endelig gentage sin opfordring til, at der tages initiativer til at øge sikkerheden, således at der arbejdes hen imod, at pinkodeadgangen udgår, og at der alene gives adgang til følsomme personoplysninger (dvs. oplysninger omfattet af persondatalovens §§ 7-8) ved anvendelse af certifikat/digital signatur og eventuelt Net-ID.

Hvis SKAT finder det hensigtsmæssigt, deltager Datatilsynet gerne i et møde til en nærmere drøftelse af problemstillingerne.

I øvrigt foretager Datatilsynet på det foreliggende grundlag ikke yderligere i sagen.

Kopi af dette brev er dags dato sendt til Dansk Arbejdsgiverforening og HCS A/S Transport & Spedition til orientering.

Datatilsynet forventer endvidere i løbet af kort tid at offentliggøre brevet på tilsynets hjemmeside.