Sikkerhedsbrist i TastSelv

Publiceret 26-09-2014
Historisk afgørelse Offentlige myndigheder

Journalnummer: 2014-632-0101

Datatilsynet vender hermed tilbage til sagen, hvor en borger gjorde tilsynet opmærksom på, at det – i forbindelse med autorisation af en anden bruger til at se eller indtaste ens oplysninger i løsningen TastSelv – var muligt at få oplyst sammenhængen mellem navn og personnummer.

Efter anmodning fra Datatilsynet er SKAT den 28. juli 2014 fremkommet med en udtalelse, hvori det bekræftes, at det via TastSelv har været muligt at få oplyst navne på uvedkommende personer ved indtastning af deres personnummer. Når en autorisationsudsteder indtastede personnummer i TastSelv, kvitterede systemet med personens navn. Det fremgår endvidere, at dette alene var gjort for at sikre, at en autorisationsudsteder (herunder i dødsboer) ikke ved fejlindtastning giver autorisation til en forkert person. Der var ingen begrænsning på antal ”forsøg” en bruger havde.

Datatilsynet finder det meget beklageligt, at det via løsningen TastSelv har været muligt at få oplyst navne på uvedkommende personer ved indtastning af deres personnummer. SKATs behandling af personoplysninger har efter Datatilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens1 41, stk. 32 .

Datatilsynet har noteret sig det oplyste om, at SKAT – for at undgå, at navnevisningen bliver brugt til andet end det løsningen er tiltænkt – har fjernet adgangen til at koble personnummer og navn i forbindelse med autorisationsproceduren i TastSelv, samt at systemet siden den 22. juli 2014 ikke længere har kvitteret med personens navn ved indtastning af personnummer.

Datatilsynet skal for god ordens skyld oplyse, at tilsynet forventer at omtale sagen på sin hjemmeside.

Tilsynet foretager sig i øvrigt ikke yderligere i sagen.

 

1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
2 Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Pligten til at træffe fornødne sikkerhedsforanstaltninger påhviler efter persondatalovens § 41, stk. 3, såvel den dataansvarlige som en eventuel databehandler.