Sikkerhedsbrist i TastSelv Person (Skattemappen)

Publiceret 07-12-2017
Historisk afgørelse Offentlige myndigheder

Journalnummer: 2017-632-0209

1. Datatilsynet vender hermed tilbage til sagen, hvor personoplysninger, herunder oplysninger om personnumre, økonomiske forhold, familieforhold og eventuel religiøs overbevisning, om 103 borgere har været offentligt tilgængelige via SKATs hjemmeside den 9. marts 2017.

Ved breve modtaget i Datatilsynet den 5. maj og 6. juli 2017 er SKAT efter anmodning fra tilsynet kommet med udtalelser til sagen. På baggrund heraf har Datatilsynet den 17. august 2017 afgivet en udtalelse i sagen, som samme dag blev sendt til SKAT.

I et brev modtaget i Datatilsynet den 31. august 2017 oplyser SKAT, at tilsynets udtalelse, ifølge SKAT, kan give anledning til misforståelse af sikkerhedsbristens omfang, idet tilsynets udtalelse ikke indeholder oplysning om, at adgangen til personoplysningerne kun var åben for personer, som havde autoriseret sig via f.eks. NemID. Herudover oplyser SKAT i brevet, at SKATs tidligere beskrivelse af årsagen til sikkerhedsbristen ikke længere er korrekt, idet sikkerhedsbristen ikke skyldtes, som først antaget, en teknisk opdatering af software hos en af SKATs leverandører, men i stedet skyldtes en opdatering i systemkoden, som leverandøren, ifølge SKAT, ved en fejl havde påbegyndt imod SKATs instruks. 

Herudover har SKAT i en mail modtaget i Datatilsynet den 5. december 2017 samt telefonisk den 5. og 6. december 2017 oplyst om en række ekstra foranstaltninger, som SKAT har iværksat for at sikre, at der fremover ikke sker uberettiget offentliggørelse af personoplysninger.

2. I lyset heraf skal Datatilsynet udtale følgende:

Efter en gennemgang af sagen finder Datatilsynet det kritisabelt, at oplysninger om bl.a. personnumre, økonomiske forhold, familieforhold og eventuel religiøs overbevisning om 103 borgere har været tilgængelige for uvedkommende på SKATs hjemmeside via en åben adgang til disse borgeres skattemappe for personer, som havde autoriseret sig via f.eks. NemID. SKATs behandling af personoplysninger har efter Datatilsynets opfattelse herefter ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3.

Datatilsynet har noteret sig, at SKAT har oplyst, at sikkerhedsbristen opstod som følge af en opdatering i systemkoden foretaget af en af SKATs leverandører med hvem, der foreligger en databehandleraftale, at leverandøren, ifølge SKAT, ved en fejl havde påbegyndt opdateringen, selvom SKAT havde instrueret om, at der ikke måtte foretages rettelser i systemet, at SKAT konstaterede sikkerhedsbristen den 9. marts 2017 kl. 20.15, at der samme dag kl. 21.13 blev lukket for adgang til TastSelv Person, og at sikkerhedsbristen blev håndteret ved at rulle opdateringen tilbage, hvorefter der igen blev åbnet for adgang. 

Endvidere har Datatilsynet noteret sig, at SKAT har oplyst, at der ikke er foretaget uretmæssige ændringer i årsopgørelserne eller forskudsopgørelserne, at 360 personer har foretaget opslag i en eller flere af de 103 berørte borgeres skattemapper, og at de 360 personer har foretaget i alt 724 opslag fordelt ud over de 103 borgeres oplysninger.

For så vidt angår SKATs efterfølgende foranstaltninger har SKAT blandt andet oplyst, at leverandøren har genskabt fejlen i et isoleret testmiljø, som var en identisk kopi af produktionsmiljøet, at leverandøren har udført grundige test for at efterprøve og forstå sikkerhedsbristen, og de konsekvenser sikkerhedsbristen medførte, at SKAT vil udbygge de tests, der foretages ved enhver opdatering, sådan at risikoen for lignende situationer minimeres mest muligt, at SKAT har påpeget overfor leverandøren og også løbende påpeger, at leverandøren ikke må påbegynde opdateringer eller ændringer, før disse er godkendt af SKAT, at SKAT telefonisk har underrettet de fleste af de berørte borgere den 10. marts 2017, og at alle berørte personer i uge 14 har modtaget en orienteringsskrivelse med mere uddybende oplysninger om sikkerhedsbristen, herunder resultatet af gennemgangen af loggen. 

Datatilsynet foretager sig herefter ikke yderligere i sagen.

Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside.