Datatilsynet kritiserer Skat: Gav borgeres identitet i bytte for et CPR-nummer

Illustration: SKAT
Endnu en gang får Skats TastSelv-service kritik for mangelfuld beskyttelse af persondata.

Skats TastSelv-service har mellem 2011 og 2016 udleveret mail og telefonnummer, hvis man indtastede et CPR-nummer.

Det kunne Version2 afsløre i juli 2016. Nu – mere end halvandet år efter – får Skat kontant kritik fra Datatilsynet i sagen.

Læs også: Fra CPR til identitet: Skat.dk udleverer mail og telefonnummer i bytte for CPR

Problemet skyldes en nu lukket funktion i Skats TastSelv-service, hvor enhver person kunne indtaste et CPR-nummer for at få tilsendt en engangskode. Når personnummeret blev indtastet, kunne man vælge mellem at modtage koden på SMS, mail eller fysisk post.

Valgte man en af de to første valgmuligheder, viste Skats hjemmeside troligt det telefonnummer eller den mail, der er knyttet til personen med CPR-nummeret.

Og den praksis er kritisabel, lyder det i en afgørelse offentliggjort på Datatilsynets hjemmeside, som er sendt til Skat i januar. Tilsynet finder det problematisk, at funktionen gjorde det effektivt muligt at afsløre sammenhængen mellem et personnummer og den konkrete borger.

»Dette forhold ved Skats behandling af personoplysninger har efter Datatilsynet opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3.« skriver tilsynet.

Læs også: Datatilsynet vil kulegrave Skat.dk's datahåndtering: Utilstrækkelig databeskyttelse

Skat: Vidste ikke det kunne misbruges

Skat har i forbindelse med sagen sendt flere mails til Datatilsynet. Heri forklarer myndigheden blandt andet, at Skat ikke var opmærksom på, at funktionen kunne misbruges, da den blev etableret i 2011.

Ikke desto mindre kunne Datatilsynet allerede i 2014 kritisere selv samme funktion for at afsløre sammenhænge mellem personnummer og navn – dengang i forbindelse med udstedelse af en fuldmagt.

Læs også: SKAT og Digitaliseringsstyrelsen blæser på it-sikkerheden hos deres driftleverandører

Skat oplyser, at myndigheden ikke har fået klager om misbrug, men beretter samtidig, at det ikke er muligt at afgøre, om funktionen er blevet misbrugt til at identificere borgere ud fra deres CPR-nummer.

Datatilsynet notererer i afgørelsen, at alle borgere med et personnummer potentielt set kunne være berørt, og »at det efter SKATs opfattelse vil det være en uforholdsmæssig stor opgave at informere samtlige potentielt berørte borgere individuelt«.

Kritik af engangskoder på ukrypteret mail

TastSelv-funktionen får af Datatilsynet også på puklen for at sende engangs-koderne til borgeren gennem almindelig ukrypteret mail.

Læs også: »DEN ER HELT GAL!!!«: Java-opdatering mistænkt for TastSelv-læk af CPR-oplysninger

»Det er generelt Datatilsynets opfattelse, at brugeroplysninger og kendeord, der giver adgang til personoplysninger, skal beskyttes på minimum det samme niveau som de personoplysninger, de giver adgang til,« skriver tilsynet.

Datatilsynet vil i afgørelsen ikke tage stilling til brugen af engangskoder på almindelig mail generelt. Men i dette tilfælde, hvor koden giver anledning til fortrolige personoplysninger, er en ukryptereret mail ikke nok til at garantere sikkerheden, skriver tilsynet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere