Datatilsynet kritiserer Skat: Gav borgeres identitet i bytte for et CPR-nummer

7. februar 2018 kl. 14:124
Datatilsynet kritiserer Skat: Gav borgeres identitet i bytte for et CPR-nummer
Illustration: SKAT.
Endnu en gang får Skats TastSelv-service kritik for mangelfuld beskyttelse af persondata.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Skats TastSelv-service har mellem 2011 og 2016 udleveret mail og telefonnummer, hvis man indtastede et CPR-nummer.

Det kunne Version2 afsløre i juli 2016. Nu – mere end halvandet år efter – får Skat kontant kritik fra Datatilsynet i sagen.

Problemet skyldes en nu lukket funktion i Skats TastSelv-service, hvor enhver person kunne indtaste et CPR-nummer for at få tilsendt en engangskode. Når personnummeret blev indtastet, kunne man vælge mellem at modtage koden på SMS, mail eller fysisk post.

Valgte man en af de to første valgmuligheder, viste Skats hjemmeside troligt det telefonnummer eller den mail, der er knyttet til personen med CPR-nummeret.

Artiklen fortsætter efter annoncen

Og den praksis er kritisabel, lyder det i en afgørelse offentliggjort på Datatilsynets hjemmeside, som er sendt til Skat i januar. Tilsynet finder det problematisk, at funktionen gjorde det effektivt muligt at afsløre sammenhængen mellem et personnummer og den konkrete borger.

»Dette forhold ved Skats behandling af personoplysninger har efter Datatilsynet opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3.« skriver tilsynet.

Sådan så det ud, når man bad Skats system om at sende engangskode over SMS.

Datatilsynets ordre til Skat

Skat skal som minimum tage stilling til følgende:

  • Brug af funktionalitet hvor engangskendeord i TastSelv sendes ukrypteret til en usikker postkasse og over det åbne internet.

  • Brug af supplerende sikkerhedsforanstaltninger f.eks. brug af 2-faktor autentificering, sådan at engangskendeordet kun giver adgang til at lave et nyt varigt kendeord ved brug af en supplerende kode. Tilsvarende kan overvejes for login generelt.

  • På baggrund af vurderingen og den endelige funktionalitet skal borgeren informeres behørigt om konsekvensen ved valg af transportform. Borgeren skal oplyses om andre mere sikre valgmuligheder såfremt disse findes.

  • Der bør ved udstedelse af et engangskendeord og efterfølgende kendeordsskifte, gives borgeren meddelelse herom, sådan at der skabes mulighed for interessevaretagelse ved uberettiget brug.

Kilde: Datatilsynet

Skat: Vidste ikke det kunne misbruges

Skat har i forbindelse med sagen sendt flere mails til Datatilsynet. Heri forklarer myndigheden blandt andet, at Skat ikke var opmærksom på, at funktionen kunne misbruges, da den blev etableret i 2011.

Artiklen fortsætter efter annoncen

Ikke desto mindre kunne Datatilsynet allerede i 2014 kritisere selv samme funktion for at afsløre sammenhænge mellem personnummer og navn – dengang i forbindelse med udstedelse af en fuldmagt.

Skat oplyser, at myndigheden ikke har fået klager om misbrug, men beretter samtidig, at det ikke er muligt at afgøre, om funktionen er blevet misbrugt til at identificere borgere ud fra deres CPR-nummer.

Datatilsynet notererer i afgørelsen, at alle borgere med et personnummer potentielt set kunne være berørt, og »at det efter SKATs opfattelse vil det være en uforholdsmæssig stor opgave at informere samtlige potentielt berørte borgere individuelt«.

Kritik af engangskoder på ukrypteret mail

TastSelv-funktionen får af Datatilsynet også på puklen for at sende engangs-koderne til borgeren gennem almindelig ukrypteret mail.

Artiklen fortsætter efter annoncen

»Det er generelt Datatilsynets opfattelse, at brugeroplysninger og kendeord, der giver adgang til personoplysninger, skal beskyttes på minimum det samme niveau som de personoplysninger, de giver adgang til,« skriver tilsynet.

Datatilsynet vil i afgørelsen ikke tage stilling til brugen af engangskoder på almindelig mail generelt. Men i dette tilfælde, hvor koden giver anledning til fortrolige personoplysninger, er en ukryptereret mail ikke nok til at garantere sikkerheden, skriver tilsynet.

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
9. februar 2018 kl. 23:24

Det er vel det samme som at mail ikke kan bruges som recovery overhovedet. Hvem er det lige som har mulighed for at modtage krypteret mail, ud over e-boks som kræver nemid, og så kan man vel ligeså godt bruge det som recovery.

3
9. februar 2018 kl. 09:05
  • "Skat ikke var opmærksom på, at funktionen kunne misbruges"

Skat havde engang testere ansat. De blev fyret....

2
7. februar 2018 kl. 15:39

Jeg håber også at sagsbehandlingen er hurtigere end 1 år.

1
7. februar 2018 kl. 15:16

At datatilsynet, efter maj måned, ikke tager hensyn til argumenter som

</p>
<p>uforholdsmæssig stor opgave at informere samtlige potentielt berørte borgere individuelt</p>
<p>