Datatilsynet vil kulegrave Skat.dk's datahåndtering: Utilstrækkelig databeskyttelse

Skat’s TastSelv-service beskytter ikke persondata tilstrækkeligt, vurderer Datatilsynet, der sætter Skat i stævne over datasikkerhed.

Skats TastSelv-service beskytter ikke personoplysningerne med de fornødne sikkerhedsforanstaltninger.

Sådan lyder den umiddelbare vurdering fra Datatilsynet, efter Version2 i dag kunne afsløre, at man ved at bestille en ny kode til TastSelv kan indtaste et CPR-nummer og få både telefonnummer og mail-adresse igen.

Læs også: Fra CPR til identitet: Skat.dk udleverer mail og telefonnummer i bytte for CPR

‘Sammenhængen mellem personnumre og personer rummer oplysninger af en sådan karakter, at beskyttelse er påkrævet efter persondataloven,’ skriver Datatilsynet til Skat i et brev, som Version2 har fået aktindsigt i.

Og den beskyttelsen har i dette tilfælde ikke været tilstrækkelig, lyder den indledende holdning fra tilsynet.

Skat har i dag ændret tjenesten, så de personlige informationer ikke fremgår af siden, oplyser Skat i en mail til Version2.

'SKAT vil meget gerne besvare henvendelsen fra Datatilsynet, inden der kommenteres yderligere på sagen,' lyder det i svaret fra myndigheden.

Med mail og telefonnummer har du personen

Formanden for IT-Politisk Forening, Jesper Lund, påpeger over for Version2, at der ikke er langt fra mail og telefonnummer til komplet personprofil. Den holdning deles tilsyneladende af Datatilsynet.

‘Da personers e-mailadresser og telefonnumre som oftest ikke er hemmelige, er der efter Datatilsynets opfattelse tale om en funktion, som i mange tilfælde vil kunne anvendes til at frem-finde sammenhængen mellem personnumre og personer,’ skriver tilsynet i sit brev.

Læs også: Sikkerhedsbrist i virksomhedsregister: Alle kan blive direktør

Dertil kommer den indbyggede risiko ved, at en person har tilknyttet en gammel mail eller telefonnummer, som en anden nu har adgang til, tilføjer Datatilsynet.

Ukrypteret kode giver adgang til skatteoplysninger

Datatilsynets betænkning ved engangs-koderne til TastSelv-systemet er ikke begrænset til de persondata, der udleveres.

Når et CPR-nummer indtastes kan man vælge at få tilsendt en engangskode på enten mail, sms eller med almindeligt brev. Den kode giver sammen med CPR-nummeret direkte adgang til TastSelv-skat, hvor man som bekendt kan søge i indkomstoplysninger, se og ændre i forskudsopgørelsen samt ændre i den tilsknyttede mail eller telefonnummer - alt sammen uden NemID.

‘Dette rejser ligeledes spørgsmål om overholdelse af persondatalovens sikkerhedskrav, da koder, der giver adgang til personoplysninger, efter Datatilsynet opfattelse som udgangspunkt skal beskyttes på samme niveau, som de personoplysninger, som de giver adgang til, når de sendes via internettet,’ skriver tilsynet og fortsætter:

Læs også: Skat opdagede først it-fejl efter borgerhenvendelse om forskudsopgørelse

‘Tilsynet lægger i den forbindelse til grund, at SKATs TastSelv-løsning indeholder personoplysninger af fortrolig karakter, hvor persondatalovens sikkerhedskrav medfører, at oplysningerne skal beskyttes med kryptering ved fremsendelse via e-mail.’

Datatilsynet har nu bedt Skat om svar på en række spørgsmål om bristen, som skal besvares i slutningen af august.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
asbjørn jensen

Dette er kun et eksempel på SKATs løsagtige omgang med data:
FX når man ringer op til SKAT bliver man bedt om at indtaste CPR nummer.
Når man når frem til en medarbejder kender denne ikke til noget CPR nummer og beder om at få det oplyst.
SKAT ønsker ikke at oplyse hvad de bruger det indtastede CPR nummer til eller hvordan de håndterer det.

  • 8
  • 0
Knud Larsen

Nu er det ikke Folketinget og Skat's hovedmål at overholde lovgivningen?.
Skatteborgerne er til for a topfylde politikkernes mål om fordeling af andre folks midler.
Skat er sat til uden hensyn til lovgivningen at inddrage mest muligt lovligt eller ulovligt for at tilfredsstille politikkernes ambitioner.
http://skat-uret.dk/sager/skoen-og-nidkaerhed/1996-skat-overtraeder-love... og
http://skat-uret.dk/nyheder/skats-ulovlige-brug-af-terrorloven-for-logni...
og mange flere som overtrædelse af ejendomsretten.

  • 1
  • 3
Log ind eller Opret konto for at kommentere