SAU, Alm.del - 2019-20 - Bilag 370: Opfølgende redegørelse vedrørende utilsigtet afsendelse af CPR-numre fra it-systemet TastSelv Borger til flere underleverandører fra Udviklings- og Forenklingsstyrelsen

Skatteudvalget 2019-20
SAU Alm.del Bilag 370
Offentligt

Notat

19. juni 2020

J.nr. 2020-299

Opfølgning på sag om utilsigtet afsendelse af cpr-

numre

Dette notat er en opfølgning på Udviklings- og Forenklingsstyrelsens redegørelse af 7. fe-

bruar 2020 om en konkret sag om utilsigtet afsendelse af cpr-numre.

På baggrund af den konkrete sag om en it-leverandørs utilsigtede afsendelse af cpr-numre

til de amerikanske virksomheder Google, Adobe og MaxCDN iværksatte Udviklings- og

Forenklingsstyrelsen en række undersøgelser og initiativer for at afdække omfanget af sa-

gen og for at få rettet den fejl

i ”TastSelv Borger”,

som var årsag til den utilsigtede afsen-

delse.

I den nævnte redegørelse blev hændelsernes karakter, omfang og konsekvenser nærmere

beskrevet, for så vidt angik Google og Adobe, ligesom det blev beskrevet, at der ikke læn-

gere blev afsendt cpr-numre, idet fejlen var blevet rettet.

Udviklings- og Forenklingsstyrelsen oplyste, at man ville følge op på redegørelsen, når

den del, der vedrørte MaxCDN, var fuldt udredt. Samtidig ville styrelsen redegøre for en

gennemgang af styrelsens øvrige relevante systemer for at sikre, at der ikke var fejl af

samme karakter dér.

Nedenfor gives en status på de yderligere undersøgelser og initiativer, som styrelsen har

iværksat i relation til MaxCDN og i forhold til styrelsens øvrige relevante systemer siden

afgivelsen af redegørelsen.

Den nærmere udredning i forhold til MaxCDN

Der er siden redegørelsen indhentet yderligere oplysninger om videregivelsen af cpr-

numre til MaxCDN, herunder bl.a. om hændelsens tidsmæssige udstrækning, antallet af

berørte borgere samt om sletning af oplysningerne.

Indledningsvis bemærkes, at MaxCDNs software anvendes til at forbedre Skatteforvalt-

ningens websites og indberetningsløsninger.

Den utilsigtede videregivelse til MaxCDN blev opdaget af leverandøren den 29. januar

2020 i forbindelse med analyser foranlediget af den tilsvarende Google problematik. På

SAU, Alm.del - 2019-20 - Bilag 370: Opfølgende redegørelse vedrørende utilsigtet afsendelse af CPR-numre fra it-systemet TastSelv Borger til flere underleverandører fra Udviklings- og Forenklingsstyrelsen

dette tidspunkt var den grundlæggende fejl med personnumre i URL allerede under ud-

bedring. Det er oplyst, at videregivelsen var sket mellem den 2. februar 2015 og den 2. fe-

bruar 2020, hvor fejlen blev rettet, og videregivelsen blev stoppet.

Leverandørens undersøgelser viste indledningsvist, at 4.735 cpr-numre utilsigtet var vide-

regivet til MaxCDN, jf. redegørelsen af 7. februar 2020. En fintælling har imidlertid vist,

at der er videregivet cpr-numre til MaxCDN vedrørende 3.315 borgere. Dette er således

en nedjustering på ca. 1.000 borgere i forhold til det tal, der fremgår af redegørelsen.

MaxCDN har videre oplyst, at cpr-numrene blev modtaget og slettet efter syv dage i hen-

hold til MaxCDNs interne procedure.

Det er endelig oplyst fra MaxCDNs side, at det

–

for så vidt angår personoplysninger

–

alene er cpr-nummeret, som blev videregivet til MaxCDN. Der blev således ikke videregi-

vet andre personoplysninger som navn, adresse, løn, skatteforhold eller lignende i samme

tekstfelt som cpr-nummeret til MaxCDN. IP-oplysninger er dog fulgt med.

Det er Udviklings- og Forenklingsstyrelsens vurdering, at der ikke er behov for at orien-

tere den enkelte borger direkte, da videregivelsen af cpr-numre til MaxCDN på baggrund

af de nu foreliggende oplysninger ikke har medført høj risiko for misbrug af borgernes

cpr-numre.

Styrelsen har dog fundet grundlag for at informere om hændelsen i sin pressemeddelelse

af 7. februar 2020 med mulighed for, at borgerne kan kontakte styrelsen og få yderligere

information om, hvorvidt de er berørt.

Gennemgang af andre leverandørers systemer

Udviklings- og Forenklingsstyrelsen har på baggrund af sagen fundet anledning til at få

gennemført undersøgelser af alle andre relevante borger- og virksomhedsrettede it-syste-

mer hos sine it-leverandører med henblik på at sikre, at samme type fejl ikke også optræ-

der i disse systemer.

De pågældende leverandører har derfor gennemgået de relevante systemer, og på bag-

grund af de hidtil gennemførte undersøgelser har leverandørerne oplyst skriftligt, at der

ikke er noget, som peger på, at der skulle være yderligere tilsvarende fejl.

Helt konkret har følgende seks leverandører gennemgået i alt 24 borger- og virksomheds-

rettede systemer, som de drifter og vedligeholder på vegne af Udviklings- og Forenklings-

styrelsen. Det er tale om internet-vendte systemer, dvs. systemer, der kan tilgås af borgere

og virksomheder. Disse systemer fremgår af nedenstående tabel 1.

Side 2 af 5

Tabel 1

–

Gennemgåede it-systemer, der kan tilgås af borgere og virksomheder

Leverandør

CGI

System

Eksport

e-Moms

Import

ICS

Manifest

DXC

DCS

DCS-Login Gateway

DKvies

e-Kapital

e-Skat data

OSM

TastSelv-Erhverv

TastSelv- Årsopgørelse

European Dynamics

IBM

EMCS

e-indkomst

LetLøn

KMD

AogD

Forskud

Skattekontoen

TastSelv

Netcompany

BBR

DIAS

DMR

PSRM

Yderligere tiltag fra Udviklings- og Forenklingsstyrelsens side

For at sikre forsvarlig drift af Skatteforvaltningens it-systemer og varetage opgaven som

dataansvarlig myndighed gennemfører Udviklings- og Forenklingsstyrelsen en række sty-

rings- og tilsynsaktiviteter over for eksterne it-leverandører.

Udviklings- og Forenklingsstyrelsen skærper i forlængelse af sagen herudover tilsynet med

alle Skatteforvaltningens it-leverandører på en række områder, herunder stiller krav om

øget kode- og softwarekvalitet og strammere opfølgning på og tilsyn med de såkaldte da-

tabehandleraftaler, der ligger til grund for, at eksterne it-leverandører må håndtere per-

sondata.

Styrelsen vil som led i sit tilsyn også løbende monitorere eventuelle fejl af anden karakter,

som involverer personoplysninger.

Side 3 af 5

Udviklings- og Forenklingsstyrelsens opfølgning over for Datatilsynet

Udviklings- og Forenklingsstyrelsen har indberettet sagen med de utilsigtet afsendte cpr-

numre til Datatilsynet, som fører tilsyn med, at de persondataretlige regler overholdes.

I forlængelse heraf har tilsynet den 17. februar 2020 stillet en række opklarende spørgs-

mål, der primært vedrører sagen om MaxCDN, dog med nogle enkelte spørgsmål vedrø-

rende afsendelsen til Google og Adobe.

Styrelsen har besvaret Datatilsynets spørgsmål ved brev af 25. marts 2020. Brevet er ved-

lagt som bilag 1.

I det følgende gengives svarerne på tilsynets spørgsmål kort.

Datatilsynets første spørgsmål omhandler, om der er indgået en databehandleraftale med

Adobe, og de efterspørger en mail fra Google af 27. januar 2020. Udviklings- og Forenk-

lingsstyrelsen har fremsendt dokumentation for både databehandleraftalen med Adobe og

mailen fra Google i svaret til tilsynet.

Det næste spørgsmål handler om, hvorvidt

der har været andre oplysninger i URL’en,

herunder borgerens IP-adresse eller andet, som indirekte kunne forbinde borgerens per-

sonnummer i URL’en med borgeren. Svaret på dette spørgsmål er, at der ikke er blevet

videregivet personoplysninger i form af f.eks. adresseoplysninger sammen med person-

nummeret i URL’en,

men at IP-adressen er fulgt med.

De efterfølgende spørgsmål vedrører MaxCDN, herunder startdato for overførslen af

personnumre til MaxCDN, hvilke hændelser der skete på starttidspunktet for overførslen

af personnumre, om overførslen til MaxCDN var krypteret, og hvilken form for opryd-

ning der skete hos MaxCDN. Det fremgår af besvarelsen, at starttidspunktet for overførs-

len var den 2. februar 2015, hvor

man begyndte at benytte MaxCDNs rutiner i ”TastSelv

Borger”-systemet,

at overførslen af personnumre til MaxCDN er sket via en krypteret

forbindelse, en såkaldt https forbindelse, og at oprydningen hos MaxCDN har bestået i,

at de modtagne personnumre er blevet slettet efter syv dage i overensstemmelse med de-

res faste praksis.

Datatilsynet spørger yderligere ind til, om der er indgået en databehandleraftale med

MaxCDN, hvortil Udviklings og Forenklingsstyrelsen svarer, at der ikke er indgået en da-

tabehandleraftale mellem styrelsen og MaxCDN, idet MaxCDN er underleverandør til le-

verandøren. Leverandøren har desuden oplyst til Udviklings og Forenklingsstyrelsen, at

de ikke vurderer, at der er et behov for en databehandleraftale mellem dem og MaxCDN.

Datatilsynets sidste spørgsmål retter sig mod underretning af de berørte borgere. Svaret til

tilsynet er, at de berørte borgere ikke er blevet underrettet enkeltvis, men at der er ud-

sendt en pressemeddelelse med angivelse af, hvor borgeren kan rette henvendelse for at

få yderligere information.

Side 4 af 5

Tilsynet har ikke på nuværende tidspunkt oplyst den forventede sagsbehandlingstid, og

Udviklings- og Forenklingsstyrelsen afventer således fortsat Datatilsynets afgørelse.

Udviklings- og Forenklingsstyrelsens opfølgning over for leverandøren vedrørende de aftalte ydelser

Det fremgår af redegørelsen af 7. februar 2020, at Udviklings- og Forenklingsstyrelsen har

bedt Kammeradvokaten vurdere, hvorvidt der er grundlag for at rejse krav mod leveran-

døren med henblik på at sikre staten erstatning for de udgifter, der måtte følge af sagen,

samt med henblik på at kræve et forholdsmæssigt afslag på Skatteforvaltningens betaling

for

ydelser relateret til ”TastSelv – Borger” systemet.

Kammeradvokaten har den 29. maj 2020 afgivet sin endelige udtalelse om, hvorvidt Ud-

viklings- og Forenklingsstyrelsen kan rejse et krav mod leverandøren som følge af den

konstaterede fejl i ”TastSelv-Borger” systemet og den utilsigtede overførsel af

cpr-numre.

Det er Kammeradvokatens vurdering, at leverandøren som udgangspunkt har handlet an-

svarspådragende. Styrelsen vil kunne kræve halvdelen af sagens omkostninger dækket af

leverandøren samt evt. et forholdsmæssigt nedslag i den betaling, Skatteforvaltningen har

erlagt for driften af ”TastSelv-Borger”.

På denne baggrund vil Kammeradvokaten nu på styrelsens vegne påbegynde forhandlin-

ger med leverandøren.

Sagens afslutning

Som nærmere beskrevet ovenfor har Udviklings- og Forenklingsstyrelsen nu fået afdæk-

ket de relevante aspekter af sagen. De pågældende leverandører har således gennemgået

deres borger- og virksomhedsrettede systemer, og på baggrund af de hidtil gennemførte

undersøgelser har leverandørerne oplyst, at der ikke er noget, som peger på, at der skulle

være yderligere tilsvarende fejl.

Herudover har sagen givet anledning til, at styrelsen skærper sit tilsyn med alle Skattefor-

valtningens it-leverandører på en række områder. Dette skærpede tilsyn vil således ligge

ud over styrelsens faste praksis med gennemførelse af en række højt prioriterede styrings-

og tilsynsaktiviteter over for eksterne it-leverandører.

Side 5 af 5