Kammeradvokaten vurderer ansvar i utilsigtet afsendelse af CPR-numre – ingen risiko for misbrug for borgere

Som et led i Udviklings- og Forenklingsstyrelsens tilsynsaktiviteter, har styrelsen opdaget en utilsigtet afsendelse af CPR-numre fra it-systemet TastSelv Borger til flere underleverandører. Den bagvedliggende fejl er rettet, og der sendes ikke længere CPR-numre utilsigtet fra TastSelv Borger. Drift og vedligeholdelse af TastSelv Borger varetages af DXC Technology (DXC).

Den utilsigtede afsendelse af CPR-numre skyldes en softwarefejl, som har betydet, at CPR-numre blev en del af en web-adresse, der blev sendt til henholdsvis Google og Adobe. DXC har oplyst, at det i det ene tilfælde vedrører ca. 1,26 mio. borgeres CPR-numre i perioden 2. februar 2015 til 24. januar 2020, mens det andet tilfælde vedrører ca. 1.330 borgeres CPR-nummer i perioden 29. januar 2020 til 1. februar 2020.

Udviklings- og Forenklingsstyrelsen vurderer, at der i ovenstående sager ikke er eller har været nogen risiko for misbrug af borgernes CPR-numre, idet data er blevet sendt via en krypteret forbindelse og aldrig har ligget offentligt tilgængeligt. Ifølge DXC er der i sagerne desuden ikke videregivet andre personoplysninger som løn, skatteforhold eller lignende til it-leverandører, som ikke er omfattet af en databehandleraftale.

Udviklings- og Forenklingsstyrelsen har bedt DXC undersøge og bekræfte, at der ikke i andre systemer og applikationer, som DXC varetager driften af for Skatteforvaltningen, fortsat foretages utilsigtet afsendelse af CPR-numre i relation til den konstaterede fejl. Dette har DXC bekræftet.

"Der er tale om en ældre softwarefejl, som i dag er rettet. Det er vigtigt at slå fast, at der i de to sager ikke er risiko for, at oplysningerne, der er sendt krypteret, er blevet misbrugt. I det ene tilfælde er informationen blevet slettet som en integreret del af modtagerprocessen, hvilket betyder, at den hverken er logget eller lagret hos Google. I det andet tilfælde har vi fået bekræftet af Adobe, at data er blevet slettet. Derfor skal man som borger ikke være nervøs for, at ens oplysninger kan være misbrugt”, siger direktør i Udviklings- og Forenklingsstyrelsen, Andreas Berggreen.

Kammeradvokaten anmodet om at vurdere ansvar

Udviklings- og Forenklingsstyrelsen har anmodet statens advokat, Kammeradvokaten, om at vurdere, hvorvidt softwarefejlen giver grundlag for at rejse et krav mod it-leverandøren DXC.

”Vi tager denne slags sager meget alvorligt. Og vi skal naturligvis kunne være sikre på, at vores leverandører håndterer alle data efter gældende lov og indenfor de rammer, der er aftalt med dem. Det må vi konstatere ikke har været tilfældet her, og derfor har vi anmodet Kammeradvokaten om at vurdere, hvilke juridiske skridt, sagen giver anledning til over for leverandøren”, siger Andreas Berggreen.

Udviklings- og Forenklingsstyrelsen har endvidere anmeldt sikkerhedsbruddene til Datatilsynet i overensstemmelse med gældende regler, da der – selvom sagen ikke har medført risiko for misbrug af borgernes CPR-numre – er tale om brud på persondatasikkerheden.

Netop fordi sagerne ikke indebærer risiko for misbrug af CPR-numre orienteres de berørte borgere i de to sager ikke direkte. Som borger skal man imidlertid være opmærksom på, at fejlen har haft den konsekvens, at hvis man har anvendt en delecomputer til at rette sine oplysninger, så vil browserhistorikken være tilgængelig for den næste bruger af computeren, hvis browserhistorikken ikke er slettet, inden computeren forlades.

Udviklings- og Forenklingsstyrelsen skærper på baggrund af sagerne tilsynet med alle it-leverandører på flere områder. Det drejer sig bl.a. om øget kode- og softwarekvalitet samt strammere opfølgning og tilsyn med de databehandleraftaler, der ligger til grund for, at eksterne it-leverandører må håndtere personoplysninger. 

Styrelsen har i forlængelse af sagen igangsat en gennemgang af andre borger- og virksomhedsrettede it-systemer for tilsvarende fejl. Som led heri har DXC den 6. februar 2020 meddelt Udviklings- og Forenklingsstyrelsen, at DXC har fundet yderligere en hændelse, hvor 4.735 borgeres CPR-numre utilsigtet er sendt fra TastSelv Borger til virksomheden MaxCDN – hovedsageligt i perioden 2015-2016. DXC er ved at foretage en nærmere afdækning af hændelsen, der er blevet anmeldt til Datatilsynet. Udviklings- og Forenklingsstyrelsen vil tillige igangsætte en tilsvarende gennemgang af borger- og virksomhedsrettede it-systemer hos Skatteforvaltningens øvrige it-leverandører.

Udviklings- og Forenklingsstyrelsen forventer at kunne afgive en status til skatteministeren om sagen senest 1. marts 2020.

For mere information:

Pressetelefon i Udviklings- og Forenklingsstyrelsen, tlf. 72221100.

Borgere eller virksomheder, der har generelle spørgsmål i relation til sagen, kan henvende sig til skatteforvaltningens kundecenter på tlf. 72221818.   

Om Udviklings- og Forenklingsstyrelsen

Udviklings- og Forenklingsstyrelsen har ansvaret for drift og vedligeholdelse af Skatteforvaltningens it-systemer og forvalter derfor dataansvaret for forvaltningen. For at sikre en forsvarlig drift af Skatteforvaltningens it-systemer og for at leve op til ansvaret som dataansvarlig myndighed gennemfører Udviklings- og Forenklingsstyrelsen en række styrings- og tilsynsaktiviteter over for eksterne it-leverandører.