Skattedirektoratet får smekk på pungen

I fjor høst ble det kjent at Skattedirektoratet hadde sendt ut CD-er som inneholdt skatteopplysninger og fullt fødselsnummer på over fire millioner nordmenn til flere norske avisredaksjoner. Direktoratet fikk kraftig kritikk og Datatilsynet innledet en egen granskning av hendelsen. Nå er funnene fra deres granskning klar.

Leverte ut informasjon om lønn og fødselsnummer
Det var i september i fjor at NRK gjorde det kjent at skattedirektoratet hadde sendt ut CD-er med navn, alder, bosted, inntekt, skatt og formue pluss fødselsnummer til ni norske avisredaksjoner. CD-ene skulle brukes i redaksjonelt formål og for å kunne sette opp søkbare tjenester for at publikum kan søke i skattelistene. Fødselsnummerne skulle derimot aldri vært med i oversikte.

Hendelsen vakte sterk kritikk og fikk også oppmerksomhet i utenlandske medier. Skattedirektoratet selv beklaget hendelsen og skyldte på at det hele bunnet i en rutinesvikt da en ferievikar glemte å ta vekk informasjonen på CD-ene som ble sendt ut. Datatilsynet var på sin side ikke fornøyde med denne forklaringen og gjennomførte sin egen granskning av saken.


Manglende kvalitetskontroll
I sin granskning påpeker Datatilsynet flere svakheter ved Skattedirektoratets system for behandling og utsendelse av informasjonen de sitter på. I første rekke dreier det seg om sviktende kvalitetskontroll ved behandlingen av informasjonen. Tilsynet mener mangelen på kontroll kan medføre stor fare ved forvaltningen av informasjonen. Datatilsynet bemerker følgende i sin rapport:

"Datatilsynet vil fremheve at avviket viser en sårbarhet i direktoratets forvaltning av personopplysninger, hva gjelder utlevering. Tilsynet mener foreliggende situasjon illustrerer at et par medarbeider, i prinsippet kan hente ut store mengder opplysninger og brenne disse ned på transportabelt lagringsmedium. Videre, forestå utlevering, uten å måtte gå via adekvate kontroilmekanismer. Hendelsen tyder også på at det heller ikke synes å være tilstrekkelig operative krav om særskilt autorisasjon eller formell bemyndigelse rundt de konkrete utsendelsene. Produksjon og utlevering ble langt på vei fremstilt som rutine, hvilket trolig også er en riktig beskrivelse. Det innebærer imidlertid ikke at kvalitetssikring, autorisasjon og kontroll rundt produksjonen kan reduseres."

Er fødselsnumre fritt vilt?
Tilsynet reagerer samtidig på at Skattedirektoratet ble gjort oppmerksomme på at de allerede i august ble gjort oppmerksomme på at CD-ene inneholdt feil, likevel var det ikke fær NRK satte søkelys på problemet at direktoratet gikk aktivt ut for å hente inn CD-ene. Den sviktende kontrollen kan også tyde på at direktoratet ikke anser spredningen av fødselsnumre som en uakseptabel konsekvens.


Direktoratet påpeker på sin side at dette slett ikke er tilfelle.

- Datatilsynet uttrykk for at det etter Datatilsynets vurdering er forhold som tyder på at direktoratet ikke har vurdert utilsiktet spredning av fødselsnummer som en uakseptabel konsekvens. Skattedirektoratet tar sterk avstand fra en slik påstand. Skattedirektoratet tar risikoen for spredning av fødselsnummer eller annen beskyttelsesverdig informasjon meget alvorlig, skriver direktoratet i sitt tilsvar til rapporten.

Fire tiltak
Datatilsynet har i sin granskning kommet fram til fire konkrete tiltak direktoratet må gjennomføre for å sikre seg bedre mot lignende hendelser i fremtiden.  Disse er at direktoratet må bedre internkontrollen ved utsendelse av data, Virksomheten må foreta en gjennomgang av rammer for sikkerhetsarbeidet i lys av hendelsen, direktoratet må sikre rutiner ved opplæring av ansatte og direktoratet må sikre rutinene når brudd eller avvik ved sikkerheten oppstår.

Direktoratet bekrefter i sitt tilsvar i granskningen at de allerede har gjennomført tiltak på alle fire områder. De har lite å påpeke ovenfor Datatilsynets forslag til tiltak som må gjennomføres.

- Datatilsynet har en god og grundig rapport som vi, foruten om noen få kommentarer, på langt vei er enige i. Den fungerer som et godt utgangspunkt for vårt arbeid med dette. Vi er samtidig glade for å se at disse tiltakene var vi allerede i gang med før tilsynet kom med sin rapport, forteller skattedirektør Svein Kristensen til Teknofil.


Kan informasjonen spres videre?
Datatilsynet påpeker i sin granskning at det ikke kan garanteres mot at informasjonen som ble sendt ut på CD-ene ikke vil bli misbrukt i fremtiden av kriminelle. Dataene kan ha blitt lastet ned og kopiert opp før direktoratet fikk tilbake CD-ene påpeker de. Kristensen er enig i denne vurderingen, men påpeker at de har gjort det de kan for å hindre videre spredning.

- Vi har fått tilbake alle CD-ene utenom en som har blitt kastet. Vi har også fått en skriftlig bekreftelse på at redaksjonene som fikk disse CD-ene ikke har lastet ned eller kopiert informasjonen. Her må vi ha tillit til at dette stemmer da vi ikke kan sitte og passe på i redaksjonene, forteller han Teknofil.

Selv annser han risikoen for svært liten for at opplysningene som kom ut nå vil spres videre. Den samme vurderingen har han av slike hendelser vil gjenta seg i fremtiden.

Norges beste mobilabonnement

Juni 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Ice Mobil 1 GB


Jeg bruker middels mye data:

Telio Go 5 GB


Jeg bruker mye data:

Komplett Maxiflex 12 GB


Jeg er superbruker:

Komplett Megaflex 30 GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen