Skat brød også regler for cookie samtykke

Formand for IT-Politisk Forening Jesper Lund.
Formand for IT-Politisk Forening Jesper Lund. (Foto: Andreea Belu)

Opdateret: Skats databrud i Tastselv systemet blev anmeldt af Digitaliseringsstyrelsen den 7. februar. I alt blev 1,2 millioner danskeres CPR-numre ved en fejl sendt videre til Google og Adobe. Sagen skader, til trods for at data var krypteret, tilliden til digitaliseringen af den offentlige sektor, mener IT-Politisk Forening.

Skats databrud i Tastselv-systemet blev anmeldt af Digitaliseringsstyrelsen den 7. februar. I alt blev 1,2 millioner danskeres CPR-numre ved en fejl sendt videre til Google og Adobe. Sagen skader, til trods for at data var krypteret, tilliden til digitaliseringen af den offentlige sektor, mener IT-Politisk Forening.

Leverandør er ansvarlig
Det er ifølge Digitaliseringsstyrelsen en af Skats IT-leverandører, DXC Technology, der har det formelle ansvar for videregivelsen af 1,2 millioner cpr-numre fra Skats Tastselv service. Databruddet skete angiveligt ved, at websiden Tastselv, hvor hovedparten af danskerne tjekker og indberetter deres skat, under visse omstændigheder har indkodet borgerens CPR-numre i en URL, som derefter ved en systemfejl blev sendt til Google og Adobe.

Digitaliseringsstyrelsen og Google oplyser samstemmende, at data blev videregivet på grund af en systemfejl og at URL-adresserne var krypterede og ikke blev set af nogen, inden de blev slettet. Men den forklaring stiller dog ikke IT-Politisk forening tilfreds.

”Uanset forvisningerne om at det hele er krypteret, og at ingen har haft adgang til vores cpr-numre, så fremmer de her sager ikke tilliden til digitaliseringen af den offentlige service,” siger Formand for IT-Politisk Forening Jesper Lund til Complida.

Han undrer sig desuden over den måde samarbejdet mellem skat og underleverandørerne er foregået på.

Aktivt samtykke mangler
”Borgerne blev ikke informeret om, at de videregiver CPR-numre til Google. Det giver vel god mening eftersom det aldrig har været hensigten. Men der blev videregivet oplysninger via cookies, og så skal brugerne informeres og give aktivt samtykke, hvis der er tale om 3. parter,” poienterer Jesper Lund.

Om brugen af 3. partscookies skriver Skat bl.a.:

”Selvom du siger nej til cookies, sætter vi fortsat de nødvendige cookies, der sikrer, at hjemmesiden fungerer - fx så du kan logge på. Disse cookies bliver dog automatisk slettet igen, når du går ud af Skat.dk,” står der blandt i teksten om Cookiesamtykke på Tast selvs hjemmeside.

Dermed er der ikke tale om et aktivt samtykke til brugen af cookies, som opfylder de gældende krav i cookiereglerne. Der bruges stiltiende samtykke (accept, hvis du klikker videre). Det er ikke et gyldigt samtykke, konstaterer formanden for IT Politisk Forening.

Kunne være undgået
”Når Skat ikke har ordentligt styr på hvilke oplysninger de sender til tredjeparter, burde Skat på en så følsom tjeneste som Tastselv helt undlade at integrere alle disse eksterne webtjenester fra Google og Adobe. Det ville i sig selv have forhindret, at CPR-numre blev videregivet til Google og Adobe som det skete i det indberettede databrud”, siger Jesper Lund.

Han peger på, at indkodning af CPR-numre som en del af en URL er en virkelig dårlig idé, der skaber risici, der er svære at overskue. Hvis der er tredjeparts-webtjenester involveres (som her) til fx analytics eller optimering, kan webserveren let uforvarende komme til at videregive CPR-numre til disse tredjeparter.

En anden risiko for borgerne, som skabes med den fremgangsmåde, som Skat har anvendt er, at brugeren uforvarende kan gemme CPR-numre i en logfil eller browserhistorik over besøgte URL'er, eller endnu værre, at borgeren har installeret et plugin til sin browser, som videregiver oplysninger om besøgte URL'er. Sådanne plugins findes f. eks, i nogle antivirusprogrammer, som vi for nylig så det i sagen om det amerikanske antivirus program Avast.

Styrelse svarer
Vi modtog efter deadline i går en mail fra Digitaliseringsstyrelsen, der oplyser, at der ikke er sammenhæng mellem cookies og afsendelsen af de krypterede CPR-numre. Complidia beklager, at dette blev indikeret, når det ikke er tilfældet. Styrelsen oplyser imidlertid ikke, hvad der så er sket. Styrelsen oplyser endvidere, at Skat overholder cookiereglerne. Men IT-politisk Forening fastholder, at cookiereglerne bliver brudt. Læs mere om dette i den opdaterede artikel: ”Strid om samtykket Tastselv service”.

 

Skrevet af

Kasper Skaanning

Kasper Skaanning, Journalist

Kasper Skaanning er uddannet journalist, og har bl.a. arbejdet som senior kommunikationskonsulent i Nykredit, i Danske Bank og som informationschef i Scandlines.

Klummer

Se alle