7. februar 2020
J.nr. 2020 - 1581
Til Folketinget
–
Skatteudvalget
Der vedlægges redegørelse, som jeg har modtaget fra Udviklings- og Forenklingsstyrelsen,
om at styrelsen som led i sine tilsynsaktiviteter over for Skatteforvaltningens it-leverandø-
rer har opdaget en utilsigtet afsendelse af CPR-numre fra it-systemet TastSelv Borger til
flere underleverandører. TastSelv Borger drives og vedligeholdes af it-virksomheden
DXC Technology (DXC).
Som det fremgår af redegørelsen, er der tale om en softwarefejl, som har betydet, at CPR-
numre blev en del af en web-adresse, der blev sendt til henholdsvis Google og Adobe.
DXC har oplyst Udviklings- og Forenklingsstyrelsen, at det i det ene tilfælde vedrører ca.
1,26 mio. borgeres CPR-numre i perioden 2. februar 2015 til 24. januar 2020, mens det
andet tilfælde vedrører ca. 1.330 borgeres CPR-nummer i perioden 29. januar 2020 til 1.
februar 2020.
Det skal understreges, at Udviklings- og Forenklingsstyrelsen har fået oplyst, at de bag-
vedliggende fejl er rettet, og at der således ikke fortsat sendes CPR-numre utilsigtet fra
TastSelv Borger. Udviklings- og Forenklingsstyrelsen vurderer endvidere, at der i ovenstå-
ende sager ikke er eller har været nogen risiko for misbrug af borgernes CPR-numre, idet
data er blevet sendt via en krypteret forbindelse og aldrig har ligget offentligt tilgængeligt.
Udviklings- og Forenklingsstyrelsen har oplyst mig, at styrelsen som følge af sagen har
bedt Kammeradvokaten vurdere, hvorvidt der er grundlag for at rejse erstatningskrav
mod DXC.
Jeg forstår samtidig, at Udviklings- og Forenklingsstyrelsen har igangsat en gennemgang
af andre borger- og virksomhedsrettede it-systemer med henblik på at sikre, at tilsvarende
type fejl ikke optræder i disse systemer. Som led heri har DXC den 6. februar 2020 med-
delt Udviklings- og Forenklingsstyrelsen, at DXC har fundet yderligere en hændelse, hvor
4.735 borgeres CPR-numre utilsigtet er sendt fra TastSelv Borger til virksomheden
MaxCDN
–
hovedsageligt i perioden 2015-2016. DXC er ved at foretage en nærmere af-
dækning af sagen, der er blevet anmeldt til Datatilsynet.
Udviklings- og Forenklingsstyrelsen har oplyst mig, at styrelsen tillige vil igangsætte en til-
svarende gennemgang af borger- og virksomhedsrettede it-systemer hos Skatteforvaltnin-
gens øvrige it-leverandører.
Jeg vil gerne understrege, at jeg ser på sagen med stor alvor, hvorfor jeg er tilfreds med, at
Udviklings- og Forenklingsstyrelsen skærper deres tilsyn med alle it-leverandører, samt at
styrelsen har bedt Kammeradvokaten om at vurdere, hvorvidt der kan rejses krav mod it-
leverandøren DXC.