Notat
7. februar 2020
Redegørelse om utilsigtet afsendelse af cpr-nr.
Som led i Udviklings- og Forenklingsstyrelsens løbende styrings- og tilsynsaktiviteter over
for Skatteforvaltningens it-leverandører har styrelsen identificeret, at der utilsigtet er af-
sendt cpr-numre fra
’TastSelv
Borger’ i 2015-2020. I forbindelse med styrelsens undersø-
gelse af denne hændelse hos it-virksomheden DXC Technology, der varetager drift og
vedligeholdelse af det pågældende system, er yderligere utilsigtede overførsler konstateret.
Hændelserne skyldes samme tekniske fejl.
Udviklings- og Forenklingsstyrelsen har anmodet Kammeradvokaten vurdere, hvorvidt
der er grundlag for at rejse krav mod DXC med henblik på at sikre staten erstatning for
de udgifter, der måtte følge af databruddet, samt med henblik på at kræve et forholds-
mæssigt afslag på Skatteforvaltningens betaling for ydelser relateret til systemet.
Hændelsernes karakter og omfang
DXC har oplyst over for Udviklings- og Forenklingsstyrelsen, at den første hændelse,
som blev konstateret den 21. januar 2020, er sket, når en borger har logget på
’TastSelv
Borger’
og klikket
på ”Ret kontaktoplysninger”
for at checke eller rette sine kontaktoplys-
ninger. Hermed har borgerens browser kaldt en standardfunktion hos
’Google
Hosted Li-
braries’, som hjælper med at øge hastigheden på websiden, så brugeroplevelsen bliver
bedre. Kaldet har i sig selv kun taget få millisekunder.
Når funktionen er blevet kaldt, er borgerens cpr-nummer ved en fejl blevet sendt med
som en del af
URL’en
til Google. Der er i perioden fra den 2. februar 2015 til den 24. ja-
nuar 2020 samlet set afsendt cpr-numre for ca. 1,26 mio. borgere, der en eller flere gange
har rettet deres kontaktinformation.
URL’en er afsendt via en krypteret forbindelse, og som en integreret del af
modtagerpro-
cessen slettes al identificerbar information af Google og er således hverken blevet logget
eller lagret hos Google. Dette er skriftligt bekræftet af Google. Det vurderes på den bag-
grund, at der ikke har været en fare for misbrug af borgernes cpr-numre. DXC har desu-
den bekræftet over for Udviklings- og Forenklingsstyrelsen, at der ikke længere utilsigtet
afsendes cpr-numre til Google.
Hændelsen relaterer sig til udformningen
af systemet bag ’TastSelv Borger’, som har gjort,
at cpr-nummeret
indgik i URL´en ved kald af ”Ret kontaktoplysninger”. Udformningen