L 73 - 2021-22 - Endeligt svar på spørgsmål 6: Spm. om, hvordan Skatteministeriet har tænkt sig at beskytte sammenkørte data, til skatteministeren

Skatteudvalget 2021-22
L 73
Offentligt

30. november 2021

J.nr. 2021 - 627

Til Folketinget

–

Skatteudvalget

Vedrørende L 73 - Forslag til Lov om

ændring af lov om et indkomstregister, skatte-

indberetningsloven og skattekontrolloven (Registersamkøring med henblik på systemud-

vikling og myndighedsudøvelse samt udvidet adgang til eSkatData-ordning).

Hermed sendes svar på spørgsmål nr. 6 af 17. november 2021. Spørgsmålet er stillet efter

ønske fra Dennis Flydtkjær (DF).

Morten Bødskov

/ Per Hvas

L 73 - 2021-22 - Endeligt svar på spørgsmål 6: Spm. om, hvordan Skatteministeriet har tænkt sig at beskytte sammenkørte data, til skatteministeren

Spørgsmål

Vil ministeren redegøre for, hvordan Skatteministeriet har tænkt sig at beskytte sammen-

kørte data? Herunder bedes ministeren redegøre for organisatoriske tiltag, IT-sikkerheds-

mæssige tiltag, adgangsbegrænsninger m.v.

Svar

Til brug for besvarelsen af spørgsmålet er der indhentet følgende bidrag fra Udvikling- og

Forenklingsstyrelsen, hvortil jeg kan henholde mig:

”Databeskyttelsesforordningen,

som gælder for alle offentlige myndigheder, foreskriver,

at dataansvarlige myndigheder skal sikre, at data kun anvendes til specifikke formål, at der

er hjemmel til at anvende data, at data minimeres til kun det nødvendige i forhold til for-

målet, og at data beskyttes med tekniske og organisatoriske it-sikkerhedsmæssige tiltag.

Skatteministeriets koncern har implementeret databeskyttelsesforordningen og efterlever

således dette.

I forhold til de it-sikkerhedsmæssige tiltag har Skatteforvaltningen implementeret

ISO27001 standarden til beskyttelse af informationssikkerheden, ligesom øvrige statslige

myndigheder har gjort.

I Skatteministeriet betyder dette, at der er et fastlagt et regelsæt for, hvordan informatio-

ner skal beskyttes, som er gældende for hele koncernen. Dette gælder beskyttelse af alle

informationer, hvormed reglerne også vil være gældende for sammenkørte data. Det bety-

der desuden, at der gennemføres en risikovurdering, når nye it-løsninger tages i brug.

Denne risikovurdering udmønter de specifikke sikkerhedskrav, som er relevante for den

pågældende løsning. Her tages der højde for, hvilke typer data, der indgår i løsningen, og

med hvilken teknologi de behandles. Kravene baserer sig på ISO27001-standarden, de

tekniske minimumskrav for statslige myndigheder, som er specificeret af Center for Cy-

bersikkerhed, samt øvrige internationale standarder, hvor det er relevant.

Kravene udmønter sig i, at Skatteforvaltningen implementerer tekniske og organisatoriske

sikkerhedsforanstaltninger, fx adgangsstyring, kryptering, logning mv.

–

alternativt stiller

krav herom og fører tilsyn hermed, såfremt der gøres brug af outsourcing til eksterne le-

verandører.

Der følges i øvrigt op på, at disse krav er implementeret via interne compliance-målinger

og eksternt rettede leverandørtilsyn.”

Side 2 af 2