Skriftlig spørsmål fra Marianne Aasen (A) til finansministeren

Dokument nr. 15:36 (2008-2009)
Innlevert: 06.10.2008
Sendt: 07.10.2008
Besvart: 15.10.2008 av finansminister Kristin Halvorsen

Marianne Aasen (A)

Spørsmål

Marianne Aasen (A): Hva har finansministeren gjort for å sikre at folks fødselsnumre ikke faller i hendene til uvedkommende under skatteetatens bruk av disse numrene?

Begrunnelse

I sommer ble det ved en feiltakelse sendt ut skattelister fra Skatteetaten til flere mediebedrifter med konfidensiell informasjon. Materialet inneholdt fødselsnummeret til over 4 millioner mennesker. Fødselsnummeret er et personlig, konfidensielt nummer som kan misbrukes om uvedkommende får tak i dette. Fødselsnummer er å betrakte som sensitiv informasjon, og ubegrunnet spredning av navngitte personers fødselsnummer er derfor svært alvorlig.
Det er derfor særdeles viktig at alle som har slik konfidensiell informasjon behandler dette med stor varsomhet.

Kristin Halvorsen (SV)

Svar

Kristin Halvorsen: Jeg er opptatt av at skatteetatens håndtering av sensitiv materiale er betryggende til enhver tid, og har understreket dette ovenfor Skattedirektøren. Skattedirektoratet har på anmodning fra departementet utarbeidet en omfattende redegjørelse om hva som har skjedd, hva direktoratet har gjort for å begrense skadevirkningene og hvilke tiltak som gjøres for å unngå slike feil i framtiden. Jeg viser til at redegjørelsen er gjort tilgjengelig på departementets hjemmesider på internett.

Skattedirektoratet distribuerte i juli CD’er til 9 medievirksomheter med skattelister for 2006 (etter klagebehandling). Listene inneholdt fullt, ellevesifret fødselsnummer, men skulle kun inneholde fødselsår. Denne feilen er meget sterkt beklaget av direktoratet.

Det er grunn til å understreke at ingen av de redaksjonene som mottok disse CD’ene, har publisert skattelister med fødselsnummer. Fødselsnumrene har derfor ikke vært tilgjengelig for publikum. For ordens skyld vil jeg samtidig understreke at fødselsnummer ikke regnes som en sensitiv opplysning etter personopplysningsloven, og heller ikke er taushetsbelagt etter ligningsloven. Fødselsnummer er etter folkeregisterloven tilgjengelig for alle som har et begrunnet behov for å kunne ivareta lovmessige rettigheter og plikter. Informasjonen skulle selvsagt likevel ikke vært gjort tilgjengelig i denne typen masseutsendelse.

Alle CD’ene, bortsett fra én i en av mediebedriftene, ble i løpet av kort tid innhentet av Skattedirektoratet. Denne mediebedriften har bekreftet at den ene CD’en som ikke er returnert, ble kassert før denne feilen ble kjent. Skattedirektoratet har kontrollert at samtlige innleverte CD’er er versjonen fra 4. juli 2008. Samtlige mediebedrifter har bekreftet skriftlig overfor Skattedirektoratet at de ikke har kopiert CD’ene. Dersom det skulle vise seg at den siste CD’en ikke er tilstrekkelig makulert, er det pga krypteringen meget usannsynlig at uvedkommende kan klare å lese filene.

Etter dette mener Skattedirektoratet at faren for mulige skadevirkninger for enkeltpersoner er svært lav, men har med umiddelbar virkning startet en grundig gjennomgang av alle rutiner og prosedyrer som knytter seg til distribusjonen av data til andre instanser. Alle rutiner og prosedyrer rundt data som sendes eksternt, blir gjennomgått og forbedret - herunder kvalitetssikring og godkjenning før utsendelse. Rutinene skal inneholde både teknisk verifikasjon og kvalitetssikring av at informasjonen er korrekt. Direktoratet erkjenner at det er viktig å ha rutiner og prosedyrer som hindrer at enkeltmedarbeidere kommer i en situasjon hvor feil begås uten at det blir oppdaget gjennom kvalitetssikringsrutiner.

Skattedirektoratet har samtidig iverksatt flere strakstiltak i hele etaten for å sikre at rutiner og prosedyrer etterleves, blant annet ved å innføre kontroll i to instanser med skriftlig utkvittering av både teknisk og innholdsmessig kvalitet på flyttbare medier. Tilsvarende kontroller etableres for overføring til webservere, og det er innført utvidet bruk av kryptering på flyttbare medier etter en risikovurdering.

I det videre oppfølgingsarbeidet vil det bli utarbeidet en samlet oversikt over alle eksterne datautsendinger, med vurdering av risikoeksponering for hver enkelt utsending. Rutinene for alle eksterne datautsendinger (alle typer media) skal gjennomgås for produksjon/kvalitetssikring. Med utgangspunkt i dette vil direktoratet på permanent basis innføre kontroll i to instanser med skriftlig utkvittering av både teknisk og innholdsmessig kvalitet, gjennomføre opplæring i nye rutiner etter hvert som de ferdigstilles, og gjennomføre øvrige nødvendige tiltak. Målet er å fullføre kartlegging i løpet av oktober og implementere nødvendige tiltak innen 31. desember 2008.

Videre vil skatteetaten allerede fra 15. oktober 2008 iverksette en ny løsning for distribusjon av skattelistene til media. Som for foregående år, er det utviklet en elektronisk bestillingsløsning på www.skatteetaten.no. Dette er en annen løsning enn tidligere, ved at flere deler av prosessen nå er automatisert. Den nye løsningen vil medføre bedre muligheter til automatiske kontroller av format og innhold av filutlegg, og muligheter for umiddelbart å ta filer bort hvis feil har oppstått. Dette reduserer risikoen for samme type feil som i juli. Samtidig innebærer det en sikrere overføring av data til mediebedriftene ved at CD’er ikke er nødvendig. Det vil fortsatt være behov for manuell kvalitetskontroll og utkvittering når filene legges ut på webserveren. Dette vil dokumenteres og innarbeides i de nye rutinene, jf. tiltaksbeskrivelsen over.

Departementet vil følge opp det videre arbeidet, og forsikre seg om at de ulike tiltakene iverksettes og etterleves.