Personopplysninger for 9.000 Skatteetaten-ansatte havnet i Ukraina

Personopplysningene til 9.000 ansatte i Skatteetaten var på avveie etter at de i strid med avtalen hadde vært tilgjengelig for Evrys ansatte i Ukraina.

Et av kravene da Skatteetaten inngikk avtale med IT-selskapet Evry, var at tjenester ikke kunne driftes av ansatte i Ukraina på grunn av sikkerhetshensyn, skriver Dagens Næringsliv. I juni i år bekreftet Evry dette og så på nytt noen måneder senere.

24. oktober oppdager Evry at 14 ansatte i Ukraina likevel hadde hatt tilgang til personopplysningene til 9.000 ansatte, for namsmenn og skatteinnkrevere. Personopplysningene hadde da ligget tilgjengelig i flere måneder for de ansatte i Ukraina. Skatteetaten varslet Datatilsynet om sikkerhetssvikten som kan gi risiko for økt sosial manipulasjon, som phishing.

– Ikke aktuelt at Ukraina-ansatte skal ha tilgang

Skatteetaten hadde vært tydelig ovenfor Evry på at ansatte i Ukraina ikke kunne brukes av risikohensyn.

Vi var ekstra oppmerksomme på at de ikke skulle utøve tjenesten utenfor EØS eller EU. Det fikk vi ved to anledninger eksplisitt bekreftelse på.

Jørn Leonhardsen, IT-direktør i Skatteetaten

Jørn Leonhardsen, IT-direktør i Skatteetaten, sier at Evry skulle ha full kontroll på dette, og ser på saken som veldig alvorlig og et brudd på personvernlovgivningen.

Skatteetaten skal ha vært kjent med at Evry har operasjoner i Ukraina, og har derfor vært veldig tydelig ovenfor Evry at databehandling utenfor EØS og EU ikke er aktuelt.

– Evry lever jo av å være en profesjonell driftsleverandør, og de skulle i prinsippet kunne ha veldig gode rutiner på dette, sier Leonhardsen og fortsetter, -når det gis tilgang til persondata i Ukraina, så er det svært alvorlig.

Ukraina scorer typisk lavt på rangeringer om korrupsjon og vanstyre. 

Varslet Datatilsynet

Rutinemessig har Skatteetaten varslet Datatilsynet om saken, og skriver at koblingen mellom opplysningene kan gi risiko for sosial manipulasjon av personene som Ukrainske medarbeidere har hatt tilgang til.

Sosial manipulasjon kan bety svindel ved hjelp av personelig informasjon, for eksempel phishing-eposter fra hackere som utgir seg for å være noen mottakeren kjenner.

Ansatte ble fløyet til Fornebu

Da Evry oppdaget at 14 ansatte i Ukraina hadde hatt tilgang til Skatteetatens personopplysninger i fire måneder, startet krisehåndteringen. Tre ansatte som hadde jobbet på prosjektet i Ukraina ble fløyet til Norge og bedt om å jobbe videre fra Evrys kontorer på Fornebu.

Evry har forsikret Skatteetaten om at informasjonen ikke har blitt brukt eller manipulert, men samtidig ser de svært alvorlig på dette bruddet på personvernlovgivningen.

I Skatteetaten er vi svært opptatt av tillit. Vi er helt avhengig av høy tillit i befolkningen for å kunne løse våre oppgaver. Et viktig element i det er hvordan vi håndterer personopplysninger. Derfor har vi dette på radaren hele tiden.

Skatteetaten har gigantiske IT-strukturer med kontroll på sensitive persondata om over fem millioner nordmenn, og jobber kontinuerlig med IT-sikkerhet og personvern. 

Driftsavtale verdt 260 millioner

Evry beklager personvern-tabben. 

– Dette er en svikt i våre interne rutiner og vi beklager på det sterkeste at dette skjedde. Vi har bedt EY (Ernst & Young, red.anm) om å gjøre en grundig revisjon av hendelsen for å hindre at et slikt avvik skjer igjen, sier fagansvarlig i Evry, Jon Bremnes.

Driftsavtalen Evry har med Skatteetaten er verdt over 260 millioner kroner, og gjelder en leveranse av pc-er og mobiltelefoner til alle Skatteetatens ansatte, samt brukerhjelp når de ansatte støter på IT-problemer. 

– Vi tar personvern og sikkerhet på høyeste alvor. I forbindelse med oppstart av leveranse for Skatteetaten oppstod en svikt i våre interne rutiner, noe som medførte at 14 ukrainske medarbeidere fikk tilgang til data som de ikke skulle hatt. Dette beklager vi på det sterkeste, og vi ettergår dette for å hindre at et slikt avvik skjer igjen, avslutter Bremnes.