Ett av kravene da Skatteetaten inngikk avtale med IT-selskapet Evry, var at tjenester ikke kunne driftes av ansatte i Ukraina på grunn av sikkerhetshensyn, skriver Dagens Næringsliv. I juni i år bekreftet Evry dette og så på nytt noen måneder senere.
24. oktober oppdaget Evry at 14 ansatte i Ukraina likevel hadde hatt tilgang til person- og kontaktopplysninger til 9.000 ansatte i Skatteetaten, og flere tusen for namsmenn og skatteinnkrevere.
Opplysningene hadde da ligget tilgjengelig i flere måneder for de ansatte i Ukraina. Skatteetaten varslet Datatilsynet om sikkerhetssvikten som kan gi risiko for økt sosial manipulasjon, som phishing. Evry sjekket om noen av opplysningene var hentet ut eller brukt, men det var de ikke.
Selv om ikke tilgangene ble benyttet, var det i strid med avtalen mellom Skatteetaten og Evry at det var potensielt mulig for noen ansatte i Ukraina å gjøre dette, opplyser Skatteetaten opplyser til NTB.
IT-sjef Jørn Leonhardsen i Skatteetaten omtaler dette som veldig alvorlig og et brudd på personvernlovgivningen.
– Vi var ekstra oppmerksomme på at de ikke skulle utøve tjenesten utenfor EØS eller EU. Det fikk vi ved to anledninger eksplisitt bekreftelse på, sier Leonhardsen til avisa.
– Dette er en svikt i våre interne rutiner, og vi beklager på det sterkeste at dette skjedde, sier fagansvarlig Jon Bremnes i Evry, som sier hendelsen vil bli gransket for å hindre at et slikt avvik skjer igjen.