Hopp over båndkommandoer
Hold Ctrl-tasten nede. Trykk på
+ for å forstørre,
- for å forminske
eller 0 for å gå tilbake til standard tekststørrelse.
For mobilbrukere: bruk telefonens innebygde zoome-funksjonalitet.
Skip Navigation LinksHovedside > Presserom > Nyheter > Svakheter ved forvaltningen av informasjonssikkerhet i valutaregisteret

Svakheter ved forvaltningen av informasjonssikkerhet i valutaregisteret

​Riksrevisjonen finner det kritikkverdig at Skattedirektoratet ikke har sikret opplysningene i valutaregisteret slik lov om register over opplysninger om valutaveksling og overføring av betalingsmidler inn og ut av Norge (valutaregisterloven) og lov om behandling av personopplysninger (personopplysningsloven) krever.

Publisert 16.11.2017 13:20

​Valutaregisteret ble opprettet 1. januar 2005. Skattedirektoratet fikk overført ansvaret for valutaregisteret fra Tolldirektoratet 1. januar 2016. Skattedirektoratet skal som behandlingsansvarlig sørge for at opplysningene ikke blir kjent for uvedkommende, og at opplysninger ikke blir endret utilsiktet eller av uvedkommende.

Etterleving av valutaregister- og personopplysningsloven 

Revisjonen av Skattedirektoratet som behandlingsansvarlig for valutaregisteret viser at valutaregisterloven og personopplysningsloven med forskrifter ikke etterleves på flere punkter:

  • det er ikke gjennomført risikovurderinger av informasjonssikkerhet for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd
  • det er ikke stilt tilstrekkelige krav til informasjonssikkerhet i avtaler med eksterne databehandlere
  • det er ikke påsett at eksterne databehandlere oppfyller lovens krav til informasjonssikkerhet
  • ansvars- og myndighetsforhold for bruk av valutaregisteret er ikke tydeliggjort mellom Skattedirektoratet og brukeretatene
  • det er ikke gjennomført sikkerhetsrevisjoner av valutaregisteret
  • det er ikke gjennomført kontroller av logger som kan avdekke eventuell uautorisert bruk av registeret i brukeretatene

Eksterne databehandlere 

Revisjonen viser at manglende krav til og oppfølging av eksterne databehandlere har ført til svakheter i sikringen av registeret og den tekniske infrastrukturen det bygger på. Flere ansatte hos databehandlerne enn tjenestebehovet skulle tilsi, har administratorrettigheter, som gir mulighet til å lese, kopiere, endre og slette opplysninger i registeret. Det er mangelfull logging av hva administratorene gjør i systemet, og det er ikke rutiner som vil oppdage uautorisert bruk. Det er videre mangelfulle krav til passord, manglende kryptering av overføring av opplysninger, og det benyttes upersonlige brukerkontoer for administrasjon av deler av infrastrukturen.

Personvern 

Valutaregisteret inneholder store mengder personopplysninger om valutaveksling og overføring av betalingsmidler inn og ut av Norge. For å ivareta den enkelte innbyggers personvern, og for at registeret skal kunne brukes etter sin hensikt, er det avgjørende at opplysningene i registeret sikres på forsvarlig måte. De omfattende svakhetene i forvaltningen av informasjonssikkerheten i valutaregisteret øker risikoen for at personopplysninger kan misbrukes, slettes, endres eller komme på avveie.

Riksrevisjonen anbefaler at Finansdepartementet følger opp at Skattedirektoratet tar sitt ansvar som behandlingsansvarlig for valutaregisteret og etterlever kravene til informasjonssikkerhet i lov og forskrift.

Riksrevisjonen, Storgata 16, Postboks 8130 Dep, 0032 Oslo, Norway

Telefon: +47 22 24 10 00

Org.nr: 974 760 843