Her er, hvorfor eksperter i databeskyttelse aldrig kunne finde på at bruge populær skatte-app

Det er uigennemsigtigt, hvor længe Skatteguiden gemmer dine data, og hvem de deler oplysningerne med, lyder kritikken.

En ny dansk app kan hjælpe med at beregne skattefradrag og estimere brugernes årsopgørelser, før de udkommer fra Skat. (Foto: © Skatteguiden (Grafik: Morten Fogede))

De seneste uger har 49.000 danskere downloadet appen Skatteguiden og delt deres skatteoplysninger med tech-startuppen for at få virksomhedens algoritmer til at beregne et tidligt estimat på, om brugeren kan se frem til at få penge tilbage i skat.

For at få adgang til Skatteguiden kræver det, at man downloader appen, logger på skat.dk med sit NemID og dér angiver Skatteguiden som sin rådgiver på samme måde, som man kan angive en revisor eller en advokat som rådgiver.

På den måde giver man Skatteguiden adgang til sine personlige skatteoplysninger herunder oplysninger om indkomst, ægteskabsforhold, bil, telefon, modtagelse af sociale ydelser, gæld og en række andre personfølsomme oplysninger.

Data protection officer for Skatteguiden Katrine Tholstrup forsikrer, at skatteoplysningerne opbevares sikkert på danske servere, at der ikke har været databrud, og at virksomheden ikke efterfølgende deler eller sælger oplysninger videre.

Alligevel mener flere eksperter i databeskyttelse, at man skal tænke sig godt om, inden man opretter en bruger.

1

Hvad tjener Skatteguiden penge på?

Det er gratis at få Skatteguiden til at lave et tidligt estimat af ens årsopgørelse.

Derudover står der i virksomhedens privatlivspolitik, at Skatteguiden “vil kunne videregive dine personoplysninger til tredjemand, hvis det sker som led i opfyldelse af den aftale, vi har lavet med dig”.

Skatteguiden kan “tillige vælge at videregive dine oplysninger til koncernforbundene selskaber inden for EU.”

De formuleringer får hårene til at rejse sig på bestyrelsesmedlem i Rådet for Digital Sikkerhed Henrik Larsen.

- Det betyder jo, at hvis Skatteguiden indtræder i fælles ejerforhold med andre virksomheder, så forbeholder de sig retten til at dele data med dem. Det kunne jo være til reklamer eller den slags, siger han.

Stifter af Skatteguiden Nikolai T. G. Høgskilde forsikrer, at appen ikke deler skatteoplysninger med nogen.

- Vi har ingen cookies installeret i appen, vi sælger intet data, alt data ligger på danske servere, vi har indhentet alle nødvendige samtykker, og vi har fået udført vore GDPR af professionelle rådgivere, siger han.

Nikolai T. G. Høgskilde tilføjer, at det tidlige estimat af årsopgørelsen blot er én af Skatteguidens services, og at tjenesterne på sigt vil blive udbudt som abonnementsløsninger.

– For mig handler det om, at alle skal kunne overskue deres skatter og fradrag. Jeg har brugt tid på at sætte mig ind i tingene og kan ved hjælp af teknologi brede det ud, siger han.

Men hvorfor skriver I så i jeres privatlivspolitik, at i forbeholder jer retten til at videregive personoplysninger til tredjemand eller koncernforbundne selskaber?

– Der er forskel på data: Der er data såsom dit navn og e-mailadresse, og så er der det data, som vi bruger som beregningsgrundlag. Når vi siger, at vi giver data videre til nogle andre, så er det ikke det data, som bliver brugt som beregningsgrundlag. Dem giver vi kun videre til Skat, hvis vi skal indberette et fradrag, siger Katrine Tholstrup og tilføjer:

– Vi er rigtig kede af at blive mistænkeliggjort for at gøre noget, som rigtig mange andre virksomheder gør, som helt normalt led i deres virksomhed.

2

Opbevarer oplysninger også når du ikke længere er kunde

Når Skatteguiden har hjulpet med at lave beregningerne, gemmer de oplysninger “indtil det ikke længere er formålstjenligt, dog aldrig længere end fem år efter endt kundeforhold”, som der står i deres privatlivspolitik.

Ifølge Henrik Larsen og databeskyttelsesrådgiver Pia Tesdorf er der mindst to problemer i det forhold.

For det første er de bekymrede for overhovedet at lade en privat aktør opbevare skatteoplysningerne.

– Hvis du suger data ud af Skat og lægger dem et andet sted, så skal du virkelig sørge for, at det sted er sikkert. Jeg forstår ikke, hvorfor det ikke er tydeligere angivet, hvordan Skatteguiden opbevarer og beskytter oplysningerne. For mig at se, ligner det umiddelbart et virkelig godt target for enhver hacker, siger Pia Tesdorf.

Skat selv vil ikke forholde sig til Skatteguiden, men understreger også, at man skal tænke sig om, inden man videregiver oplysninger.

– Det er vigtigt for mig at pointere, at man som borger altid bør være opmærksom på, hvad man giver andre adgang til. Det gælder især følsomme oplysninger som eksempelvis skatteoplysninger, siger Karoline Klaksvig, der er underdirektør i Skattestyrelsen.

Nikolai T. G. Høgskilde vil ikke gå i detaljer omkring appens infrastruktur og sikkerhedsmæssige setup, men understreger at der ikke har været tegn på eller tilfælde af databrud.

– Vi samarbejder med professionelle sikkerhedsrådgivere, og sikkerhed er Skatteguidens prioritet nr. 1, siger han.

Databeskyttelseseksperterne er også undrende overfor, at Skatteguiden forebeholder sig retten til at opbevare data efter, at et kundeforhold er ophørt.

Data protection officer Katrine Tholstrup forklarer, at når Skatteguiden anmoder om data fra Skat, så får de adgang til alt data - eksempelvis også om man er medlem af folkekirken, hvilket jo ikke har relevans for at estimere en årsopgørelse eller udregne, om man har ret til et fradrag. Den data slettes inden for 24 timer.

Hvis der ikke findes et fradrag, sletter Skatteguiden de øvrige skatteoplysninger inden for tre måneder. Hvis der findes et fradrag, hjælper Skatteguiden brugeren med at kommunikere med Skat, og kan i den forbindelse opbevare data i helt op til tre år.

– Når vi bliver en betalingsservice, vil vi jo lave en faktura eller en modregning overfor kunden. De faktureringsoplysninger skal vi ifølge loven opbevare i løbende regnskabsår plus fem år, tilføjer Katrine Tholstrup.

Men er det kun faktureringsoplysninger i opbevarer efter endt kundeforhold?

– Jeg vil så gerne svare på det spørgsmål, men det bliver jo et teoretisk tænkt eksempel, for vi er slet ikke begyndt at levere servicen endnu.

I leverer jo estimater på årsopgørelser - opbevarer I de oplysninger, efter folk sletter deres bruger?

– Jeg kan sige så meget som, at vi kommer ikke til at opbevare data, der ikke er nødvendige. Vi kommer ikke til at have et fuldt regime af beregningsgrundlag ned i detaljerne, når der ikke længere er behov for det, svarer Katrine Tholstrup.

3

Problemer med at slette data igen

Ifølge Skatteguiden har godt 6.000 brugere skrevet til dem den seneste uge og bedt om at få deres data slettet igen.

Brugernes data er endnu ikke blevet slettet, men det vil ifølge Katrine Tholstrup formentligt ske i løbet af weekenden.

– Vi sletter og svarer på henvendelser i udgangspunkt inden for 30 dage. Hvis vi ikke kan overholde at få slettet i løbet af 30 dage, fordi der eksempelvis er særligt meget data, så kan vi forlænge perioden i op til to måneder, så længe vi giver brugeren besked. Det lever vi op til, siger hun.