ICE-programmet - Delvist afslag på anmodning om aktindsigt - Undtaget fra aktindsigt efter offentlighedslovens §§ 31 og 33, nr. 3

Sagen angik Udviklings- og Forenklingsstyrelsens delvise afslag på aktindsigt i seks eksterne dokumenter, som var sendt til It-tilsynet i forbindelse med It-tilsynets undersøgelse af ICE-programmet (udviklingen af det nye ejendomsvurderingssystem). Udviklings- og Forenklingsstyrelsen havde blandt andet undtaget oplysninger fra udlevering med henvisning til offentlighedslovens § 31 (it-sikkerhed).

For så vidt angik referencer til fysiske databaser/modeller/tabeller/kolonner/indhold, var Landsskatteretten enig i, at oplysninger om interne terminologier kunne bruges i forbindelse med f.eks. spear-phisingmails. Henset til karakteren af de undtagne oplysninger og trusselsbilledet for cyberangreb, fandt Landsskatteretten, at oplysningerne kunne undtages fra aktindsigt efter offentlighedslovens § 31 med henvisning til, at det var af væsentlig betydning for Skatteministeriets it-sikkerhed. De øvrige af afgørelsen omfattede oplysninger hjemviste Landsskatteretten til Udviklings- og Forenklingsstyrelsens fornyede vurdering og begrundelse.

Offentlighedslovens § 1, stk. 1, § 7, § 14, § 14, stk. 1, § 31, lovbemærkningerne til offentlighedslovens § 31 (lov nr. 606 af 12. juni 2013), og § 33, nr. 3, de almindelige bemærkninger (lov nr. 606 af 12. juni 2013), punkt 3.4.3.3 og 4.1.1.17
Offentlighedskommissionens betænkning nr. 1510 fra 2009
Forvaltningslovens § 27, stk. 4, nr. 3
Den Europæiske Menneskerettighedskonventions artikel 10, stk. 1

-

Udviklings- og Forenklingsstyrelsen har givet delvist afslag på anmodning om aktindsigt i 6 eksterne dokumenter, som er sendt til It-tilsynet i forbindelse med It-tilsynets seneste undersøgelse af ICE-programmet. 

Landsskatteretten stadfæster Udviklings- og Forenklingsstyrelsens afgørelse for så vidt angår referencer til fysiske databaser/modeller/tabeller/kolonner/indhold, men hjemviser i øvrigt styrelsens afgørelse til fornyet behandling.

Faktiske oplysninger
Den 7. marts 2024 anmodede klageren Udviklings- og Forenklingsstyrelsen om aktindsigt: 

"H1 anmoder hermed om aktindsigt i nedenstående:

Sag 2023 - 46, akt 8, akt-Id 2612
Sag 2023 - 46, akt 9, akt-Id 2611
Sag 2023 - 46, akt 12, akt-Id 2682
Sag 2023 - 46, akt 13, akt-Id 2787
Sag 2023 - 46, akt 16, akt-Id 2720
Sag 2023 - 46, akt 22, akt-Id 2820
Sag 2023 - 46, akt 24, akt-Id 2824
Sag 2023 - 46, akt 32, akt-Id 2839
Sag 2023 - 46, akt 34, akt-Id 2840, dokument 2
Sag 2023 - 46, akt 37, akt-Id 2864
Sag 2023 - 46, akt 38, akt-Id 2852
Sag 2023 - 46, akt 39, akt-Id 2850
Sag 2023 - 46, akt 51, akt-Id 2902
Sag 2023 - 46, akt 53, akt-Id 3003
Sag 2023 - 46, akt 54, akt-Id 2955
Sag 2023 - 46, akt 55, akt-Id 3035
Sag 2023 - 46, akt 56, akt-Id 3095
Sag 2023 - 46, akt 57, akt-Id 3096
Sag 2023 - 46, akt 58, akt-Id 3041
Sag 2023 - 46, akt 59, akt-Id 3040
Sag 2023 - 46, akt 61, akt-Id 3147
Sag 2023 - 46, akt 63, akt-Id 3108
Sag 2023 - 46, akt 64, akt-Id 3107
Sag 2023 - 46, akt 65, akt-Id 3131
Sag 2023 - 46, akt 66, akt-Id 3158
Sag 2023 - 46, akt 67, akt-Id 3152
Sag 2023 - 46, akt 77, akt-Id 2516, dokument 5
Sag 2023 - 46, akt 78, akt-Id 3183
Sag 2023 - 46, akt 79, akt-Id 3184
Sag 2023 - 46, akt 80, akt-Id 3089
Sag 2023 - 46, akt 81, akt-Id 3225
Sag 2023 - 46, akt 89, akt-Id 3273, dokument 2
Sag 2023 - 46, akt 92, akt-Id 3406, dokument 2
Sag 2023 - 46, akt 94, akt-Id 3408
Sag 2023 - 46, akt 96, akt-Id 3421
Sag 2023 - 46, akt 100, akt-Id 3457, dokument 2
Sag 2023 - 46, akt 101, akt-Id 3433
Sag 2023 - 46, akt 102, akt-Id 3465, dokument 2
Sag 2023 - 46, akt 106, akt-Id 3478
Sag 2023 - 46, akt 107, akt-Id 3480, dokument 2
Sag 2023 - 46, akt 108, akt-Id 3490, dokument 2
Sag 2023 - 46, akt 113, akt-Id 3495
Sag 2023 - 46, akt 114, akt-Id 3494
Sag 2023 - 46, akt 117, akt-Id 3500
Sag 2023 - 46, akt 119, akt-Id 3502
Sag 2023 - 46, akt 121, akt-Id 3481
Sag 2023 - 46, akt 124, akt-Id 3441
Sag 2023 - 46, akt 125, akt-Id 3434
Sag 2023 - 46, akt 126, akt-Id 3514
Sag 2023 - 46, akt 127, akt-Id 3515
Sag 2023 - 46, akt 131, akt-Id 3561
Sag 2023 - 46, akt 135, akt-Id 3422
Sag 2023 - 46, akt 136, akt-Id 3582
Sag 2023 - 46, akt 137, akt-Id 3581
Sag 2023 - 46, akt 139, akt-Id 3576, dokument 2
Sag 2023 - 46, akt 142, akt-Id 3619
Sag 2023 - 46, akt 146, akt-Id 3628
Sag 2023 - 46, akt 147, akt-Id 3629
Sag 2023 - 46, akt 148, akt-Id 3633
Sag 2023 - 46, akt 150, akt-Id 3671
Sag 2023 - 46, akt 151, akt-Id 3672
Sag 2023 - 46, akt 152, akt-Id 3721
Sag 2023 - 46, akt 153, akt-Id 3722
Sag 2023 - 46, akt 155, akt-Id 3733
Sag 2023 - 46, akt 160, akt-Id 3955" 

Den 8. marts 2024 skrev Udviklings- og Forenklingsstyrelsen til klageren: 

"Kan du hjælpe os lidt med noget kontekst, så vi kan identificere den sag, du henviser til i din anmodning nedenfor? 

Vores journalnumre er opbygget som det, du kan se i emnefeltet ("xx-xxxxxxx"), og jeg har ikke kunne søge sagen frem i vores system ud fra sagsnummeret. 

Hvis du har mulighed, må du meget gerne sende det dokument, du har nedenstående oplysninger fra - eller eventuelle andre oplysninger, der kan hjælpe os med at identificere materialet." 

Den 12. marts 2024 ringede klageren til Udviklings- og Forenklingsstyrelsen og oplyste, at anmodningen udspringer af en skrivelse fra It-tilsynet, hvor akternes titler kommer fra. Klageren ville sende noget på skrift, der kunne hjælpe med at identificere materialet. Samme dag fremsendte klageren et brev fra It-tilsynet, hvori der refereres til journalnumrene angivet i aktindsigtsanmodningen. 

Den 14. marts 2024 ringede en medarbejder fra Udviklings- og Forenklingsstyrelsen til klageren for at få en nærmere tematisk angivelse af det ønskede materiale. Klageren bekræftede, at dokumenterne vedrører It-tilsynets seneste undersøgelse af ICE-programmet. 

Den 17. april 2024 sendte Udviklings- og Forenklingsstyrelsen en mail til klageren, hvoraf blandt andet fremgik følgende: 

"… 

Derudover gør Udviklings- og Forenklingsstyrelsen opmærksom på, at Udviklings-og Forenklingsstyrelsen behandler din anmodning, både i forhold til dokumenter der er oversendt fra Udviklings- og Forenklingsstyrelsen og fra Vurderingsstyrelsen til IT-tilsynet. Vurderingsstyrelsen behandler derfor ikke anmodningen, men bidrage til sagen, som behandles hos Udviklings- og Forenklingsstyrelsen. 

Udviklings- og Forenklingsstyrelsen har brug for afgrænsning af din anmodning, for at kunne færdiggøre din sag. Det skyldes, at Udviklings- og Forenklingsstyrelsen indtil videre har identificeret 117 dokumenter ud af i alt 287. Baseret på stikprøvekontrol, kan det estimerede antal sider på de 117 dokumenter, opgøres til ca. 2.296 sider. Det estimeres herefter at, en behandling af sagen, uden en afgrænsning af anmodningen, vil tage omkring 220 timer at behandle. 

Udviklings- og Forenklingsstyrelsen gør derfor opmærksom på, at anmodningen kan afslås, hvis behandlingen vil nødvendiggøre et uforholdsmæssigt ressourceforbrug, jf. offentlighedslovens § 9, stk. 2, nr. 1. 

Af ressourcemæssige årsager, beder vi dig derfor afgrænse din anmodning om aktindsigt. En afgrænsning kunne være baseret på, din markering af op til 45 af akterne på aktlisten, som er fremsendt hertil.  Udviklings- og Forenklingsstyrelsen gør opmærksom op at, der i aktlisten, er markeret med grøn, hvilke dokumenter der på nuværende tidspunkt er identificeret i din sag. 

…" 

Efter omfattende korrespondance vedrørende afgræsning af anmodningen skrev klageren den 12. juli 2024: 

"Tak for din mail, hvori du beder H1 om at prioritere behandlingen af bestemte akter i den anmodning om aktindsigt, som H1 to gange tidligere har prioriteret og dermed har fravalgt akter, der kan vise sig vigtige for offentligheden at have kendskab til. 

Som nævnt i forbindelse med en anden sag, så hører oplysninger om ejendomsvurderinger og den deraf afledte beskatning under miljøoplysningsloven. Denne lov har ingen undtagelse af hensyn til ressourceforbrug. Sagen skal afgøres efter denne lov. 

For at kunne overholde tidsfrister i sager om anmodninger om aktindsigt har Folketingets Ombudsmand tidligere oplyst, at myndigheder bør træffe delafgørelser i de dele af akterne, som først kan udleveres. 

Jeg skal derfor anmode om, at I fremsender svar på anmodningen ud fra ombudsmandens anførte praksis. 

Årsagen til, at der findes mulighed for at anmode om aktindsigt, er, at offentligheden skal have mulighed for at følge med i og kontrollere myndigheders sagsbehandling for at skabe åbenhed om denne. Dette sker af hensyn til den demokratiske kontrol. 

Ifølge aktlisten er der tale om dokumenter, der er vigtige som baggrund for it-tilsynets vurdering og dermed vigtige for aktindsigten. 

Derudover henholder H1 sig til tidligere fremsendte kommentarer om, at det er besynderligt, at mange dokumenter i aktlisten betegnes som interne, selv om det handler om materialepakker til tilsynet eller R1 eller materiale fra Kammeradvokaten.
Samt at der for de eksterne dokumenter ikke skal bruges tid på ekstrahering før udlevering af aktindsigt. Og at antallet dokumenter og sidetal i øvrigt ikke er overvældende. 

H1 mangler fortsat svar på, om UFST vil medvirke til sagens oplysning gennem meroffentlighed og aktiv offentliggørelse? 

H1 har allerede to gang afgrænset ud fra de forudsætninger, som UFST dengang opstillede. Derfor kommer det bag på os, at UFST nu igen ændrer forudsætningerne for at få aktindsigt i sagen. Vi mangler fortsat svar på dette? 

Af juridisk vejledning 2024-1 på skat.dk fremgår det (H1’s understregning): 

… 

H1 har som massemedie en særlig forpligtelse til på vegne af offentligheden at udføre journalistisk og redaktionelt arbejde. Akterne i sagen er selve forudsætningen for at kunne se dokumentationen for Ittilsynets vurdering af, at "… alle 2020-vurderinger kan udsendes i 2024". 

Dermed er der ift. sagens omstændigheder et særligt hensyn til at skabe åbenhed om baggrunden for dette. Dette har UFST et ansvar for at medvirke til. Sagen vedrører i den forbindelse potentielt set ejere af mere end 1,7 millioner ejendomme. 

Myndigheder vil ifølge ombudsmanden også i almindelighed være "… forpligtet til at foretage ekstrahering uanset sagens omfang", hvis et medie anmoder om aktindsigt. 

Læser man Niels Fenger (red.), Forvaltningsloven med kommentarer, 1. udgave (2018), side 433, er det som nævnt ift. ressourcebetragtning ualmindeligt for en myndighed at afvise et medies anmodning om aktindsigt som følge af ressourcehensyn ved ekstrahering: 

…

Herunder er det af hensyn til lovens krav om afgørelse "snarest" og maks inden for syv arbejdsdage vigtigt, at H1 kan modtage svar som delafgørelser. 

Det er desuden væsentligt at have adgang til de oprindelige dokumenters faktiske oplysninger for at kunne udføre den demokratisk kontrol af myndighedernes virke. 

Efterspørgslen efter oplysinger om det nye ejendomsvurderingssytem er stor, og UFST bør derfor forholde sig til, hvorvidt det giver mening at bruge ressourcer på flere runders dialog omkring afgrænsning og evt. undtagelse af hensyn til ressourceforbrug frem for at fremlægge (efter H1’s tidligere præciseringer nu dele af) de oplysninger, som er dokumentationsgrundlaget for It-tilsynets vurdering af, at "… alle 2020-vurderinger kan udsendes i 2024", sådan som det fremgår af Skatteministeriets pressemeddelelse af 12. marts 2024.
https://skm.dk/aktuelt/presse-nyheder/pressemeddelelser/it-tilsynet-alle-2020-vurderinger-kan-udsendesi-2024 

På den baggrund beder H1 hermed også UFST om at overveje, om der i sagen har været tale om en "unødvendig restriktiv praksis, hvor enhver mulighed for undtagelse bliver vendt og drejet", som betyder, at offentligheden ikke kan få svar. 

H1 henholder sig i den forbindelse til G1s høringssvar til Offentlighedsudvalget afsnit 4.2 af maj 2024 vedr. ’lovkrav om hurtig aktindsigt’ (vedhæftet): 

… 

H1 har i tillæg hertil tidligere modtaget en instruks af 7. september 2023 fra Skattestyrelsen. 

…

I lyset af G1s høringssvar til Offentlighedsudvalget afsnit 4.2 samt Skattestyrelsens instruks af 7. september 2023 bør UFST også forholde sig til, om Skatteforvaltningen har en hensigtsmæssig godkendelsesproces ift. offentlighedslovens krav og formål om at give offentligheden rettidig aktindsigt i oplysninger, der eks. kan sikre, at borgere er oplyst om problemer og selv kan undersøge, om de betaler den korrekte skat. 

H1 præciserer hermed yderligere sin anmodning:
H1 anmoder ikke om dubletter.
H1 anmoder ikke om aktindsigt i offentliggjorte oplysninger og oplysninger, der allerede er udleveret til H1 i anden sammenhæng herunder fra andre dele af Skatteforvaltningen.
H1 anmoder ikke om aktindsigt i dokumenter, som allerede er fremsendt til H1 eller til andre medier som led i svar til pressen." 

Udviklings- og Forenklingsstyrelsen sendte den 22. juli 2024 en kvittering til klageren og informerede om, at Udviklings- og Forenklingsstyrelsen fortsat behandlede sagen. 

Den 23. august 2024 traf Udviklings- og Forenklingsstyrelsen delafgørelse vedrørende det eksterne materiale (den påklagede afgørelse). 

En tidligere delafgørelse af 1. august 2024 vedrørende 70 interne dokumenter indgår ikke i nærværende klagesag. 

Udviklings- og Forenklingsstyrelsens afgørelse
Udviklings- og Forenklingsstyrelsen har givet delvist afslag på aktindsigt i 6 eksterne dokumenter, som er sendt til It-tilsynet i forbindelse med It-tilsynets seneste undersøgelse af ICE-programmet. 

Udviklings- og Forenklingsstyrelsen har som begrundelse bl.a. anført: 

"Udviklings- og Forenklingsstyrelsen meddelte dig afslag på din anmodning om aktindsigt den 1. august 2024 for så vidt angår interne dokumenter. Denne afgørelse vedrører derfor udelukkende det eksterne materiale, der er omfattet af din anmodning. 

Afgørelse
Udviklings- og Forenklingsstyrelsen imødekommer hermed delvist din anmodning om aktindsigt, og giver dig indsigt i følgende dokumenter: 

• Bilag 15 - 12 Statens It-råd - Anbefalingsbrev - ICE Release 8 - Maj 2022
• Bilag 16 - 11 Statens It-råd - Observationsnotat - ICE programmets Release 8 - Apr. 2022
• Bilag 17 - 10 It-rådets opfølgningsbrev til ICE-programmet 10. november 2021
• Akt nr. 79 - Bilag C - Statistisk modeltest af grundværdikurven
• Akt nr. 80 - Bilag B - Statistisk modeltest af GAM
• Akt nr. 81 - Bilag A - Statistisk modeltest af prisfremskrivning og outlierfiltrering 

Med denne afgørelse afslutter Udviklings- og Forenklingsstyrelsen din sag. 

Begrundelse
Din anmodning er behandlet efter offentlighedsloven. 

I henhold til offentlighedslovens § 7 kan enhver - med de i §§ 19-35 nævnte undtagelser - forlange at blive gjort bekendt med dokumenter, der er indgået til eller oprettet af en myndighed mv. som led i administrativ sagsbehandling i forbindelse med dens virksomhed. 

Hvad angår bilag 3 - Mapning mellem OIS og Datafordeleren - it-rådet til Akt nr. 177 er dette et eksternt dokument, som ligger offentligt tilgængeligt. Du har af flere omgange oplyst, at: 

"[...] H1 anmoder ikke om aktindsigt i offentliggjorte oplysninger[...]", 

Udviklings- og Forenklingsstyrelsen henviser derfor til Styrelsen for Dataforsyning og Infrastrukturs hjemmeside (sdfi.dk) for indblik i Bilag 3 - Mapning mellem OIS og Datafordeleren - it-rådet. 

Udviklings- og Forenklingsstyrelsen har vurderet, at der er grundlag for at undtage enkelte oplysninger i de øvrige dokumenter. Begrundelsen for disse undtagelser fremgår nedenfor. 

Bilag 15, 16 og 17
Det er Udviklings- og Forenklingsstyrelsens vurdering, at der er grundlag for undtagelse af visse oplysninger i bilag 15, 16 og 17 af hensyn til det offentliges økonomiske interesser, herunder udførelsen af det offentliges forretningsvirksomhed, jf. § 33, nr. 3 i offentlighedsloven. Se begrundelsen nedenfor. 

Det offentliges økonomiske interesser
Oplysningerne vedrører det estimerede samlede forbrug for ICE-programmet, forbruget på specifikke områder, samt oplysninger om den økonomiske udvikling. Derudover indgår der også oplysninger om risikopuljen for programmet. Det er Udviklings-og Forenklingsstyrelsen vurdering, at det er af væsentlig betydning for styrelsens forhandlingsposition, at disse oplysninger undtages fra aktindsigt, da fremtidige leverandører ellers vil kunne spekulere i prisfastsættelse baseret på styrelsens budgetterede ramme. 

Udviklings- og Forenklingsstyrelsen undtager derfor disse oplysninger fra aktindsigt, jf. offentlighedslovens § 33, nr. 3. Udviklings- og Forenklingsstyrelsen har - i overensstemmelse med offentlighedslovens § 34 - meddelt aktindsigt i de oplysninger, hvor de hensyn, der er nævnt i lovens § 33, nr. 3 - ikke gør sig gældende. 

It-sikkerhed
Offentlighedslovens § 31 fastsætter, at retten til aktindsigt kan begrænses i det omfang, det er af væsentlig betydning for statens sikkerhed eller rigets forsvar. Det følger desuden af Folketingets Ombudsmands praksis, at bestemmelsen giver mulighed for at undtage oplysninger af hensynet til beskyttelse af et ministeriums it-sikkerhed. 

For at oplysninger om it-systemer kan undtages, kræver det, at der er tale om konkrete oplysninger vedrørende f.eks. systemets "tekniske og sikkerhedsmæssige indretninger og procedurerne heromkring" eller "specifikke tekniske indretninger og sikkerhedsmæssige procedurer". 

Det er Udviklings- og Forenklingsstyrelsens vurdering, at der indgår oplysninger af denne karakter i de tre dokumenter. I de tre dokumenter indgår der oplysninger om risikopuljens størrelse som bør undtages, eftersom oplysninger om Skatteministeriets risiko-økonomi kan anvendes af fjendtlige aktører til at sætte niveauet for f.eks. et ransomware angreb og gøre ejendomsvurderingsløsningen attraktiv for en fjendtlig aktør. Oplysninger af denne karakter undtages derfor i: 

- Bilag nr. 15 side 2
- Bilag nr. 16 side 6
- Bilag nr. 17 side 3 

Af bilag nr. 16 på side 6 fremgår desuden oplysninger om ikke-offentliggjorte kontaktoplysninger, som undtages eftersom Udviklings- og Forenklingsstyrelsen vurderer, at oplysningerne vil kunne anvendes af fjendtlige aktører til f.eks. phishing angreb. 

Det er derfor Udviklings- og Forenklingsstyrelsens vurdering, at de nævnte oplysninger bør undtages, eftersom fortroligheden er af væsentlig betydning for statens sikkerhed, jf. § 31 i offentlighedsloven. 

Akt nr. 79, 80 og 81
Dokumenterne udgør tekniske rapporter fra 2019, som skal betragtes som eksterne i offentlighedslovens forstand. Udviklings- og Forenklingsstyrelsen anser dokumenterne som bidrag til en intern kvalitetssikring og review af Udviklings- og Forenklingsstyrelsens model set-up med henblik på yderligere forbedring af dette på daværende tidspunkt. Det er Udviklings- og Forenklingsstyrelsens vurdering, at visse oplysninger bør undtages fra aktindsigt af hensyn til statens it-sikkerhed, jf. § 31 i offentlighedslovens. Se begrundelsen nedenfor. 

It-sikkerhed
Udviklings- og Forenklingsstyrelsen vurderer, at der i akt nr. 79, 80 og 81 ligeledes findes oplysninger, der bør undtages af hensyn til statens it-sikkerhed, jf. § 31 i offentlighedsloven. 

Udviklings- og Forenklingsstyrelsen vurderer, at oplysninger om fysisk placering af reference/links/filer/dokumenter/infrastruktur i akterne vil give fjendtlige aktører mulighed for præcist at angribe de systemer, hvor disse er gemt, hvilket øger sandsynligheden for, at systemet kan angribes. Når en ondsindet aktør kender placeringen, er det lettere at forstå og gennemføre et angreb. Med specifik viden om placering af reference/links/filer/dokumenter/infrastruktur kan en fjendtlig aktør nemmere finde og angribe disse. Udviklings- og Forenklingsstyrelsen undtager oplysninger af denne karakter i følgende akter: 

- Akt nr. 79: side 1, 2 tabel 1, og 15.
- Akt nr. 80: side 1, Side 4 afsnit 1, Side 5, 6 afsnit 1, Side 8 tabel 1, Side 11 afsnit 1, billede, Side 15 tabel, Side 19 tabel 1.
- Akt nr. 81: side 1, 2, 3, 5, 7, 8, 14, 16, 17, 19, 20, 22, 23. 

Udover oplysninger som før nævnt findes der også referencer til fysiske databaser/ modeller/tabeller/kolonner/indhold. Oplysninger som disse kan misbruges af ondsindede aktører til opnå uberettiget adgang til systemer og data. Det er således Udviklings-og Forenklingsstyrelsens vurdering, at en undtagelse af disse oplysninger er af væsentlig betydning for it-sikkerheden i systemet. Udviklings- og Forenklingsstyrelsen undtager oplysninger af denne karakter i følgende akter: 

- Akt nr. 79: side 2, tabel 2, side 3, 4, 5, Side 19, 20, 21, 24, 25, 26.
- Akt nr. 80: side 3, 4 tabel, Side 6 tabel, Side 7, 8 tabel 2, side 8 nederst, Siden 11 nederst, Side 12 afsnit 1 + tabel, Side 13 billede, Side 14 billede + afsnit, 16, 17, 18, Side 19 tabel 2 + afsnit nederst, Side 20, 21, 22, 23,24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52. 

Udviklings- og Forenklingsstyrelsen har lagt vægt på, at Skatteforvaltningen varetager kritiske samfundsopgaver, der skaber fundamentet for finansieringen af den offentlige sektor, og at et angreb på systemet vil udgøre en fare for statens it-sikkerhed. 

Meroffentlighed
Udviklings- og Forenklingsstyrelsen har vurderet, hvorvidt der kan gives yderligere aktindsigt i oplysningerne i dokumenterne. Udviklings- og Forenklingsstyrelsen kan ikke meddele dig meraktindsigt, jf. offentlighedslovens § 14, stk. 1, da oplysningerne, som undtages efter § 33 nr. 3 i offentlighedsloven, er omfattet af tavshedspligten, jf. forvaltningslovens § 27 stk. 4 nr. nr. 3. Udviklings- og Forenklingsstyrelsen kan ej heller meddele dig meraktindsigt i oplysningerne undtaget efter bestemmelsen § 31 i offentlighedsloven, da oplysningerne ligeledes er omfattet af tavshedspligten, jf. forvaltningslovens § 27 stk. 2."

Udtalelse fra Udviklings- og Forenklingsstyrelsen
I forbindelse med Skatteankestyrelsens klagesagsbehandling har Udviklings- og Forenklingsstyrelsen den 11. september 2024 udtalt følgende: 

"Det bemærkes for god ordens skyld, at H1 også anmoder om, at Skatteankestyrelsen undersøger, hvorvidt der er tale om en "unødvendig restriktiv praksis, hvor enhver mulighed for undtagelse bliver vendt og drejet", som betyder, at offentligheden ikke kan få svar. Dette spørgsmål er allerede under behandling hos Udviklings- og Forenklingsstyrelsen, og det lægges til grund, at spørgsmålet ikke indgår i klagesagsbehandlingen hos Skatteankestyrelsen. 

…

Udviklings- og Forenklingsstyrelsen fastholder delafgørelsen truffet den 23. august 2024, som vedrører delvis aktindsigt i følgende 6 dokumenter: 

- Bilag 15
- Bilag 16
- Bilag 17
- Akt nr. 79
- Akt nr. 80
- Akt nr. 81 

Det er overordnet Udviklings- og Forenklingsstyrelsens vurdering, at der er grundlag for undtagelse af oplysninger af hensyn til det offentliges økonomiske interesser, herunder udførelsen af det offentliges forretningsvirksomhed, jf. § 33, nr. 3 i offentlighedsloven.
Det er desuden Udviklings- og Forenklingsstyrelsens overordnede vurdering, at der indgår oplysninger i dokumenterne, som bør undtages fra aktindsigt af hensyn til statens it-sikkerhed, jf. § 31. Der redegøres nærmere for undtagelserne i de følgende afsnit. 

Udviklings- og Forenklingsstyrelsen vedlægger de udleverede dokumenter til Skatteankestyrelsens behandling, i ikke-anonymiseret version, dokumenterne vedlægges som fortroligt i bilag 29. 

5.1 Begrundelse for undtagelse af oplysninger om it-sikkerheden
5.1.1. Kontaktoplysninger, lokationer og risikopulje
Udviklings- og Forenklingsstyrelsen fastholder, at oplysningerne om ikke-offentliggjorte kontaktoplysninger, jf. side 6 i bilag 16, bør undtages, eftersom fortroligheden er af væsentlig betydning for statens sikkerhed, jf. § 31 i offentlighedsloven. Udviklings- og Forenklingsstyrelsen vurderer, at oplysningerne vil kunne anvendes af fjendtlige aktører til f.eks. phishing-angreb. 

Det er videre Udviklings- og Forenklingsstyrelsens vurdering, at visse oplysninger i akterne 79, 80 og 81, bør undtages fra aktindsigt af hensyn til statens it-sikkerhed, jf. § 31 i offentlighedslovens. 

Udviklings- og Forenklingsstyrelsen vurderer, at oplysninger om fysisk placering af reference/links/filer/dokumenter/infrastruktur i akterne vil give fjendtlige aktører mulighed for præcist at angribe de systemer, hvor disse er gemt, hvilket øger sandsynligheden for, at systemet kan angribes. Når en ondsindet aktør kender placeringen, er det lettere at forstå og gennemføre et angreb. Med specifik viden om placering af reference/links/filer/dokumenter/infrastruktur kan en fjendtlig aktør nemmere finde og angribe disse. Udviklings- og Forenklingsstyrelsen har derfor undtaget oplysninger af denne karakter i følgende akter: 

- Akt nr. 79: side 1, 2 tabel 1, og 15.
- Akt nr. 80: side 1, Side 4 afsnit 1, Side 5, 6 afsnit 1, Side 8 tabel 1, side 11 afsnit 1, billede, Side 15 tabel, Side 19 tabel 1.
- Akt nr. 81: side 1, 2, 3, 5, 7, 8, 14, 16, 17, 19, 20, 22, 23. 

Udover oplysninger som før nævnt, findes der også referencer til fysiske databaser/modeller/tabeller/kolonner/indhold. Oplysninger som disse kan misbruges af ondsindede aktører til opnå uberettiget adgang til systemer og data. Det er således Udviklings- og Forenklingsstyrelsens vurdering, at en undtagelse af disse oplysninger er af væsentlig betydning for it-sikkerheden i systemet. Udviklings- og Forenklingsstyrelsen har undtaget oplysninger af denne karakter i følgende akter: 

- Akt nr. 79: side 2, tabel 2, side 3, 4, 5, Side 19, 20, 21, 24, 25, 26.
- Akt nr. 80: side 3, 4 tabel, Side 6 tabel, Side 7, 8 tabel 2, side 8 nederst, siden 11 nederst, Side 12 afsnit 1 + tabel, Side 13 billede, Side 14 billede + afsnit, 16, 17, 18, Side 19 tabel 2 + afsnit nederst, Side 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46,47, 48, 49, 50, 51, 52. 

Udviklings- og Forenklingsstyrelsen har desuden undtaget visse oplysninger om risikopuljen i ICE-programmet i medfør af § 31 i offentlighedsloven. Oplysningerne fremkommer i: 

- Bilag nr. 15 side 2
- Bilag nr. 16 side 6
- Bilag nr. 17 side 3 

Oplysningerne omhandler størrelsen på risikopuljen for ICE-programmet, og undtages, eftersom oplysninger om Skatteministeriets risiko-økonomi kan anvendes af fjendtlige aktører til at sætte niveauet for f.eks. et ransomware angreb og gøre ejendomsvurderingsløsningen attraktiv for en fjendtlig aktør. 

5.1.2. Parametre og variabler
Det fremgår af offentlighedslovens § 31, at retten til aktindsigt kan begrænses i det omfang, det er af væsentlig betydning for statens sikkerhed eller rigets forsvar. Det fremgår af lovbemærkningerne til bestemmelsen, at oplysninger kan undtages fra retten til aktindsigt f.eks. af hensyn til beskyttelse af statsministerens personlige sikkerhed, til beskyttelse af udsendt ambassadepersonales sikkerhed, beskyttelse af operationssikkerhed for udsendte militære styrker eller beskyttelse af et ministeriums it-sikkerhed. 

H1 ønsker med klagen af den 2. september 2024 afklaret, hvordan parametre og variable, der indgår i ejendomsvurderingssystemet, kan undtages med henvisning til statens it-sikkerhed. 

Hertil bemærker Udviklings- og Forenklingsstyrelsen at de parametre og variabler der refereres til i dokumenterne, f.eks. i akt. nr. 79 side 2-5, samt side 20-21, udgør feltnavne i tabeller/eller variable navne i kode. Disse oplysninger kan benyttes af udenforstående ondsindede aktører til over længere tid at skabe tillid fra interne medarbejder ved anvendelse af intern terminologi. Derudover kan disse oplysninger benyttes til at fremsøge information, hvis man har skaffet sig adgang til infrastrukturen. 

Trods dokumenternes alder er oplysningerne og terminologien i dokumenterne stadig aktuel, og vil kunne bruges til at kortlægge it-systemerne, med henblik på at skaffe sig uberettiget adgang til systemet med ondsindet formål. Udviklings- og Forenklingsstyrelsen har lagt vægt på, at Skatteforvaltningen varetager kritiske samfundsopgaver, der skaber fundamentet for finansieringen af den offentlige sektor, og at et angreb på systemet vil udgøre en fare for statens it-sikkerhed, såfremt de udleveres. 

5.1.3 Begrundelsespligten ved undtagelse af oplysninger om it-sikkerheden
Hvad angår H1s henvisning til Kammeradvokatens vejledning, hvoraf det følger, at det ikke er tilstrækkeligt at henvise til § 31 kan det oplyses, at følgende fremgår af Betænkningen om offentlighedsloven (betænkning 1510/2009), kapitel 17, afsnit 5.4: 

"Det er på den baggrund kommissionens opfattelse, at den blotte henvisning til, at oplysningerne vedrører statens sikkerhed eller rigets forsvar som udgangspunkt ikke er tilstrækkelig til at opfylde det almindelige begrundelseskrav i forvaltningslovens § 24. Det må således i almindelighed kræves, at den pågældende forvaltningsmyndighed i begrundelsen for et eventuelt afslag på aktindsigt efter lovudkastets § 31 foretage en vis angivelse af de involverede interessers karakter. Myndigheden kan god undlade at foretage en sådan angivelse, hvis det vil medføre en prisgivelse af de beskyttelsesinteresser der søges beskyttet i det enkelte tilfælde." (egen fremhævning) 

Udviklings- og Forenklingsstyrelsen har i ovenstående begrundet konkret, hvorfor der foretages undtagelser med hjemmel i offentlighedslovens § 31. På samme vis har Udviklings- og Forenklingsstyrelsen anført, hvilke konkrete risici der er forbundet med udleveringen af oplysningerne. Udviklings- og Forenklingsstyrelsen har i udtalelsen forsøgt at konkretisere forholdene på et sådant niveau, at det ikke samtidig vil være en prisgivelse af de beskyttelsesinteresser, der søges beskyttet i det enkelte tilfælde. 

Afsluttende bemærkes det, at det er Udviklings- og Forenklingsstyrelsens vurdering, at oplysningerne i bilag nr. 15-17 desuden kan undtages ud fra hensynet til det offentliges økonomiske interesser, jf. § 33 nr. 3, hvilket Udviklings- og Forenklingsstyrelsen begrunder nedenfor i afsnit 5.2. 

5.2 Begrundelse for undtagelse af oplysninger om økonomien i ICE-programmet
5.2.1. Overordnede bemærkninger
Udviklings- og Forenklingsstyrelsen fastholder behovet for at undtage oplysninger om økonomien i ICE-programmet af hensyn til det offentliges økonomiske interesser, herunder udførelsen af det offentliges forretningsvirksomhed, jf. § 33 nr. 3 i offentlighedsloven. 

Udviklings- og Forenklingsstyrelsen har derfor undtaget oplysninger af denne karakter i bilag 15, 16 og 17. Oplysningerne vedrører det estimerede samlede forbrug for ICE-programmet, forbruget på specifikke områder, samt oplysninger om den økonomiske udvikling. Derudover indgår der også oplysninger om risikopuljen for programmet. 

Undtagelserne af hensyn til det offentliges økonomiske interesser fremgår i;
- Bilag nr. 15 side 2
- Bilag nr. 16 side 5 og 6 (kontaktoplysningerne nederst på side 6 undtages dog aht. statens it-sikkerhed)
- Bilag nr. 17 side 2 og 3 

5.2.2. Det juridiske grundlag for undtagelserne
H1 henviser i klagen af 2. september 2024, jf. bilag 1, til brev fra Folketingets Ombudsmand til Økonomistyrelsen, hvor det angives, at ved undtagelse efter § 33 nr. 3, skal der foreligge én eller flere konkrete (eksisterende) - eller forventede - forhandlingssituationer. 

Udviklings- og Forenklingsstyrelsen skal i denne forbindelse henvise til forarbejderne til den dagældende § 13, nr. 5 (som er enslydende med § 33, nr. 3), hvoraf det fremgår, at § 33, nr. 3 har til formål at, varetage hensynet til det offentliges mulighed for at indgå kontrakter på lige vilkår med private erhvervsdrivende virksomheder. 

Det er Udviklings- og Forenklingsstyrelsens vurdering, at en undtagelse af oplysningerne om økonomien i ICE-programmet er nødvendig, med henblik på at opretholde styrelsens mulighed for at kunne indgå kontrakter på lige vilkår med erhvervsdrivende virksomheder. 

Folketingets Ombudsmand (FOB 2015-44) har udtalt, at: "[…] det er en betingelse for at undtage oplysninger efter bestemmelsen, at der er en nærliggende fare for, at de pågældende interesser vil lide skade. Det er også en betingelse, at forvaltningsmyndigheden nærmere konkretiserer de forhold, der medfører, at der foreligger et sådant hensyn til det offentliges økonomiske interesser, at de omhandlede oplysninger er undtaget fra aktindsigt." 

FOB udtaler ligeledes i FOB 2015-44 at bestemmelsen, efter en konkret vurdering vil kunne bruges i situationer, hvor der er tale om en fremtidig forhandlingsposition. 

5.2.3. Om de konkrete forhandlingssituationer
Oplysningerne i bilag 15, 16 og 17 vedrører det estimerede samlede forbrug for ICEprogrammet, forbruget på specifikke områder, samt oplysninger om den økonomiske udvikling. Derudover indgår der også oplysninger om risikopuljen for programmet. 

Det er Udviklings-og Forenklingsstyrelsen vurdering, at det er af væsentlig betydning for styrelsens forhandlingsposition, at disse oplysninger undtages fra aktindsigt, da fremtidige leverandører ellers vil kunne spekulere i prisfastsættelse baseret på styrelsens budgetterede ramme. 

Uanset at der i udgangspunktet ikke er tale om allerede indledte forhandlingssituationer, er der alligevel tale om en bred række af konkrete forhandlingssituationer, der er blevet indledt i perioden siden afgørelsen om aktindsigt, og som med altovervejende sandsynlighed bliver indledt løbende over den kommende periode. Oplysningerne er med andre ord undtaget fra aktindsigt på grundlag af hensynet til det offentliges fremtidige forhandlingssituationer, jf. bl.a. FOB 2015-44. 

Udviklings- og Forenklingsstyrelsen oplyser at it-projektet ICE, der udvikler det nye ejendomsvurderingssystem, siden 2018 har været placeret i Udviklings- og Forenklingsstyrelsen. 

Der udvikles en samlet it-løsning bestående af en række forskellige komponenter (såsom bl.a. Vurderingsportalen, Ejendomme og Grunde (E&G), Salgsudsøgning m.fl.). 

Der er tale om et særdeles omfangsrigt arbejde, der varetages tværfagligt, herunder i vidt omfang af eksterne årsværk, som forudsætter understøttelse fra en række forskellige underliggende software-løsninger, og som er afhængigt af en række andre eksterne leverancer. En del af dette anskaffes ved indgåelse af kontrakter om bl.a. opgaveløsning indenfor kravstillelse, udvikling, test, arkitektur, sikkerhed, deployment, release management, programstyring m.fl. 

Kontrakterne indgås løbende, og er tidsbegrænsede og/eller på anden måde begrænset i den ydelse, der skal leveres, således at der løbende skal ske forlængelse/genforhandling, eller der skal indgås kontrakter med nye leverandører og/eller om nye leverancer. 

Aktuelt (og på tidspunktet hvor den påklagede afgørelse blev truffet) løber derfor en række aftaler med eksterne leverandører for it-udviklingen, herunder især systemtilpasninger, hvor der er en opmærksomhed ift. forhandlings- og forretningspositionen, som ikke er berammet til den resterende gennemførelsesfase for projektet. 

Der bliver derfor løbende gennemført yderligere udbud og/eller forhandlet om forlængelse af de eksisterende kontrakter - dette sker indenfor de økonomiske rammer, som de undtagne oplysninger vedrører. Når implementeringen af ejendomsvurderingssystemet er tilendebragt, vil der tages stilling til ophævelse af fortroligheden på aktstykkerne vedrørende projektets økonomi. 

Det skal i denne forbindelse understreges, at hensynet bag undtagelserne ikke vedrører den mere generelle fremtidige forhandlingssituation, men derimod de konkrete forventede forhandlingssituationer i regi af et nærmere afgrænset projekt (ICE) med faste rammer for projektets færdiggørelse og økonomi. Det bemærkes, at karakteren og omfanget af det udestående arbejde, aktuelt er kendt med en relativ stor grad af sikkerhed. 

De undtagne oplysninger indeholder information, der vil give fremtidige tilbudsgivere mv. et så detaljeret kendskab til projektets økonomi (herunder det resterende budget), at en udlevering vil afskære Udviklings- og Forenklingsstyrelsen fra at indgå i forhandlinger på lige vilkår med øvrige kontraktparter. 

Hermed kan skadesrisikoen ved udlevering af de undtagne oplysninger nærmere beskrives som risikoen for, at fremtidige tilbudsgivere vil benytte deres kendskab til projektets økonomiske rammer til at lægge et uforholdsmæssigt pres på styrelsen i en række konkrete, fremtidige forhandlingsmæssige sammenhænge. 

ICE-programmet har for nuværende konsulentbistand til at løse opgaver indenfor kravstillelse, juridisk compliance, udvikling, test/kvalitetssikring, deployment og en række øvrige opgaver, herunder releasestyring og programstyring. It-udviklingen forventes tilendebragt i 1. kvartal 2025, hvorfor programmet har ca. et halvt års it-udvikling tilbage, inden det forventes at være i fuld drift (hertil vil der dog forventeligt afsættes ressourcer til fejlrettelser og udvikling af eventuelle ændringsønsker). 

ICE-programmet indgår løbende i forhandlinger ift. nye kontrakter med eksterne leverandører på dele af den samlede leverance af it-funktionalitet. Der er aktuelt identificeret seks it-projekter, der forventes at blive gennemført inden for de kommende år. Dette er dog på et tidligt niveau, og dermed behæftet med væsentlig usikkerhed, hvorfor antallet af it-projekter kan variere i perioden. It-projekterne forventes ikke at være aktstykkebelagte. 

At udlevere oplysninger om ICE’s økonomi (herunder restbudgetter til it-udvikling og afsatte risikomidler) eller oplysninger, der kan bruges til at udregne eller sandsynliggøre, hvilken økonomisk ramme, der kan forhandles indenfor, vil potentielt svække Udviklings- og Forenklingsstyrelsens forhandlingsposition, idet leverandører vil kunne bruge oplysningerne til strategisk at forhandle med Udviklings- og Forenklingsstyrelsen i sin favør/prissætte den tilbudte bistand herefter. 

Hvad angår undtagelse af oplysninger om tidligere års økonomi kan Udviklings- og Forenklingsstyrelsen oplyse, at der i udgangspunktet ikke er undtaget oplysninger om tidligere års økonomi, men at de steder, hvor dette alligevel er sket, er det fordi, at disse oplysninger har karakter af priser, der direkte kan omregnes til 2024-priser, eller fordi 2024-budget/økonomi kan gennemskues grundet et gennem foregående år meget stabilt budget. 

5.3 Om meroffentlighed og den særlige interesse for massemedier
H1 har i sin klage henvist til, at pressen bør gives aktindsigt i videre omfang. Udviklings- og Forenklingsstyrelsen bemærker hertil, at der udelukkende er undtaget oplysninger på ord- og sætningsniveau, og at oplysningerne er undtaget efter § 31 og § 33 nr. 3 i offentlighedsloven. 

Bestemmelserne er enslydende med tavshedspligtsbestemmelsen i forvaltningsloven, henholdsvis § 27 stk. 2 og § 27 stk. 4 nr. 3, hvorfor Udviklings- og Forenklingsstyrelsen i delafgørelsen gjorde opmærksom på, at der ikke kunne gives aktindsigt i oplysningerne, med henvisning til meroffentligheds-princippet i offentlighedslovens § 14, stk. 1. 

Bestemmelsen forpligter styrelsen til at vurdere, hvorvidt der kan gives aktindsigt, i videre omfang end hvad der følger af reglerne i offentlighedsloven, medmindre anden lovgivning, herunder tavshedspligtsbestemmelser strider imod udlevering af oplysningerne. 

Det er således Udviklings- og Forenklingsstyrelsens vurdering, at det vil være i strid med tavshedspligten i forvaltningsloven at udlevere oplysningerne, hvorfor der ikke kan gives meroffentlighed i dokumenterne. 

Derudover har H1 anført, at de undtagne dokumenter skal vurderes efter § 26 i offentlighedsloven. I sammenhæng hertil henviser H1 til Niels Fenger (red.), Forvaltningsloven med kommentarer, 1. udgave (2018), side 431, som omhandler udtrækningen af ekstraheringspligten. Udviklings- og Forenklingsstyrelsen bemærker, at idet dokumenterne anses som eksterne, har Udviklings- og Forenklingsstyrelsen ikke fundet det relevant at foretage en vurdering efter offentlighedslovens § 26 eller § 28. 

5.4. Sammenfattende
Sammenfattende fastholder Udviklings- og Forenklingsstyrelsen således delafgørelsen af 23. august 2024, jf. bilag 2."

Klagerens opfattelse
Klageren har fremsat påstand om, at anmodningen om aktindsigt skal imødekommes fuldt ud. 

Til støtte for påstanden er bl.a. anført: 

"H1 mener, at sagen er principiel, idet helt grundlæggende oplysninger om et it-system, som har betydning for millioner af boligejere, lejere og erhvervsejendomsejere, hemmeligholdes bl.a. med argumenter om hensynet til statens sikkerhed og rigets forsvar. 

Hvordan kan parametre og variabler om test af modellen bag de nye ejendomsvurderinger eks. være oplysninger, der skal hemmeligholdes? Hvordan kan links, som findes i flere år gamle R1-rapporter om grundværdikurver, udgøre en angrebsflade, der skal beskyttes mod en ondsindet aktør?
H1 anmoder pba. ovenstående om, at Skatteankestyrelsen undersøger, hvorvidt der i kraft Udviklings- og Forenklingsstyrelsen afgørelse, der undtager faktuelle oplysninger, er tale har en "unødvendig restriktiv praksis, hvor enhver mulighed for undtagelse bliver vendt og drejet", som betyder, at offentligheden ikke kan få svar. 

Det er enormt vigtigt at slå fast, at offentlighed om enkelte myndigheders - herunder statens - foranstaltninger ikke kun kan bero på de oplysninger, som myndigheder af egen drift vælger at fremlægge gennem pressemeddelelser mv. 

Hensynet til hemmeligholdelse må ikke blive et generelt og ukonkret argument for at afskærme offentlighedens adgang til oplysninger om væsentlige processer i samfundet. 

Lukkethed i sager om aktindsigt betyder, at det er umuligt for offentligheden at kontrollere skattevæsnets arbejde. Manglende åbenhed risikerer at mindske offentlighedens tillid. 

Det er nødvendigt og væsentligt for offentligheden at kunne undersøge udviklingen af det nye ejendomsvurderingssystem.

Det er således i det foreliggende ikke tilstrækkeligt begrundet eller dokumenteret, hvordan hemmeligholdelse af akter og oplysninger i sagen kan forsvares med OFL § 31. 

Udokumenterede og generelle begrundelser er i den forbindelse ikke tilstrækkelige til at meddele afslag efter bestemmelsen jf. Folketingets Ombudsmands udtalelser i andre sager. Se herunder også Folketingets Ombudsmands spørgsmål til Økonomistyrelsen i vedhæftede sag. 

Offentlighed i forvaltningen betyder som nævnt ikke kun, at myndigheder af egen drift skal kommunikere sine resultater og målsætninger, men også at der skal gives aktindsigt i detaljerede oplysninger om en sag, så resten af samfundet har mulighed for at belyse de interne processer samt konsekvenser af en given sag. 

Dermed er der også et særligt hensyn til at skabe offentlighed omkring et system, som kommer til at påvirke millioner af menneskers liv og økonomi. Vidensdeling med offentligheden gennem indsigt i skatteforvaltningens arbejde vil kunne hjælpe skattevæsnet med at tilpasse og korrigere systemet for problemer, der eks. opstår. 

Viden om risici og sandsynligheder er vigtige for den demokratiske kontrol. 

Det fremgår af Kammeradvokatens vejledning om brug af bestemmelsen:
Det er en betingelse for, at retten til aktindsigt kan begrænses, at det er af væsentlig betydning for statens sikkerhed eller rigets forsvar. For at undtage oplysninger efter bestemmelsen i lovens § 31 er det altså ikke tilstrækkeligt, at du blot konstaterer, at oplysningerne vedrører statens sikkerhed eller rigets forsvar. 

Eksempelvis er ikke enhver oplysning om "våbenmæssige forhold" nødvendigvis en oplysning, som har betydning for rigets forsvar. Således vil oplysninger om, hvorvidt en dansk virksomhed eksporterer våben, efter omstændighederne kunne være en oplysning om rigets forsvar, men det behøver ikke at være det. 

Udtrykket "væsentlig betydning" skal forstås i overensstemmelse med den tavshedspligt, som gælder i forhold til oplysninger, der skal hemmeligholdes for at varetage væsentlige hensyn til statens sikkerhed og rigets forsvar i forvaltningslovens § 27, stk. 2, 1. pkt.
Kilde:
https://aktindsigtshaandbogen.dk/aktindsigt-trin-for-trin/undtagelser-fra-aktindsigt/undtagelse-af-oplysninger/statens-sikkerhed-eller-rigets-forsvar-31/?KeyListPageQuery=5404
Styrelsen har ikke nærmere godtgjort, hvad der i sagen udgør væsentlig betydning for statens sikkerhed. 

Styrelsen har alene og ukonkret anført it-sikkerhed, men bestemmelsen har ifølge Kammeradvokaten langt mere tungtvejende formål: 

Offentlighedslovens § 31 har f.eks. været anvendt i ombudsmandens udtalelser om aktindsigt i PET’s arbejdsmetoder, vurdering af terrortrussel, efterretningsmæssig risikovurdering samt advokaters identitet. 

Blandt andet har Folketingets Ombudsmand tidligere udtalt, at terrortrussel ikke kan begrunde afslag på aktindsigt i risikovirksomheder. Miljøstyrelsen og Miljøministeriet kunne ifølge ombudsmanden ikke give et generelt afslag på aktindsigt i oplysninger om såkaldte risikovirksomheder af hensyn til statens sikkerhed. 

Se J.nr. 2009-0872-101/LIA.
Generelt er det vigtigt at huske § 34 om delvis aktindsigt. Undtagelser af oplysninger gælder for bestemte oplysninger, og de øvrige oplysninger i et dokument skal udleveres. 

§ 28 handler om pligten til at trække ud (ekstrahere) oplysninger om en sags faktiske grundlag fra et internt dokument og udlevere disse oplysninger. H1 mener ikke, at det er sket i fornødent omfang.
Retten til oplysninger om sagens faktiske forhold (§ 28) må omfatte oplysninger.

Planen for ejendomsvurderingssystemet er offentliggjort, og derfor er interne faglige vurderinger, der udveksles under forberedelsen, omfattet af § 29, når de har en endelig form. Faglige vurderinger, der sendes fra et organ til et andet, må betragtes som endelige (det er ikke længere kladder, der rettes i og skrives på). De undtagne dokumenter skal desuden også vurderes efter lovens § 26, som omhandler dokumenter, der "alene" indeholder .... og "selvstændige" dokumenter om faktiske omstændigheder. 

Herunder fremgår det af Niels Fenger (red.), Forvaltningsloven med kommentarer, 1. udgave (2018), side 431: 

"Afgørende for, om en oplysning skal ekstraheres efter § 28, stk. 1, 1. pkt., er, om der er tale om egentlige faktuelle oplysninger eller andre oplysninger, der bidrager til at supplere sagens bevismæssige grundlag eller i øvrigt tilvejebringes for at skabe klarhed om hensyn til sagens faktiske grundlag. 

Omfattet af ekstraheringspligten er således bl.a. oplysninger om gjorte iagttagelser, jf. FOB 2011 4-2, og resultatet af foretagne målinger og undersøgelser." 

Og videre på side 432:
"Omfattet er også oplysninger om de metoder og forudsætninger, om en forvaltningsmyndighed har anvendt ved fastlæggelsen af de egentlige faktuelle oplysninger. Det samme gælder efter omstændighederne myndighedens egen vurderinger og bedømmelser af betydning for den administrative bevisoptagelse …" 

Se herunder Folketingets Ombudsmands hjemmeside: 

"Ombudsmanden lægger - som forudsat i forarbejderne - vægt på den funktion, oplysningerne har i sagen.
Selv om oplysninger ikke ligner fakta, kan de altså godt fungere som fakta. Det vil sige, at de er en del af grundlaget for myndighedernes stillingtagen. I den forbindelse vil ombudsmanden efter omstændighederne bl.a. slutte modsætningsvis fra lovbemærkningerne: Hvis oplysningerne adskiller sig fra den type af oplysninger, som lovbemærkningerne har defineret som ikke-ekstraheringspligtige, vil det kunne tale for, at de er ekstraheringspligtige. Endelig vil ombudsmanden vurdere ekstrahering i sammenhæng med reglerne om undtagelse af bl.a. interne dokumenter og ministerbetjeningsdokumenter. Hensynene bag disse regler er grundlæggende at sikre embedsværkets arbejdsvilkår og myndighedernes interne og politiske beslutningsproces. Hvis der er oplysninger i f.eks. et ministerbetjenings-dokument, hvor disse hensyn ikke gør sig gældende, kan det pege i retning af, at de er ekstraherings-pligtige. "
https://www.ombudsmanden.dk/findviden/fob-artikler/ekstrahering/

Se Folketingets Ombudsmands udtalelser:
"To sager fra 2020 handlede om denne problemstilling (FOB 2020-9 og FOB 2020-10). I begge sager mente ombudsmanden, at et ministerium havde givet en journalist et forkert billede af sin afgrænsning af aktindsigtsanmodningen. Journalisterne havde dermed fået indtryk af, at ministerierne havde aktindsigtsvurderet mere materiale, end det egentlig var tilfældet. En sådan ’skjult afgrænsning’ var ikke i orden, mente ombudsmanden. Myndighederne skal altså være loyale og åbne om, hvad der er tænkt og gjort. Men den gode start på aktindsigtssagen rækker videre end det - for ofte vil det også være klogt, at myndigheden og ansøgeren taler sammen og i fællesskab får afstemt, hvor ansøgerens interesse ligger."
https://www.ombudsmanden.dk/findviden/fob-artikler/saet_aktindsigtssagen_paa_rette_spor/ 

Det fremgår af Niels Fenger (red.), Forvaltningsloven med kommentarer, 1. udgave (2018), side 406: 

"Offentlighedslovens § 7, stk. 2, nr. 2, indebærer, at der tillige er aktindsigt i indførsler i journaler, registre og andre fortegnelser vedrørende den pågældende sags dokumenter, dvs. den del af journalregisteret, som vedrører den sag, der er anmodet om aktindsigt i. Myndigheden skal på eget initiativ meddele aktindsigt i en sådan aktliste samtidig med sagens øvrige dokumenter." I Erhvervsankenævnets kendelse om H1’s klage over Finanstilsynets afgørelse om aktindsigt af 24. maj 2022 udtaler landsdommer [Navn udeladt] på vegne af ankenævnet i afgørelse af den 13. december 2022, at " … der også skal gives aktindsigt i kontaktoplysninger på sagsbehandlere og oplysninger om repræsentanter for virksomheden og navnet på tidligere sagsbehandler." 

Herunder fastslår Erhvervsankenævnet i sin kendelse:
"I aktlisten skal der også gives aktindsigt i oplysninger om dokumentdato og navn på sagsbehandler."
H1 henholder sig til ovenstående samt til sin klage af 20. oktober 2022 over Vurderingsstyrelsens afgørelse om aktindsigt, hvori det i afgørelsen ikke nærmere er beskrevet, præcis hvilke oplysninger der er undtaget. 

Der er i sagen alene ekstraheret løse afsnit ud af e-mails, korrespondance og akter. Denne sag blev hjemvist til fornyet behandling. 

Den 20. december 2022 skriver Skatteankestyrelsen i sin afgørelse i sagen (vedhæftet):
"Skatteankestyrelsen har ved gennemgang af de omhandlede dokumenter konstateret, at de indeholder yderligere ekstraheringspligtige oplysninger, jf. ovenstående ombudsmandsudtalelse om forståelsen af § 28, stk. 1. Det gælder blandt andet beskrivelsen af løsninger i akt 12 på sagsnummer 22-0853714, overskrifter på afsnit der indeholder oplysninger som er udleveret, da overskrifterne har betydning for forståelsen af de udleverede oplysninger, f.eks. akt 11.2 på sagsnummer 22-0497876 og de tilhørende spørgsmål til udleverede svar, som har betydning for forståelsen af de udleverede oplysninger, f.eks. akt 9 på sagsnummer 22-0497876, akt 2 på sagsnummer 22-0358752 og akt 2 på sagsnummer 22-0853714. 

Derudover fremgår det af aktlisten, at der er udleveret ekstraheringspligtige oplysninger fra akt 7 på sagsnr. 22-0853714, men i det udleverede dokument med ekstraherede oplysninger fremgår ikke oplysninger med henvisning til denne akt." 

Hensynet til offentligheden bør i denne sag vægte højest, og H1 beder derfor på denne baggrund om fuld aktindsigt i de efterspurgte akter. 

De oplysninger, H1 anmoder om aktindsigt i, er den eneste mulighed for at kunne verificere sagens faktiske forhold og have den nødvendige præcision i dækningen af en sag, der har stor samfundsmæssig betydning. 

Praksis fra Den Europæiske Menneskerettighedsdomstol (EMD) fastsætter således, at Den Europæiske Menneskerettighedskonvention art. 10.1 medfører en pligt til at stille information til rådighed for pressen i sager af stor offentlig interesse. 

I sagen Magyar Helsinki Bizottsag mod Ungarn (18030/11) er denne gradvise udvikling i EMD's praksis forklaret, og i afsnit 147 er dette sammenfattet med, at betingelserne giver en “right to access".
Denne ret bestemmes ud fra fire kriterier:
1. The purpose of the information request (det saglige formål med forespørgslen)
2. The nature of the information request (offentlig interesse i sagen)
3. The role of the applicant (ansøgerens særlige rolle som presseaktør)
4. Ready and available information (at informationen findes og er tilgængelig)" 

Alle fire kriterier er fuldt ud opfyldt i H1s anmodning om aktindsigt. Formålet med aktindsigts-anmodningen er at kontrollere myndighedsudøvelse og oplyse offentligheden om sagens faktisk omstændigheder. Oplysningerne har en klar offentlig interesse. For det tredje har H1 en særlig samfundsmæssig rolle, som betyder, at det er legitimt at anmode om oplysningerne. For det fjerde er de ønskede oplysninger klare og tilgængelige. 

Den Europæiske Menneskerettighedsdomstol praksis er således klar ift., at informationer i sagen skal udleveres. 

H1 anmoder på den baggrund om fuld aktindsigt."

Klagerens bemærkninger til Udviklings- og Forenklingsstyrelsens udtalelse
Klageren har fremsat følgende bemærkninger til Udviklings- og Forenklingsstyrelsens udtalelse: 

"… 

Den 7. marts 2024 anmodede H1 om aktindsigt i en række dokumenter relateret til sag 2023-46. UFST har delvist imødekommet vores anmodning, men har undtaget flere oplysninger med henvisning til offentlighedslovens § 31 og § 33, nr. 3. Vi mener, at disse undtagelser er uberettigede og strider mod offentlighedens ret til indsigt og borgernes retssikkerhed. 

Det offentliges økonomiske interesser (§ 33, nr. 3):
•         UFST har undtaget oplysninger om det estimerede samlede forbrug for ICE-programmet, forbruget på specifikke områder, samt oplysninger om den økonomiske udvikling og risikopuljen. UFST hævder, at disse oplysninger kan skade deres forhandlingsposition.
•         H1 mener, at offentlighedens interesse i at kende til forvaltningens økonomiske dispositioner vejer tungere end de påståede økonomiske interesser. Offentlig adgang til disse oplysninger vil sikre gennemsigtighed og ansvarlighed i forvaltningen af offentlige midler.
•         Det er vigtigt for offentlighedens kontrol af projektets økonomi, at undtagelser af hensyn til offentlige myndigheders forhandlingsposition bliver begrænset til oplysninger, hvor fortrolighed er nødvendig for at beskytte væsentlige hensyn til forhandlingsposition. Økonomistyrelsen og UFST har ikke konkretiseret og sandsynliggjort en økonomisk tabsrisiko. Det er f.eks. væsentligt for offentligheden at få kendskab til, hvor meget der er betalt for indkøb af tjenester fra eksterne konsulenter. Oplysninger er afgørende for offentlighedens kontrol, og det er ikke sandsynliggjort, at offentlighed vil skade det offentliges muligheder for at opnå bedre tilbud fremover. Det er tværtimod sandsynligt, at offentlighed kan inspirere nye tilbudsgivere til billigere tilbud. 

Statens sikkerhed og rigets forsvar (§ 31):

•         UFST har undtaget oplysninger med henvisning til statens sikkerhed og it-sikkerhed. Dette inkluderer oplysninger om risikopuljens størrelse og tekniske detaljer om it-systemer.
•         H1 mener, at UFST's begrundelse er for generel og ikke tilstrækkeligt konkret. Offentlighedslovens § 31 kræver, at undtagelser skal være af væsentlig betydning for statens sikkerhed. UFST har ikke dokumenteret, hvordan de specifikke oplysninger udgør en reel trussel mod it-sikkerheden.
•         Det er væsentligt, at en så vægtig bestemmelse om beskyttelse som § 31 anvendes korrekt. Eksempelvis ses det af referat fra møde mellem repræsentanter for Folketingets Ombudsmand, Økonomistyrelsen og Udviklings- og Forenklingsstyrelsen den 4. april 2024, at UFST over for ombudsmanden tilkendegav, at oplysninger om en risikomatrix alligevel ikke kunne hemmeligholdes efter offentlighedslovens § 31, selvom styrelsen tidligere havde fastholdt dette beskyttelseshensyn.
•         Det er forkert, hvis myndigheder hemmeligholder oplysninger på et uhjemlet eller usagligt grundlag. Myndigheder bør ikke automatisk hemmeligholde oplysninger, men i stedet grundigt vurdere, om oplysninger trods muligheden for undtagelse har så stor relevans for offentligheden, at de bør udleveres. 

Gennemgang af undtagne oplysninger: 

Bilag 15, 16 og 17 

Oplysninger om risikopuljens størrelse 

•         Transparens og ansvarlighed: Offentligheden har ret til at kende til de økonomiske dispositioner og risici, som Skatteforvaltningen opererer med. Dette sikrer gennemsigtighed og ansvarlighed i forvaltningen af offentlige midler.
•         Ingen konkret trussel: UFST har ikke dokumenteret, hvordan offentliggørelse af risikopuljens størrelse konkret udgør en trussel mod statens sikkerhed. Uden en konkret og sandsynliggjort risiko bør oplysningerne ikke undtages.
•         Offentlighedens interesse: Offentligheden har en væsentlig interesse i at forstå, hvordan offentlige midler anvendes og hvilke risici, der er forbundet med store offentlige projekter. Dette er afgørende for demokratisk kontrol og tillid til myndighederne.
•         Økonomisk kontrol: Det er vigtigt for offentlighedens kontrol af projektets økonomi, at undtagelser af hensyn til offentlige myndigheders forhandlingsposition bliver begrænset til oplysninger, hvor fortrolighed er nødvendig for at beskytte væsentlige hensyn til forhandlingsposition. Økonomistyrelsen og UFST har ikke konkretiseret og sandsynliggjort en økonomisk tabsrisiko. Det er f.eks. væsentligt for offentligheden at få kendskab til, hvor meget der er betalt for indkøb af tjenester fra eksterne konsulenter. Oplysninger er afgørende for offentlighedens kontrol, og det er ikke sandsynliggjort, at offentlighed vil skade det offentliges muligheder for at opnå bedre tilbud fremover. Det er tværtimod sandsynligt, at offentlighed kan inspirere nye tilbudsgivere til billigere tilbud. 

Bilag nr. 16 

Oplysninger om ikke-offentliggjorte kontaktoplysninger 

•         Begrænset risiko: Risikoen for phishing-angreb kan minimeres ved at anvende generelle sikkerhedsforanstaltninger og uddannelse af medarbejdere. Offentliggørelse af kontaktoplysninger udgør ikke en væsentlig trussel, hvis der er passende sikkerhedsforanstaltninger på plads.
•         Offentlighedens ret til information: Offentligheden har ret til at kende til de personer og enheder, der er ansvarlige for offentlige projekter. Dette sikrer gennemsigtighed og ansvarlighed i forvaltningen.

Akt nr. 79, 80 og 81 

Oplysninger om fysisk placering af reference/links/filer/dokumenter/infrastruktur 

•         Ingen konkret trussel: UFST har ikke dokumenteret, hvordan offentliggørelse af disse oplysninger konkret udgør en trussel mod it-sikkerheden. Uden en konkret og sandsynliggjort risiko bør oplysningerne ikke undtages.
•         Offentlighedens interesse: Offentligheden har en væsentlig interesse i at forstå, hvordan offentlige it-systemer er opbygget og sikret. Dette er afgørende for demokratisk kontrol og tillid til myndighederne. 

Oplysninger om fysiske databaser/modeller/tabeller/kolonner/indhold 

•         Ingen konkret trussel: UFST har ikke dokumenteret, hvordan offentliggørelse af disse oplysninger konkret udgør en trussel mod it-sikkerheden. Uden en konkret og sandsynliggjort risiko bør oplysningerne ikke undtages.
•         Offentlighedens interesse: Offentligheden har en væsentlig interesse i at forstå, hvordan offentlige it-systemer er opbygget og sikret. Dette er afgørende for demokratisk kontrol og tillid til myndighederne. 

Generelle argumenter imod hemmeligholdelse

 •         Meroffentlighedsprincippet: Offentlighedslovens § 14, stk. 1, giver mulighed for meroffentlighed, hvor myndigheder kan give aktindsigt i videre omfang end krævet. UFST bør overveje meroffentlighed, da det vil styrke gennemsigtigheden og tilliden til myndighederne.
•         Transparens og ansvarlighed: Offentlighedens ret til indsigt i offentlige myndigheders arbejde er en grundlæggende forudsætning for et velfungerende demokrati. Det sikrer, at myndighederne kan holdes ansvarlige for deres handlinger og beslutninger. Ved at undtage oplysninger om det skærpede tilsyn, fratages borgerne muligheden for at forstå og vurdere de beslutninger, der træffes på ejendomsområdet.
•         Demokratisk kontrol: Offentlig adgang til oplysninger om offentlige projekter og it-systemer er afgørende for demokratisk kontrol og sikrer, at myndighederne kan holdes ansvarlige for deres handlinger og beslutninger.
•         Tillid til myndighederne: Åbenhed og gennemsigtighed er afgørende for at opretholde borgernes tillid til offentlige institutioner. Når oplysninger undtages, kan det skabe mistillid og spekulationer om, at der er noget at skjule.
•         Fair konkurrence: Offentlighed og aktindsigt ved offentlige forvaltningers udbud er afgørende for fair konkurrence mellem virksomheder og for den demokratiske kontrol med forvaltningers økonomiske dispositioner. Udbudsreglerne giver vigtige muligheder for aktindsigt f.eks. i tildelingskriterier og priser ved tilbud og kontrakter om bygge- og anlægsprojekter og indkøb af varer og tjenesteydelser. Journalister ved massemedier, der er omfattet af medieansvarsloven, har fortsat ret til aktindsigt i udbudssager efter ændringen af udbudsloven § 5 a."

Retsmøde
Udviklings- og Forenklingsstyrelsens udtalelse til Skatteankestyrelsens indstilling

Udviklings- og Forenklingsstyrelsen har udtalt følgende til Skatteankestyrelsens indstilling: 

"…

Udviklings- og Forenklingsstyrelsen traf afgørelse i sagen den 23. august 2024 og indgav efterfølgende udtalelse til Skatteankestyrelsen den 11. september 2024. 

Overordnet henvises til Udviklings- og Forenklingsstyrelsens udtalelse af den 11. september 2024, der i det væsentlige fastholdes. Dog bemærkes, at fsva. Oplysning om en konkret persons kontaktoplysninger, på side 6 i bilag nr. 16, kan styrelsen efter en fornyet vurdering tiltræde, at oplysningen kan udleveres. 

Nærværende udtalelse udgør for de øvrige undtagelser et supplement til Udviklings- og Forenklingsstyrelsens afgørelse af den 23. august 2024 og udtalelse til Skatteankestyrelsen den 11. september 2024 for så vidt angår spørgsmålet om undtagelse af oplysninger efter § 31 i offentlighedsloven, idet Skatteankestyrelsen indstiller til, at Udviklings- og Forenklingsstyrelsens undtagelse af oplysninger i sagen, efter § 33 nr. 3 i offentlighedslovens, stadfæstes. 

5. Udviklings- og Forenklingsstyrelsens supplerende udtalelse
5.1. Undtagelser af hensyn til statens økonomiske interesser
Udviklings- og Forenklingsstyrelsen tiltræder Skatteankestyrelsens indstilling om begrundelse fsva. de oplysninger, der er undtaget med henvisning til styrelsens økonomiske interesser, jf. § 33 nr. 3 i offentlighedsloven. 

5.2. Udviklings- og Forenklingsstyrelsens it-sikkerhedsmæssige vurdering
Overordnet skal Udviklings- og Forenklingsstyrelsen påpege, at styrelsen i delafgørelsen truffet den 23. august 2024 har lagt vægt på, at Skatteforvaltningen varetager kritiske samfundsopgaver med at skabe fundamentet for finansieringen af den offentlige sektor, og at denne opgave kræver opretholdelse af it-sikkerheden, således at data og systemer ikke ændres, beskadiges eller ødelægges. En kompromittering af it-systemerne kan medføre forkert opkrævning, som derved også kan underminere tilliden til skatteopkrævningen i Danmark. 

Udviklings- og Forenklingsstyrelsen har ved vurderingen ligeledes lagt vægt på, at Center for Cybersikkerhed (CFCS) i 2024 hævede trusselsvurderingen i forhold til destruktive cyberangreb fra lav til middel. Destruktive cyber-angreb kan ødelægge eller forandre informationer, data eller software, så det ikke kan anvendes uden væsentlig genopretning. I CFSC’s trusselsvurdering fra den 20. september 2024 vurderes det, at konflikten med Rusland øger sandsynligheden for denne type angreb, hvor målet særligt er kritisk infrastruktur, da dette mål vil kunne påvirke modstandskraften i forbindelse med en eskalerende konflikt med Rusland. 

Det er derfor Udviklings- og Forenklingsstyrelsens opfattelse, at det forhøjede trusselsbillede for cyberangreb mod kritisk infrastruktur i Danmark har betydning for væsentligheden i at beskytte oplysninger, som kan misbruges til at planlægge og udføre cyberangreb mod Skatteforvaltningens it-systemer. Der redegøres nærmere for de enkelte undtagelser aht. § 31 i de følgende afsnit. 

5.2.1. Kontaktoplysninger
Udviklings- og Forenklingsstyrelsen tiltræder, efter en fornyet gennemgang, Skatteankestyrelsens vurdering af, at der ikke ses at være væsentlige hensyn til statens itsikkerhed, jf. § 31 i offentlighedsloven, der begrunder undtagelse af oplysningen om en konkret persons kontaktoplysninger på side 6 i bilag nr. 16. Dette forhold ses derfor ikke længere at være relevant for Landsskatterettens behandling af sagen. 

5.2.2. Oplysninger om risikopuljens størrelse
Oplysninger om størrelsen på den afsatte risikopulje i ICE-programmet er undtaget efter § 33 nr. 3 (styrelsens økonomiske interesser) og § 31 (it-sikkerheden) i offentlighedsloven. 

Udviklings- og Forenklingsstyrelsen vurderer, at uagtet hensynet til styrelsens økonomiske interesser anses det ligeledes for væsentligt af hensyn til it-sikkerheden i Skatteministeriets koncern, at oplysningen om størrelsen på risikopuljen i ICE-programmet undtages fra aktindsigt. Styrelsen begrundede dette i afgørelsens af den 23. august 2024 med henvisning til, at oplysningerne om Skatteministeriets risiko-økonomi kan anvendes af it-kriminelle til at sætte niveauet for f.eks. et ransomware angreb og gøre ejendomsvurderingsløsningen attraktiv for en fjendtlig aktør. Oplysningerne fremgår af: 

• Bilag 15, side 2
• Bilag 16, side 6
• Bilag 17, side 3 

Skatteankestyrelsen bemærker i sin indstilling til Landsskatterettens afgørelse, at det fortsat er uklart, hvordan historiske budgetoplysninger kan anvendes til at sætte niveauet for f.eks. et ransomware angreb og at Udviklings- og Forenklingsstyrelsen ikke har godtgjort, at det er af væsentlig betydning for statens sikkerhed at undtage de nævnte oplysninger om risikopuljen. 

Udviklings- og Forenklingsstyrelsen bemærker hertil, at historiske værdier for hvad styrelsen har fastsat en given risikopulje til vil give indblik i, hvordan styrelsen laver denne vurdering, herunder også i fremtiden. Det er derfor styrelsens opfattelse, at der med undtagelsen af den angivende risikopulje for ICE-programmet samtidig undtages den afledte information heraf om, hvordan styrelsen fastsætter risikopuljer i programmer og projekter i Skatteforvaltningen. 

Det er derfor, efter Udviklings- og Forenklingsstyrelsens opfattelse, væsentlig at undtage oplysninger om risikopuljens størrelse, da den giver indblik i måden, vi udregner disse puljer på samt en ide om den forventelige størrelse af fremtidige og nutidige risikopuljer. Disse oplysninger kan udnyttes af it-kriminelle til at planlægge og udfører et ransomware angreb, som kan have store konsekvenser for Skatteforvaltningens it-systemer. 

5.2.3. Oplysninger om fysisk placering af reference/links/filer/dokumenter/infrastruktur
Skatteankestyrelsen har gjort Udviklings- og Forenklingsstyrelsen opmærksom på, at for så vidt angår de oplysninger om fysisk placering af referencer/links/filer/dokumenter/infrastruktur, som er undtaget fra aktindsigt, fremgår det ikke af Udviklings- og Forenklingsstyrelsens afgørelse eller udtalelse, hvorvidt oplysningerne om fysisk placering i modeltestene er de samme, som findes i de implementerede systemer. 

Det er Udviklings- og Forenklingsstyrelsens forståelse, at nævnets bemærkninger ses at bero på en formodning om, at testsystemerne afvikles efter man går i produktion. Det kan hertil oplyses, at dette ikke er tilfældet. Testsystemer bibeholdes så længe systemet er i produktion (dvs. efter systemet er færdigudviklet og taget i brug), og den fysiske placering ændres ikke i denne forbindelse. Supplerende kan det oplyses, at testsystemer generelt er mere sårbare end produktionssystemer, da antimalware (såsom antivirus, firewalls mv.) kan få afviklingen af tests til at fejle. Af denne årsag arbejdes der i testsystemer generelt med reduceret sikkerhedsniveau, da det er nødvendigt at deaktivere antimalware for at kunne køre tests. Dette er ikke specifikt for Udviklings- og Forenklingsstyrelsen, men gælder generelt for arbejde i testsystemer, hvorfor disse er særligt attraktive for fjendtlige aktører. 

Hertil bemærkes det af Skatteankestyrelsen, at en række af de undtagne oplysninger fremstår som navne på diverse systemer mv. og at dokumenterne ikke umildbart indeholder oplysninger om, hvor eller hvordan disse kan tilgås. Skatteankestyrelsen anser det derfor for uklart, hvordan oplysningerne kan bruges til at kortlægge it-systemerne med henblik på at skaffe sig uberettiget adgang til systemerne. 

Udviklings- og Forenklingsstyrelsen kan oplyse, at hvis der indsamles tilstrækkeligt mange oplysninger om systemnavne, kan dette give et samlet billede af, hvilke systemer, der er forbundet til hinanden - eksempelvis via datakanaler, der bruges til at overføre fildata fra system til system. Såfremt det lykkes for fjendtlige aktører at opnå uberettiget adgang via system A, vil dette samlede billede vise aktørerne, at system A har datakanaler til system B og C, men ikke system D, hvilket kan benyttes til at navigere i systemerne. Når fjendtlige aktører ikke har dette samlede billede, navigerer de i blinde, hvilket markant forøger sandsynligheden for, at de bliver opdaget inden de opnår deres mål med bruddet.

Ud fra sammenstillingshensynet er det derfor styrelsens vurdering, at oplysningerne udgør en sårbarhed og derfor skal undtages fra aktindsigt. Oplysningerne fremgår af: 

• Akt nr. 79: side 1, 2 tabel 1, og 15.
• Akt nr. 80: side 1, Side 4 afsnit 1, Side 5, 6 afsnit 1, Side 8 tabel 1, Side 11 afsnit 1, billede, Side 15 tabel, Side 19 tabel 1.
• Akt nr. 81: side 1, 2, 3, 5, 7, 8, 14, 16, 17, 19, 20, 22, 23. 

5.2.4. Oplysninger om fysiske databaser/modeller/tabeller/kolonner/indhold
Udviklings- og Forenklingsstyrelsen har undtaget oplysningerne om fysiske databaser modeller/tabeller/kolonner/indhold fra aktindsigt med henvisning til, at oplysninger som disse kan misbruges af ondsindede aktører til at opnå uberettiget adgang til systemer og data. Styrelsen anførte, i en udtalelse til Skatteankestyrelsen, at oplysningerne og terminologien i dokumenterne stadig er aktuel og vil kunne bruges til at kortlægge it-systemerne med henblik på at skaffe sig uberettiget adgang til systemerne. 

Dernæst blev det anført, at udlevering af feltnavne i tabeller eller variable navne i koder kan benyttes af udenforstående til over længere tid at skabe tillid fra interne medarbejdere ved anvendelse af intern terminologi. Skatteankestyrelsen har til dette bemærket, at den generelle risiko for, at udenforstående kan påvirke medarbejdere til at overtræde deres tavshedspligt, ikke ses at være tilstrækkeligt grundlag for at undtage oplysninger efter offentlighedslovens § 31. 

Udviklings- og Forenklingsstyrelsens udtalelse herom havde ikke til hensigt at anføre, at undtagelsen af oplysningerne var begrundet i risikoen for, at medarbejdere blev påvirket til (med vilje) at overtræde deres tavshedspligt, men at der er tale om en type af oplysninger, der ved en sammenstilling med lignende oplysninger kan give modtageren mulighed for f.eks at udarbejde troværdige spear-phishingmails og dermed omgå de sikkerhedsforanstaltninger, der er implementeret for at sikre, at vores medarbejdere kan spotte phishingmails. 

Den reelle risiko angår ikke brud på tavshedspligten, men at denne type oplysninger kan udnyttes, hvis cyberkriminelle kan udarbejde spear-phishingmails, som tager udgangspunkt i intern terminologi, som øger risikoen for, at modtageren klikker på et link i mailen, som kan føre til, at malware - herunder eksempelvis spyware - kan installere sig selv på modtagerens PC for derefter at camouflere sig som standardsystemsoftware, så modtageren ikke får nogen viden om, at PC’en er kompromitteret. 

Oplysninger af denne karakter, fremgår af: 

• Akt nr. 79: side 2, tabel 2, side 3, 4, 5, Side 19, 20, 21, 24, 25, 26.
• Akt nr. 80: side 3, 4 tabel, Side 6 tabel, Side 7, 8 tabel 2, side 8 nederst, Siden 11 nederst, Side 12 afsnit 1 + tabel, Side 13 billede, Side 14 billede + afsnit, 16, 17, 18, Side 19 tabel 2 + afsnit nederst, Side 20, 21, 22, 23,24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52. 

5.3. Sammenfattende
Sammenfattende fastholder Udviklings- og Forenklingsstyrelsen således sin oprindelige udtalelse med undtagelse af oplysningerne om en persons kontakt oplysninger på side 6 i bilag 16, der kan udleveres. 

Styrelsen fastholder bl.a. undtagelsen af oplysninger om størrelsen på risikopuljen og lokationsoplysninger, som styrelsen mener er af væsentlig betydning for Skatteforvaltningens it-sikkerhed, jf. styrelsens delafgørelse af 23 august 2024. 

Udviklings- og Forenklingsstyrelsen har ved vurderingen lagt vægt på det forhøjede trusselsniveau for destruktive cyberangreb, som navnlig målrettes kritisk infrastruktur. Skatteforvaltningens systemportefølje, herunder i særdeleshed ejendomsvurderingsløsningen, er væsentlig for finansieringen af det danske velfærdssamfund og dermed også for opretholdelsen af kritiske samfundsmæssige aktiviteter. Derved er det styrelsens vurdering, at oplysninger, som vurderes at kunne misbruges af it-kriminelle, i dette tilfælde er af væsentlig betydning for it-sikkerheden i Skatteministeriets koncern, jf. § 31 i offentlighedsloven." 

Klagerens bemærkninger til Skatteankestyrelsens indstilling og Udviklings- og Forenklingsstyrelsens udtalelse hertil
Klageren har fremsat følgende bemærkninger til Skatteankestyrelsens indstilling og Udviklings- og Forenklingsstyrelsens udtalelse hertil: 

"1. Generelle bemærkninger 

Indledningsvist bemærker H1, at stor opmærksomhed om en sag, der i dette tilfælde berører millioner af mennesker, altid bør anspore myndigheder til at prioritere at give offentligheden rettidige og fyldestgørende svar. 

Folketingets Ombudsmand udtaler bl.a. i FOB 2024-10: "Det er et fundamentalt led i offentlige forvaltningsmyndigheders virksomhed, at den bør tilrettelægges og udøves på en måde, der i videst muligt omfang understøtter offentlig tillid." 

H1 har igennem længere tid forsøgt at belyse en række sager, som blandt andet er udsprunget af, at almindelige borgere, lovgivere, eksperter og virksomheder rundt om i Danmark kontakter os med deres oplevelser og betragtninger. 

Det står myndigheder frit for, hvordan de vælger at besvare offentlighedens spørgsmål. Aktindsigt er imidlertid en lovsikret rettighed, som formaliserer offentlighedens krav om at kunne få rettidig information fra en myndighed gennem en række frister og bestemmelser, som altså skulle sikre den enkeltes herunder mediernes ret til information.
Retten til aktindsigt og princippet om offentlighed har derfor en direkte tilknytning til mediernes udvidede informations- og ytringsfrihed og rolle som "Public Watch Dog", som Den Europæiske Menneskerettighedsdomstol har fastslået i den ledende dom "Bladet Tromsø og Stensaas mod Norge sag nr. 21980/93". Det er mediernes fornemmeste opgave at sikre borgernes informationsfrihed, så de kan deltage i samfundet og aktuelle debatter af offentlig interesse - og det er helt afgørende for demokratiet. Formålet med retten til aktindsigt er således, at offentligheden skal have mulighed for at følge med i og kontrollere myndigheders sagsbehandling for at skabe åbenhed om denne, og medierne spiller en afgørende rolle ved at føre kontrol med magthaverne og sikre borgerne information herom. Dette sker af hensyn til den demokratiske kontrol. 

2. Formålet med den konkrete anmodning om aktindsigt og supplerende bemærkninger til afgørelsen 

H1 har specifikt anmodet Skatteankestyrelsen om at undersøge, om der i Skatteforvaltningen findes en "unødvendig restriktiv praksis, hvor enhver mulighed for undtagelse bliver vendt og drejet", som betyder, at offentligheden ikke kan få svar. 

Udviklings- og Forenklingsstyrelsen (UFST) har den 7. april 2025 sendt en skriftlig kommentar. I skrivelsen drejer UFST sagen væk fra den påståede restriktive praksis og fokuserer i stedet på sags- og dokumentmængder. 

Dette er utilstrækkeligt og understreger behovet for, at Landsskatteretten nu træffer en afgørelse om UFST's praksis. Offentlighedsloven skal sikre åbenhed, og hemmeligholdelse bør kun anvendes undtagelsesvis. 

UFST's svar fokuserer primært på sagsbehandlingstiden og mængden af dokumenter, men undlader at forholde sig til den påståede restriktive praksis, som afgørelsen er udtryk for, hvor der tages udgangspunkt i undtagelse af alt, og hovedfokus derfor er at undersøge enhver mulighed for undtagelse. Dette er kernen i klagen og bør adresseres direkte. Offentlighedsloven er en minimumslov, hvor hemmeligholdelse er undtagelsen frem for reglen. UFST bør derfor arbejde ud fra princippet om størst mulig åbenhed og ikke søge undtagelser som standardpraksis. UFST's svar nævner ikke, hvordan de sikrer, at hemmeligholdelse kun anvendes undtagelsesvis. 

UFST argumenterer for, at den lange sagsbehandlingstid skyldes et stort antal dokumenter og komplekse juridiske problemstillinger. Dette kan dog ikke retfærdiggøre en praksis, hvor undtagelser systematisk søges. Offentlighedsloven kræver, at anmodninger behandles inden for rimelig tid uanset omfanget. Det fremgår netop af forarbejderne til offentlighedsloven, at lovens sagsbehandlingsfrist skal ses i sammenhæng med, at en hurtig sagsbehandling og afgørelse af aktindsigtsanmodninger er en væsentlig forudsætning for, at medierne kan informere offentligheden om aktuelle sager, ligesom der er risiko for, at lang sagsbehandlingstid medvirker, at de oplysninger, som medierne får udleveret, er uaktuelle, og dermed umuliggør, at medierne kan udføre sin rolle som "Public Watch Dog" som nævnt ovenfor. Parterne kan heller ikke varetage deres interesser, når langvarig sagsbehandling efterlader parterne i uvished over tidshorisonten. 

Sagen er allerede blevet hjemvist en gang, hvilket indikerer, at der tidligere har været problemer med UFST's praksis. Dette bør tages i betragtning, og det bør undersøges, om UFST har ændret praksis tilstrækkeligt siden da. Sagen er nemlig langt fra den eneste, hvor skattemyndighederne har truffet en afgørelse, der senere underkendes. 

Et udtræk udleveret til H1 af Skatteankestyrelsen, som opstiller samtlige udfald af H1s klagesager hos Skatteforvaltningen i perioden marts 2022 og indtil august 2024, viser generelt en overvægt af sager, hvor udfaldet er hjemvisning, eller hvor sagsbehandlingstiden har været for lang. 

UFST bør derfor ikke fortsat kunne hemmeligholde oplysninger som en standardundtagelse, især ikke når det fører til unødvendige forsinkelser i sagsbehandlingen.

Den konkrete sag har været undervejs i tæt på halvandet år, hvorfor oplysninger i perioden uden rimelig grund er blevet tilbageholdt i sagen.
UFST skriver i sin kommentar af 7. april 2025:
"Udviklings- og Forenklingsstyrelsen skal indledningsvist beklage den lange sagsbehandlingstid siden efteråret 2023, som i særlig grad skyldes en stigende mediebevågenhed på Skatteforvaltningens udvikling af it-løsninger, herunder særligt ejendomsvurderinger, boligskatteområdet og anvendelse af Al-løsninger." 

Dette er dog ikke samstemmende med, at Udviklings- og Forenklingsstyrelsen allerede i efteråret 2022 havde for lang sagsbehandlingstid i sager om aktindsigt. Se eksempelvis vedhæftede afgørelse fra Skatteankestyrelsen i sag 22-0078670. 

Set fra offentlighedens side er det en klar forudsætning for tilliden til de offentlige myndigheder, at Skatteforvaltningen delagtiggør offentligheden i oplysninger om et it-system, som ejere af flere end 2,2 millioner ejendomme skal gøre brug af. 

Offentlighed om indretninger og udfordringer vil modsat hemmeligholdelse kunne styrke vurderingssystemet, idet ejerne bedre vil have en chance for at kunne gennemskue og nå at opdage fejl inden for de frister, som borgere er underlagt i det nye system. Vidensdeling med offentligheden gennem indsigt i skatteforvaltningens arbejde vil også kunne hjælpe Skatteforvaltningen med at tilpasse og korrigere systemer for problemer, der eksempelvis kan opstå ifm. kommende udsendelser. 

H1 mener derfor, at sagen er principiel, og at Landsskatteretten også bør forholde sig til den generelle praksis, som afgørelsen er udtryk for, set i lyset af overstående, herunder om denne er i strid med det forvaltningsretlige lighedsprincip, legalitetsprincippet, forbuddet mod skøn under regel og forvaltningslovens sagsbehandlingsregler. 

Det følger desuden af en række tidligere afgørelser fra Skatteankestyrelsen, at en ikke nærmere specificeret årsag som eks. behandling af "et betydeligt antal aktindsigtsanmodninger, som generelt har givet anledning til både principielle og komplekse juridiske problemstillinger" ikke kan være grundlag for en overskridelse af sagsbehandlingstiden. Som dokumentation for dette er tre tidligere afgørelser som eksempler vedhæftet og i uddrag gengivet herunder: 

Af 23-0005130:
"Uanset, at der efter det oplyste var modtaget ekstraordinært mange anmodninger om aktindsigt, og dette efter forarbejderne kan medføre, at det kan være berettiget at udsætte færdigbehandlingen ud over fristen på 7 dage, så har Vurderingsstyrelsen ifølge forarbejderne til offentlighedslovens § 36 pligt til at prioritere behandlingen af en aktindsigtssag. Dette ses ikke at være sket i fornødent omfang. Således som sagen er oplyst, har anmodningen i perioden fra modtagelsen i Vurderingsstyrelsen den 30. november 2022 til den 19. december 2022 (14 arbejdsdage), ikke været i proces. Dette er ligeledes medvirkende til, at Vurderingsstyrelsen efter Skatteankestyrelsens vurdering, ikke har prioriteret behandlingen af sagen tilstrækkeligt." 

Af 23-0004142
"Således som sagen er oplyst, har anmodningen i perioden fra første arbejdsdag efter konkretisering af anmodningen den 25. november 2022 og til den 19. december 2022 (16 arbejdsdage), ikke været i proces. Bl.a. blev sagen først videresendt den 30. november 2022, og henlå herefter uden at blive oprettet i Vurderingsstyrelsen til den 19. december 2022. Dette er ligeledes medvirkende til, at Vurderingsstyrelsen efter Skatteankestyrelsens vurdering, ikke har prioriteret behandlingen af sagen tilstrækkeligt. Skatteankestyrelsen kan herefter konstatere, at fristen for behandlingen af anmodningen om aktindsigt ikke ses at være overholdt, og at der ikke ses at være oplyst sager, der med rette kan begrunde en så væsentlig overskridelse af fristen." 

Af 23-0005067:
" Uanset, at der efter det oplyste var modtaget ekstraordinært mange anmodninger om aktindsigt, og dette efter forarbejderne kan medføre, at det kan være berettiget at udsætte færdigbehandlingen ud over fristen på 7 arbejdsdage, så har Vurderingsstyrelsen ifølge forarbejderne til offentlighedslovens § 36 pligt til at prioritere behandlingen af en aktindsigtssag. Dette ses ikke at være sket i fornødent omfang for så vidt angår pkt. B og C. Skatteankestyrelsen kan herefter konstatere, at fristen for behandlingen af anmodningen om aktindsigt ikke ses at være overholdt for så vidt angår pkt. B og C, og at der ikke ses at være oplyst årsager, der med rette kan begrunde en så væsentlig overskridelse af fristen."
H1 henholder sig til Skatteankestyrelsens praksis. 

Mens sager om udlevering af væsentlig information hjemvises og forsinkes, har millioner af borgere en legitim ret til at vide, hvordan deres personlige oplysninger bliver behandlet, hvilke fejl de kan støde på, og hvordan systemerne fungerer eller ikke fungerer for dem. UFST's beslutning om at begrænse oplysninger om it-systemers indretninger med henvisning til statens sikkerhed, rigets forsvar eller statens forhandlingsposition er særligt problematisk i lyset af disse hensyn. 

Transparens er en grundlæggende forudsætning for tillid mellem borgere og myndigheder. Når borgere har adgang til information om, hvordan deres data bliver behandlet, kan de bedre forstå og acceptere de processer, der ligger til grund for datahåndteringen. Dette kan give sikkerhed og tillid, som er afgørende for et velfungerende samfund. Det er desuden vigtigt, at samfundet har mulighed for at identificere fejl eller uretmæssigheder i it-systemer. Uden adgang til information om systemernes indretning vil det være umuligt for borgere at forstå, hvorfor visse fejl opstår, og hvordan de kan undgås eller rettes. Dette kan føre til frustration og mistillid. 

Sikkerhed bør ikke bruges som en undskyldning for at begrænse borgernes adgang til vigtige oplysninger om it-systemers indretninger. En balance mellem sikkerhed og transparens er nødvendig for at sikre, at borgerne har den viden, de har brug for, for at kunne navigere i og forstå de systemer, der påvirker deres dagligdag.
I et notat af 24. januar 2024 skriver Skattestyrelsen eksempelvis, at it-firmaet G2 har opgjort, "at ca. 17.000 tidligere sælgere" var ramt af en "defekt", hvor de fra 1. januar 2024 stadig potentielt betalte grundskyld af deres gamle bolig, og at skattevæsnet ikke orienterede dem om dette. 

Ifølge notatet bliver disse sælgere ikke orienteret om ændringer i deres grundskyld, hvilket kan have betydelige økonomiske konsekvenser for dem. Uden kendskab til ændringerne kan borgerne ikke tage de nødvendige skridt for at sikre, at deres skatteoplysninger er korrekte. 

[Navn udeladt] er en af de borgere, der er blevet ramt af fejlen. Hun solgte sin bolig i 2023 og har ikke købt en ny, men blev i januar 2024 stadig opkrævet skat for den gamle adresse. 

H1 har under dækning af sagen modtaget en lang række nye henvendelser fra nuværende og tidligere boligejere, der pga. afdækningen er blevet opmærksomme på problemer med skattebetalinger for tidligere ejede ejendomme samt andre problemer, hvilket i høj grad taler for, at offentligheden skal have adgang til oplysninger om fejl i systemet. 

Da H1 i januar første gang kunne fortælle om problemet, oplyste Skatteforvaltningen, at der var fire henvendelser om problemet - og en uge efter, at der var omkring 1.000 ramte ejendomme. Notatet fra 24. januar 2024, som først blev udleveret til offentligheden flere måneder senere, viser dog, at mindst ca. 17.000 borgere blev ramt af en defekt, og at de ikke modtog den nødvendige orientering om ændringer i deres grundskyld. 

Dette underminerer gennemsigtigheden og borgernes mulighed for at forstå og reagere på deres skatteforhold. Fejlen, der ramte [Navn udeladt], er ikke en isoleret hændelse, men en systematisk fejl, der har påvirket tusindvis af borgere. Det er vigtigt for offentligheden at forstå omfanget og alvoren af sådanne fejl, især når de kan have direkte indvirkning på borgernes økonomi og retssikkerhed. 

Hemmeligholdelse af oplysninger om indretning af offentlige it-systemer er derfor et principielt spørgsmål, som på sigt kan få stor betydning for borgeres, forskeres og mediers adgang til relevante oplysninger. Hvis myndigheder i fremtiden kan begrænse oplysninger om it-systemer ud fra en påstået risiko, vil det blive særdeles svært at kunne undersøge problemstillinger relateret til it-løsninger. 

Særligt i lyset af offentlige myndigheders voksende behov og interesse for automatiserede løsninger og til dels løsninger med kunstig intelligens vil det blive tæt på umuligt at have en uafhængig trykprøvning af de løsninger, som borgere i større eller mindre grad er forpligtet til at gøre brug af i et samfund med øget digitalisering.
Manglende transparens i offentlige it-systemer kan have alvorlige konsekvenser for både borgere og samfundet som helhed. Dette kan resultere i en generel følelse af utryghed og skepsis over for offentlige systemer.
Uden adgang til information om systemernes indretning kan det være svært for borgere at forstå, hvorfor visse fejl opstår, og hvordan de kan undgås eller rettes. Manglende transparens kan også forhindre borgere i at forstå, identificere og rapportere fejl i systemerne. Endelig kan manglende transparens have juridiske konsekvenser. Borgere har ret til at få indsigt i, hvordan deres personlige data bliver behandlet, og manglende transparens kan være i strid med lovgivningen om aktindsigt og databeskyttelse. Dette kan føre til juridiske udfordringer og potentielle retssager, som kan være både tidskrævende og kostbare. 

Da UFST's svar ikke tilstrækkeligt adresserer klagen over en for restriktiv praksis, og da sagen allerede er hjemvist &) gang, anmoder H1 hermed Landsskatteretten om at afgøre, om UFST's praksis er i overensstemmelse med de forvaltningsretlige regler og principper, herunder også offentlighedslovens krav. 

Ad) Undtagelse efter offentlighedslovens § 33, nr. 3.
For så vidt angår UFST's undtagelse af oplysninger efter § 33, nr. 3. fremgår det af afgørelsen, at oplysningerne undtages af hensyn til UFST's forhandlingsposition i forhold til fremtidige leverandører, som ifølge UFST vil kunne spekulere i prisfastsættelse på baggrund af de pågældende, undtagne oplysninger. 

Det fremgår af forarbejderne til § 33, nr. 3, at den tager sigte på at beskytte hensynet til det offentliges økonomiske interesser bl.a. i forbindelse med det offentliges kontraktindgåelse, idet der i visse tilfælde er et hensyn til, at det offentlige kan virke på lige vilkår med private. Ombudsmanden har dog også fastslået, at § 33, nr. 3, også omfatter det offentliges økonomiske interesser i visse situationer, der ligger efter kontraktens indgåelse. 

Efter forarbejderne og ombudsmandens praksis er det dog en betingelse for at undtage oplysninger, at der er en nærliggende fare for, at de konkrete økonomiske interesser vil lide skade. Det er også en betingelse, at myndigheden konkretiserer de forhold, der medfører, at der foreligger et sådant konkret beskyttelseshensyn til det offentliges økonomiske interesser, at de konkrete oplysninger er undtaget fra aktindsigt. 

H1 mener ikke, at UFST har påvist en sådan nærliggende fare og er desuden ikke enig i, at de konkrete oplysninger overhovedet vil kunne skade økonomiske interesser med den begrundelse, som UFST har angivet om fremtidig forhandlingsposition og spekulation. 

Anvendelse af § 33, nr. 3 i forhold til de undtagne oplysninger, må derfor efter H1s opfattelse bygge på andet og mere end den blotte generelle risiko for, at der ved (eventuelt) fremtidige forhandlinger vil kunne ske spekulation. 

H1 henviser bl.a. til FOB nr. 2015-44 af 25. februar 2015, hvor en journalist søgte om aktindsigt i en rapport, som Moderniseringsstyrelsen havde fået udarbejdet af en konsulentvirksomhed til brug for forhandlinger om en ny kammeradvokataftale. Ombudsmanden fastslog, at prisoplysningerne ikke kunne undtages efter § 33, nr. 3, da Moderniseringsstyrelsen ikke konkret kunne begrunde, hvordan udleveringen kunne svække statens forhandlingsposition ved fremtidige indkøb af juridiske tjenesteydelser. 

Se også FOB nr. 2014-15 af 2. juni 2014, hvor en journalist søgte […] Kommune om aktindsigt i de oplysninger i en forpagtningsaftale, der omhandlede størrelsen på forpagtningsafgiften og beregningen heraf. Kommunen afviste at give aktindsigt efter offentlighedslovens § 33, nr. 3. Kommunen lagde vægt på, at der ved en offentliggørelse af oplysningerne var risiko for, at konkurrenters konkrete kendskab til størrelsen af forpagtningsafgiften kunne medføre, at de fastsatte deres pristilbud i niveauet omkring den allerede indgåede aftale. Der ville dermed ikke nødvendigvis blive tilbudt den højeste markedspris i fremtidige udbud. Ombudsmanden udtalte bl.a. at brugen af offentlighedslovens § 33, nr. 3, skulle begrundes på anden måde end ved den blotte generelle risiko for, at kommunen ved eventuelle fremtidige udbud ikke ville modtage markedskonforme tilbud. På baggrund af sagens oplysninger fandt ombudsmanden ikke, at afgørelsen var begrundet med andet end en generel risiko. Derfor fandt ombudsmanden ikke, at offentlighedslovens § 33, nr. 3, kunne anvendes. 

Ad) Meroffentlighed efter offentlighedslovens § 14.
H1 mener, at UFST's meroffentlighedsvurdering ikke er tilstrækkeligt begrundet. UFST har i sin afgørelse ikke oplyst, om hensynet til H1s udvidede informations- og ytringsfrihed er indgået i den konkrete afvejning af meroffentlighed. 

H1 bemærker, at UFST har pligt til at inddrage alle relevante hensyn i skønsafvejning og konkret begrunde med hvilken vægt, de enkelte hensyn konkret er indgået. UFST angiver alene, at oplysningerne er omfattet af tavshedspligten efter forvaltningslovens § 27, stk. 4, nr. 3. H1 er enig i, at der som udgangspunkt ikke kan gives indsigt i fortrolige oplysninger. Imidlertid kan en myndighed - uanset at en oplysning er omfattet af tavshedspligt efter loven - give meroffentlighed, hvis bestemmelsen om tavshedspligt varetager hensynet til en offentlig interesse, som myndigheden selv kan råde over. Dette har UFST ikke taget stilling til eller redegjort for i sin begrundelse, hvorfor meroffentlighedsvurderingen også er mangelfuld på dette punkt. 

H1 bemærker i den forbindelse, at UFST ikke har undtaget oplysningerne efter bestemmelser om tavshedspligt, men alene efter offentlighedslovens § 33, nr. 3 og § 31. Det forhold, at tavshedspligten først nævnes og indgår i meroffentlighedsvurderingen, forekommer derfor mærkværdigt og er i ikke forklaret nærmere. 

3. Afsluttende bemærkninger 

På baggrund af overstående er det H1s vurdering, at afgørelsen er i strid med hjemmelskravet, da oplysningerne ikke kan undtages med de anførte begrundelser. Hertil kommer, at den praksis, som afgørelsen er udtryk for, også generelt er i strid med de forvaltningsretlige regler og principper."

Indlæg under retsmødet
På retsmødet oplyste Udviklings- og Forenklingsstyrelsen, at for så vidt angår de oplysninger, som i afgørelsen er undtaget med henvisning til offentlighedslovens § 33, så har situationen ændret sig. Der består ikke længere en forhandlingssituation, og styrelsen er derfor indstillet på at genoptage denne den del af afgørelsen. 

Udviklings- og Forenklingsstyrelsen indstillede i øvrigt, i overensstemmelse med tidligere udtalelse, at dele af afgørelsen stadfæstes og andre dele hjemvises. 

Udviklings- og Forenklingsstyrelsen anførte blandt andet, at samstillingsrisikoen ifølge kommentaren til offentlighedsloven kan begrunde afslag på aktindsigt, og at afgørelsen er tilstrækkeligt begrundet. Der kan ikke kræves nærmere begrundelse, da det vil prisgive de oplysninger, der er undtaget fra aktindsigt. For så vist angår meroffentlighed blev der henvist til betænkningen om offentlighed i forvaltningen, hvor det under pkt. 3.2.1 fremgår, at der er pligt til at overveje meroffentlighed, når der er tale om en beskyttelsesinteresse, myndigheden selv råder over. Det er imidlertid ikke tilfældet her, da der indgår oplysninger om andre og andre myndigheders systemer. Der blev i den forbindelse henvist til FOB 2016-48. 

Klageren fastholdt påstanden om, at anmodningen om aktindsigt skal imødekommes fuldt ud. Det blev blandt andet anført, at den påklagede afgørelse ikke opfylder de retlige betingelser for at meddele afslag på aktindsigt, hvilket også gælder afgørelsen om afslag på meroffentlighed. Afgørelsen er ikke konkret begrundet, og der er ikke påvist en reel skadesrisiko. Udviklings- og Forenklingsstyrelsens begrundelse er meget generel og ukonkret. Det fremgår heller ikke, hvorvidt alle relevante modhensyn er inddraget i vurderingen. Eksperter som klageren har talt med, mener at myndigheder skal sikre, at systemer bygges sikre, så oplysninger kan udleveres uden risiko. Der er begrænset praksis vedrørende offentlighedslovens § 31, og it-løsninger fylder mere og mere. Det er et problem for kontrollen med den offentlige forvaltning, hvis der ikke er adgang til oplysninger om valgte it-løsninger.

Landsskatterettens afgørelse
Sagen angår, om oplysninger i de 6 omhandlede dokumenter med rette er undtaget fra aktindsigt efter offentlighedslovens §§ 31 og 33, nr. 3.

Retsgrundlaget
Det fremgår af offentlighedslovens § 1, stk. 1, at loven har til formål at sikre åbenhed hos myndigheder m.v. med henblik på navnlig at understøtte
 1) informations- og ytringsfriheden,
2) borgernes deltagelse i demokratiet,
3) offentlighedens kontrol med den offentlige forvaltning,
4) mediernes formidling af informationer til offentligheden og
5) tilliden til den offentlige forvaltning. 

Ifølge offentlighedslovens § 7 kan enhver med de i §§ 19-35 nævnte undtagelser forlange at blive gjort bekendt med dokumenter, der er indgået til eller oprettet af en myndighed m.v. som led i administrativ sagsbehandling i forbindelse med dens virksomhed. 

Det fremgår af offentlighedslovens § 14, stk. 1, at det i forbindelse med behandlingen af en anmodning om aktindsigt skal overvejes, om der kan gives aktindsigt i dokumenter og oplysninger i videre omfang, end hvad der følger af §§ 23-35. Der kan gives aktindsigt i videre omfang, medmindre det vil være i strid med anden lovgivning, herunder regler om tavshedspligt og regler i lov om behandling af personoplysninger. 

Retten til aktindsigt kan begrænses, i det omfang det er af væsentlig betydning for statens sikkerhed eller rigets forsvar. Det fremgår af offentlighedslovens § 31. 

Retten til aktindsigt kan endvidere begrænses, i det omfang det er nødvendigt til beskyttelse af væsentlige hensyn til det offentliges økonomiske interesser, herunder udførelsen af det offentliges forretningsvirksomhed. Det fremgår af offentlighedslovens § 33, nr. 3. 

Af lovbemærkningerne til offentlighedslovens § 31 (lov nr. 606 af 12. juni 2013) fremgår blandt andet:  

"Bestemmelsen viderefører den gældende lovs § 13, stk. 1, nr. 1, idet det dog er præciseret, at retten til aktindsigt kan begrænses i det omfang, det er af væsentlig betydning for statens sikkerhed eller rigets forsvar. 

Det er således præciseret, at kravet efter den gældende lovs § 13, stk. 1, nr. 1, om, at der i det enkelte tilfælde efter en konkret vurdering påvises en nærliggende risiko for, at statens sikkerhed m.v. vil lide skade af betydning, ikke finder anvendelse i forhold til oplysninger, der er omfattet af bestemmelsen. 

Det er dog en betingelse for, at retten til aktindsigt kan begrænses, at det er af væsentlig betydning for statens sikkerhed eller rigets forsvar. Udtrykket »væsentlig betydning«, der skal forstås i overensstemmelse med den tavshedspligt, som gælder i forhold til oplysninger, der skal hemmeligholdes for at varetage væsentlige hensyn til statens sikkerhed og rigets forsvar, indebærer, at oplysninger, der er af uvæsentlig betydning for statens sikkerhed eller rigets forsvar, ikke vil være omfattet af undtagelsesbestemmelsen. 

Efter bestemmelsen kan oplysninger undtages fra retten til aktindsigt f.eks. af hensyn til beskyttelse af statsministerens personlige sikkerhed, til beskyttelse af udsendt ambassadepersonales sikkerhed, beskyttelse af operationssikkerhed for udsendte militære styrker eller beskyttelse af et ministeriums it-sikkerhed. Der henvises om bestemmelsen i § 31 til pkt. 4.1.1.17, jf. pkt. 3.4.3.3 i lovforslagets almindelige bemærkninger. Der henvises i øvrigt til betænkningens kapitel 17, pkt. 4.2.1 (side 661 ff.) og pkt. 5.4 (side 708 ff.). 

…" 

Lovforarbejderne henviser til betænkningen (Offentlighedskommissionens betænkning nr. 1510 fra 2009), hvoraf der blandt andet fremgår: 

"5.4. Hensynet til statens sikkerhed og rigets forsvar 

Efter bestemmelsen i den gældende lovs § 13, stk. 1, nr. 1, kan retten til aktindsigt begrænses i det omfang, det er nødvendigt til beskyttelse af væsentlige hensyn til statens sikkerhed eller rigets forsvar. Det er efter kommissionens opfattelse indlysende, at der fortsat skal være adgang til at undtage oplysninger fra retten til aktindsigt, hvis de nævnte hensyn gør sig gældende, jf. om praksis efter den gældende bestemmelse pkt. 4.2.1.2 ovenfor. 

… 

På denne baggrund er det kommissionens opfattelse, at den gældende lovs § 13, stk. 1, nr. 1, skal udskilles til en selvstændig bestemmelse, hvorefter retten til aktindsigt kan begrænses i det omfang, det er af væsentlig betydning for statens sikkerhed eller rigets forsvar, jf. lovudkastets § 31. Hermed præciseres det, at kravet om, at der i det enkelte tilfælde efter en konkret vurdering skal påvises en nærliggende risiko for, at statens sikkerhed mv. vil lide skade, ikke skal finde anvendelse. 

Retten til aktindsigt skal som nævnt kunne begrænses, hvis det er af væsentlig betydning for statens sikkerhed eller rigets forsvar. Udtrykket "væsentlig betydning", der skal forstås i nøje overensstemmelse med den tavshedspligt, som gælder i forhold til oplysninger, der skal hemmeligholdes for at varetage væsentlige hensyn til statens sikkerhed og rigets forsvar, indebærer, at oplysninger, der er af uvæsentlig betydning for statens sikkerhed eller rigets forsvar, ikke vil være omfattet af lovudkastets § 31. 

Kommissionen skal understrege, at en forvaltningsmyndighed ikke blot med henvisning til, at oplysningerne vedrører statens sikkerhed eller rigets forsvar kan begrænse retten til aktindsigt. 

Kommissionen finder i øvrigt anledning til at fremhæve, at der på området - f.eks. i forhold til oplysninger om forsvarets arbejde - er væsentlige hensyn, der taler for offentlighed. I den forbindelse kan der henvises til en rapport af 3. juni 2003 vedrørende forsvarets informationspolitik, der er afgivet af arbejdsgruppen vedrørende forsvarets informationspolitik, som var nedsat af Forsvarsministeriet. I rapporten (side 9 f. og side 34) er der redegjort nærmere for behovet for information og åbenhed omkring forsvarets arbejde. Det er dog samtidig anført, at bl.a. hensynet til statens sikkerhed og rigets forsvar bør begrænse udbredelsen af oplysninger om dette arbejde, jf. side 35 i rapporten. 

I den sammenhæng bemærkes, at ikke enhver oplysning, der vedrører "våbenmæssige forhold", uden videre kan betegnes som en oplysning om rigets forsvar. Således vil f.eks. oplysninger om, hvorvidt og i givet fald i hvilket omfang en dansk virksomhed eksporterer våben, ikke uden videre kunne betragtes som en oplysning om rigets forsvar, der vil kunne undtages fra aktindsigt efter lovudkastets § 31. 

Det er på denne baggrund kommissionens opfattelse, at den blotte henvisning til, at oplysningerne vedrører statens sikkerhed eller rigets forsvar som udgangspunkt ikke er tilstrækkelig til at opfylde det almindelige begrundelseskrav i forvaltningslovens § 24. Det må således i almindelighed kræves, at den pågældende forvaltningsmyndighed i begrundelsen for et eventuelt afslag på aktindsigt efter lovudkastets § 31 foretager en vis angivelse af de involverede interessers karakter. Myndigheden kan dog undlade at foretage en sådan angivelse, hvis det vil medføre en prisgivelse af de beskyttelsesinteresser der søges beskyttet i det enkelte tilfælde. 

Det omhandlede forslag vil efter kommissionens opfattelse ikke i forhold til de gældende regler indebære en begrænsning i retten til aktindsigt. Der vil således blot være tale om et lovteknisk mere præcist udtryk for gældende ret." 

Vedrørende offentlighedslovens § 33 fremgår det af de almindelige bemærkninger (lov nr. 606 af 12. juni 2013), punkt 4.1.1.17: 

"4.1.1.17. Den gældende offentlighedslov indeholder i § 13 en række bestemmelser, hvorefter oplysninger kan undtages fra retten til aktindsigt, hvis det er nødvendigt til beskyttelse af en række nærmere opregnede offentlige eller private interesser. Der henvises herom til pkt. 3.4.3.3. 

Retstilstanden efter bestemmelsen i § 13 foreslås med Offentlighedskommissionens lovudkast videreført. Kommissionen foreslår dog dels for at foretage en præcisering af gældende ret (efter § 13, stk. 1, nr. 1-2), dels af redaktionelle grunde, at der foretages visse ændringer, herunder at bestemmelsen opdeles i tre bestemmelser, jf. lovudkastets §§ 31-33. 

…" 

Af punkt 3.4.3.3 fremgår: 

"3.4.3.3. Endvidere kan oplysninger efter offentlighedslovens § 13 undtages fra retten til aktindsigt, hvis det er nødvendigt til beskyttelse af en række nærmere opregnede offentlige eller private interesser. 

Oplysninger kan således undtages på grund af bl.a. hensynet til statens sikkerhed eller rigets forsvar, jf. § 13, stk. 1, nr. 1, hensynet til rigets udenrigspolitiske interesser, jf. § 13, stk. 1, nr. 2, hensynet til forebyggelse, opklaring og forfølgning af lovovertrædelser, jf. § 13, stk. 1, nr. 3, hensynet til gennemførelse af offentlig kontrol-, regulerings- eller planlægningsvirksomhed, jf. § 13, stk. 1, nr. 4, eller hensynet til det offentliges økonomiske interesser, jf. § 13, stk. 1, nr. 5. Herudover kan oplysninger efter opsamlingsbestemmelsen i § 13, stk. 1, nr. 6 (den såkaldte generalklausul) undtages af hensyn til offentlige eller private interesser, hvor hemmeligholdelse efter forholdets særlige karakter er påkrævet. 

En begæring om aktindsigt kan - i almindelighed - kun afslås efter bestemmelserne i § 13, stk. 1, hvis retten til at blive gjort bekendt med oplysningerne i en sag eller et dokument efter et konkret skøn findes at burde vige for de nærmere opregnede væsentlige hensyn til offentlige og private interesser. Dette indebærer, at aktindsigt (i almindelighed) kun kan afslås i det tilfælde, hvor der er nærliggende fare for, at de nævnte interesser vil lide skade af betydning. 

…" 

Ifølge forvaltningslovens § 27, stk. 4, nr. 3, har den der virker inden for den offentlige forvaltning, tavshedspligt, jf. straffelovens § 152 og §§ 152 c-152 f, med hensyn til oplysninger, som det i øvrigt er nødvendigt at hemmeligholde for at varetage væsentlige hensyn til det offentliges økonomiske interesser, herunder udførelsen af det offentliges forretningsvirksomhed. 

Den Europæiske Menneskerettighedskonventions artikel 10 om ytringsfrihed har følgende indhold: 

"Stk. 1. Enhver har ret til ytringsfrihed. Denne ret omfatter meningsfrihed og frihed til at modtage eller meddele oplysninger eller tanker, uden indblanding fra offentlig myndighed og uden hensyn til landegrænser. Denne artikel forhindrer ikke stater i at kræve, at radio-, fjernsyns- eller filmforetagender kun må drives i henhold til bevilling. 

Stk. 2. Da udøvelsen af disse frihedsrettigheder medfører pligter og ansvar, kan den underkastes sådanne formaliteter, betingelser, restriktioner eller straffebestemmelser, som er foreskrevet ved lov og er nødvendige i et demokratisk samfund af hensyn til den nationale sikkerhed, territorial integritet eller offentlig tryghed, for at forebygge uorden eller forbrydelse, for at beskytte sundheden eller sædeligheden, for at beskytte andres gode navn og rygte eller rettigheder, for at forhindre udspredelse af fortrolige oplysninger, eller for at sikre domsmagtens autoritet og upartiskhed."

Landsskatterettens begrundelse og resultat
Udviklings- og Forenklingsstyrelsen har delvist imødekommet klagerens anmodning om aktindsigt med udleveringen af følgende 6 dokumenter: 

Bilag 15 - 12 Statens It-råd - Anbefalingsbrev - ICE Release 8. Brevet er dateret 10. maj 2022.
Bilag 16 - 11 Statens It-råd - Observationsnotat - ICE programmets Release 8. Notatet er dateret 15. april 2022.
Bilag 17 - 10 It-rådets opfølgningsbrev til ICE-programmet. Brevet er dateret 10. november 2021.
Akt nr. 79 - Bilag C - Statistisk modeltest af grundværdikurven.
Akt nr. 80 - Bilag B - Statistisk modeltest af GAM.
Akt nr. 81 - Bilag A - Statistisk modeltest af prisfremskrivning og outlierfiltrering
Akterne 79, 80 og 81 er udaterede og fremstår som udarbejdet af R1. 

Udviklings- og Forenklingsstyrelsen har undtaget oplysninger fra udlevering med henvisning til offentlighedslovens § 31 og § 33, nr. 3. 

Offentlighedslovens § 31 (It-sikkerhed)
Bilag 16 (kontaktoplysninger)
I bilag 16, side 6, er undtaget ikke-offentliggjorte kontaktoplysninger på en navngiven medarbejder i Digitaliseringsstyrelsen. Oplysningerne er undtaget med henvisning til, at oplysningerne vil kunne anvendes af fjendtlige aktører til f.eks. phishing angreb. 

Udviklings- og Forenklingsstyrelsen har i udtalelsen til Skatteankestyrelsens indstilling tiltrådt, at det ikke er af væsentlig betydning for statens sikkerhed, at oplysningerne om en konkret persons kontaktoplysninger undtages. 

Det fremgår ikke af styrelsens udtalelse, at oplysningerne er udleveret. Landsskatteretten hjemviser derfor afgørelsen til fornyet behandling på dette punkt. 

Akt 79, 80 og 81
Udviklings- og Forenklingsstyrelsen har undtaget oplysninger om fysisk placering af reference/links/filer/dokumenter/infrastruktur i: 

- Akt nr. 79: side 1, 2 tabel 1 og 15.
- Akt nr. 80: side 1, Side 4 afsnit 1, Side 5, 6 afsnit 1, Side 8 tabel 1, Side 11 afsnit 1, billede, Side 15 tabel, Side 19 tabel 1.
- Akt nr. 81: side 1, 2, 3, 5, 7, 8, 14, 16, 17, 19, 20, 22, 23. 

Styrelsen har anført, at oplysningerne i akterne vil give fjendtlige aktører mulighed for præcist at angribe de systemer, hvor disse er gemt, hvilket øger sandsynligheden for, at systemet kan angribes. Når en ondsindet aktør kender placeringen, er det lettere at forstå og gennemføre et angreb. Med specifik viden om placering af reference/links/filer/dokumenter/infrastruktur kan en fjendtlig aktør nemmere finde og angribe disse. 

Udviklings- og Forenklingsstyrelsen har også undtaget referencer til fysiske databaser/modeller/tabeller/kolonner/indhold i: 

- Akt nr. 79: side 2, tabel 2, side 3, 4, 5, Side 19, 20, 21, 24, 25, 26.
- Akt nr. 80: side 3, 4 tabel, Side 6 tabel, Side 7, 8 tabel 2, side 8 nederst, Siden 11 nederst, Side 12 afsnit 1 + tabel, Side 13 billede, Side 14 billede + afsnit, 16, 17, 18, Side 19 tabel 2 + afsnit nederst, Side 20, 21, 22, 23,24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52. 

Styrelsen har henvist til, at oplysninger som disse kan misbruges af ondsindede aktører til at opnå uberettiget adgang til systemer og data. Udviklings- og Forenklingsstyrelsen har i en udtalelse til klagen anført, at oplysningerne og terminologien i dokumenterne stadig er aktuel og vil kunne bruges til at kortlægge it-systemerne med henblik på at skaffe sig uberettiget adgang til systemerne. Styrelsen har også anført, at udlevering af feltnavne i tabeller/ eller variable navne i koder kan benyttes af udenforstående til over længere tid at skabe tillid fra interne medarbejdere ved anvendelse af intern terminologi. 

I udtalelsen til Skatteankestyrelsens indstilling har Udviklings- og Forenklingsstyrelsen blandt andet oplyst, at testsystemer bibeholdes, så længe systemet er i produktion, og at den fysiske placering ikke ændres i den forbindelse. Testsystemer er generelt mere sårbare end produktionssystemer, da antimalware kan få afviklingen af tests til at fejle. I testsystemer arbejdes der derfor generelt med reduceret sikkerhedsniveau, da det er nødvendigt at deaktivere antimalware for at kunne køre tests. 

Styrelsen har endvidere oplyst, at hvis der indsamles tilstrækkeligt mange oplysninger om systemnavne, kan dette give et samlet billede af, hvilke systemer der er forbundet til hinanden - eksempelvis via datakanaler, der bruges til at overføre fildata fra system til system. 

For så vidt referencer til fysiske databaser/modeller/tabeller/kolonner/indhold, har styrelsen oplyst, at der er tale om en type af oplysninger, der ved en sammenstilling med lignende oplysninger kan give modtageren mulighed for f.eks at udarbejde troværdige spear-phishingmails og dermed omgå de sikkerhedsforanstaltninger, der er implementeret for at sikre, at medarbejderne kan spotte phishingmails. 

Ved en gennemgang af akt 79, 80 og 81 har Landsskatteretten konstateret, at der er tale om rapporter om udført arbejde i forbindelse med statistiske modeltest af forskellige dele af det nye ejendomsvurderingssystem. 

Udviklings- og Forenklingsstyrelsen har oplyst, at testsystemer bibeholdes, så længe systemet er i produktion. 

For så vidt angår de oplysninger om fysisk placering af referencer/links/filer/dokumenter/infrastruktur, som er udtaget fra aktindsigt, bemærkes, at det hverken fremgår af Udviklings- og Forenklingsstyrelsens afgørelse eller udtalelser, hvorvidt oplysningerne om fysisk placering i modeltestene er de samme, som findes i de implementerede systemer. 

Det forhold, at testsystemerne bibeholdes, er ikke ensbetydende med, at den fysiske placering i modeltestene er den samme i de implementerede systemer. 

Styrelsen har oplyst, at testsystemer generelt er mere sårbare end produktionssystemer, men ikke oplyst, hvilken sammenhæng der er mellem testsystemer og produktionssystemer, herunder hvilken konsekvens (hvis nogen) et angreb på testsystemer vil have for produktionssystemer. 

Udviklings- og Forenklingsstyrelsen ses herefter ikke at have godtgjort, at det er af væsentlig betydning for statens sikkerhed at undtage disse oplysninger. 

Landsskatteretten hjemviser derfor denne del af afgørelsen til Udviklings- og Forenklingsstyrelsens fornyede vurdering og begrundelse. 

For så vidt angår de referencer til fysiske databaser/modeller/tabeller/kolonner/indhold, som er undtaget fra aktindsigt, er Landsskatteretten enig i, at oplysninger om interne terminologier kan bruges i forbindelse med f.eks. spear-phisingmails.

Henset til karakteren af de undtagne oplysninger og trusselsbilledet for cyberangreb, er Landsskatteretten enig i, at oplysningerne kan undtages fra aktindsigt efter offentlighedslovens § 31 med henvisning til, at det er af væsentlig betydning for Skatteministeriets it-sikkerhed. 

Offentlighedslovens § 33. nr. 3
Udviklings- og Forenklingsstyrelsen har undtaget visse oplysninger i bilag 15, 16 og 17 med henvisning til det offentliges økonomiske interesser, herunder udførelsen af det offentliges forretningsvirksomhed, jf. § 33, nr. 3, i offentlighedsloven. 

Udviklings- og Forenklingsstyrelsen oplyste på retsmødet, at for så vidt angår de oplysninger, som i afgørelsen er undtaget med henvisning til offentlighedslovens § 33, nr. 3, består der ikke længere en forhandlingssituation, og styrelsen er indstillet på at genoptage denne den del af afgørelsen. 

Landsskatteretten hjemviser derfor afgørelsen til fornyet behandling på dette punkt. 

Udviklings- og Forenklingsstyrelsen har i udtalelsen til klagen oplyst, at oplysningerne om risikopuljens størrelse i bilag 15, side 2, bilag 16, side 6 og bilag 17, side 3, som i afgørelsen er undtaget fra aktindsigt efter offentlighedslovens § 31, også kan undtages ud fra hensynet til det offentliges økonomiske interesser, jf. offentlighedslovens § 33, nr. 3. 

Landsskatteretten hjemviser også denne del af afgørelse til fornyet vurdering af, om oplysningerne kan udleveres, nu hvor der ikke længere består en forhandlingssituation, eller fortsat skal undtages.

Meroffentlighed
Det fremgår af afgørelsen, at Udviklings- og Forenklingsstyrelsen i overensstemmelse med offentlighedslovens § 14 har vurderet, om der er grundlag for meroffentlighed. 

Landsskatteretten er enig i, at der er tale om oplysninger, som er omfattet af tavshedspligten i forvaltningslovens § 27, stk. 4, nr. 3, og at der derfor ikke kan gives aktindsigt efter meroffentlighedsprincippet i offentlighedslovens § 14. 

Klageren har i forbindelse med sagens behandling i Skatteankestyrelsen blandt andet henvist til praksis fra Den Europæiske Menneskerettighedsdomstol, der ifølge klageren fastslår, at Den Europæiske Menneskerettighedskonventions artikel 10, stk. 1, medfører en pligt til at stille information til rådighed for pressen i sager af stor offentlig interesse. 

Det overlades til Udviklings- og Forenklingsstyrelsen som førsteinstans i forbindelse med hjemvisningen at tage stilling til det af klageren anførte om Den Europæiske Menneskerettighedskonvention.