OVERBLIK Det ved vi om de fem millioner fejlsendte cpr-numre

Mere end et års efterforskning af muligt datalæk blev i dag afsluttet.

Det var afdelingen Forskerservice her hos Statens Serum Institut, der i sin tid sendte de to ukrypterede data-cd'er med personfølsomme oplysninger. I dag hører afdelingen under Sundhedsdatastyrelsen. (Foto: Kasper palsnov © Scanpix)

I dag offentliggjorde Datatilsynet sin afgørelse i en sag, hvor et stort antal følsomme sundhedsdata og CPR-numre ved en fejl blev sendt til en forkert adresse - et kinesisk visumfirma i København.

Her er sagens forløb:

  • Danmarks Statistik henvendte sig den 18. februar 2015 til Datatilsynet om, at et anbefalet brev fra Statens Serum Institut til Danmarks Statistik ved en fejl var blevet afleveret til det kinesiske visumfirma Chinese Visa Application Centre.

  • I det anbefalede brev, der var sendt i en normal boblekuvert, lå to data-cd'er og en følgeskrivelse med en oversigt over dataen.

  • Ved en fejl hos PostNord havnede de ukrypterede oplysninger hos Chinese Visa Application Centre, der er en privat virksomhed, som tilbyder hjælp med at skrive og sende visumansøgninger til Kina.

  • En medarbejder fra firmaet afleverede senere brevet til Danmarks Statistik, der har adresse i nærheden. Brevet var på det tidspunkt blevet åbnet.

  • På cd'erne var der oplysninger fra Cancerregisteret, Det Nationale Diabetesregister, Landspatientregisteret-Psykiatri samt det såkaldte DRG-register. Der var også oplysninger om mere end 5 millioner danskeres CPR-numre.

  • I registrene findes blandt andet oplysninger om sygdomsforløb, indlæggelsesforløb og psykiske lidelser.

  • Det var afdelingen Forskerservice hos Statens Serum Institut, der i sin tid sendte de to data-cd'er med personfølsomme oplysninger.

  • I Datatilsynets afgørelse står der, "at der var tale om følsomme personoplysninger af meget omfattende karakter, og at det ikke ville kunne udelukkes, at det kunne have haft konkrete konsekvenser for de berørte personer, såfremt oplysningerne rent faktisk var kommet til uvedkommendes kendskab."

  • Men Statens Serum Institut, som er dataansvarlige i sagen, har efterfølgende fået en skriftlig erklæring om, at ingen fra Chinese Visa Application Centre har set eller kopieret data fra de to cd'er. Det gør, at Datatilsynet nu betragter sagen som afsluttet.

  • Flere eksperter har dog kritiseret myndighedernes håndtering af sagen - og hvordan man gennem en skriftlig erklæring kan være sikker på, at cd'erne ikke er blevet kopieret undervejs.

  • De påpeger samtidig, at helbredsoplysninger blandt andet kan bruges af identitetstyve til afpresning.

  • Datatilsynet udtaler dog ikke kritik i sagen, fordi der ikke findes specifikke krav til, at data-cd'er, der sendes med anbefalede breve, skal krypteres af myndighederne.

  • Sagen har efterfølgende fået Statens Serum Institut til ændre sine procedurer, så sundhedsdata i fremtiden kun sendes krypteret.

Facebook
Twitter