Eksperter om CPR-læk: Amatøragtig omgang med data

Seruminstituttet har brudt persondataloven, mener Jesper Lund fra IT-Politisk Forening. Sikkerhedskonsulent Henrik Kramshøj kalder fejlen for "sindssyg".

Statens Serum Institut sendte sidste år personfølsomme oplysninger på ukrypterede CD-rom'er. De endte ved en fejl hos kinesisk virksomhed. (© TUALA HJARN¯ - PHOTOGRAPHY CPHKoldinggade 14)

At man i 2016 kan finde på at sende personfølsomme oplysninger på ukrypterede CD-rom'er med posten, er ifølge to sikkerhedseksperter, som DR har talt med, helt uforståeligt.

- Det er helt uacceptabelt. Og helt utroligt amatøragtig omgang med data. Det må ikke ske, siger Jesper Lund, der er formand for IT-politisk forening.

Hans kollega Henrik Kramshøj, der er sikkerhedskonsulent ved firmaet PatientSky, er lige så fortørnet.

- Det er helt crazy, at det her sker. Det er sindsygt, og det er noget man virkelig bør tage alvorligt, siger han.

Sendt på ukrypterede CD-rom'er

Statens Serum Institut sendte i februar sidste år ved en fejl helbredsoplysninger og CPR-numre på 5.282.616 danskere til et kinesisk firma, der tager sig af visum-ansøgninger til Kina.

På CD-rom'erne, som blev sendt anbefalet i en almindelig boblekuvert, var der ifølge sikkerhedseksperten Christian Panton oplysninger fra Cancerregisteret, Det Nationale Diabetesregister, Landspatientregisteret-Psykiatri samt det såkaldte DRG-register.

Christian Panton har angiveligt fået aktindsigt i forløbet.

https://twitter.com/christianpanton/status/755729979497906177

De følsomme data lå på to ukrypterede CD-rom'er. Den eneste beskyttelse af de følsomme oplysninger var altså, at brevet var sendt anbefalet.

Alligevel blev det altså afleveret forkert ved Chinese Visa Application Centre. Den rigtige modtager var Danmarks Statistik. Det kinesiske firma afleverede senere brevet det rigtige sted. Men brevet var åbnet.

Skal sendes via internettet

Den måde at sende følsomme oplysninger på, kan Jesper Lund ikke forstå noget af.

- Det undrer mig meget, at Seruminstittuttet sender data på den her måde. Der kan kun være omkring 700 megabyte på en cd-rom, og det kunne let have været overført via en sikker internetforbindelse, siger han og fortsætter:

- Som dataansvarlig skal man sikre sig mod tab af data og det gør man ved at kryptere det.

Henrik Kramshøj er enig. Selvom der var tale om brændte dvd'er, kan de ikke indeholde data nok til, at det ikke giver bedre mening at sende oplysningerne over en sikker internetforbindelse.

Skyldes forældede arbejdsmetoder

Ifølge ham er der ikke nogen undskyldning for fejlen. Men han tror, at forældede arbejdsgange kan være en del af forklaringen.

- Man har nok haft en proces fra gamle dage, hvor man har en bestemt maskine, som man brænder de her data ved - og nogle bestemte kuverter, som man sender de her disks med. Og den arbejdsmetode har man glemt at revurdere, siger han.

Han mener også, at det både er langt sikrere og nemmere at sende følsomme oplysninger via internettet - hvis altså man sørger for at kryptere det ordentligt.

Jesper Lund mener, at fejlen er helt uacceptabel, og at Statens Seruminstitut burde vide bedre, når de er så vant til at arbejde med følsomme oplysninger.

- Men man kan ikke stille noget op. Seruminstituttet har overtrådt persondataloven, men fordi det er en offentlig institution, får det nok ikke nogen konsekvenser, siger han.

Facebook
Twitter