Den jurauddannede Rasmus Malver er ved at godt træt af det offentliges omgang med hans personlige data.
Flere gange har han oplevet, at offentlige myndigheder sløser så meget med hans sundhedsdata og deslige, at disse data er havnet i andre folks indbakker.
Senest har han fået en mail fra Sundhedsdatastyrelsen, som beklager endnu en fejlaflevering af personlige data.
Beklagelsen kommer oven på den groteske sag om fejlaflevering af 5,3 millioner danskeres CPR-numre på to ukrypterede cd-rom'er, som i stedet for at blive leveret hos Danmarks Statistik havnede på det kinesiske visumansøgningskontor i København.
Det kan du læse mere om her: Ukrypterede cd'er med 5,3 millioner danskeres CPR-numre afleveret til kinesere ved en fejl
Afleverer data til anden borger
Efter den oprindelige sag var ude i pressen, søgte Rasmus Malver aktindsigt i, hvorvidt hans egne data endnu engang var havnet i hænderne på den forkerte modtager.
Han var desuden interesseret i at se, hvilke data Serum Instituttets Forskerservice igennem et anbefalet brev hos Post Danmark havde afleveret til de kinesiske visumfolk.
Men da Sundhedsdatastyrelsen, som siden 2015 har haft ansvaret for databehandlingen hos Statens Serum Instituts Forskerservice, vil sende hans data fra den oprindelige fejlaflevering, bliver mailen med Rasmus Malvers persondata sendt til en anden borger.
"Vi har gennemført en intern undersøgelse, der har vist, at den medarbejder, der på mine vegne skulle afsende den sikre mail fra vores hovedpostkasse, ved en fejl indsatte en anden mailadresse end din i modtagerfeltet," lyder det i forklaringen fra Sundhedsdatastyrelsen, som fortsætter:
"Modtageren af mailen har kontaktet Sundhedsdatastyrelsen og gjort opmærksom på fejlen. Vedkommende har også bekræftet, at han har slettet mailen."
Ville udstille hykleriet
Rasmus Malver har siden fået udleveret sine data fra de fejlaflevede CD-rom'er.
Han fortæller til Computerworld, at data udover CPR-numret drejer sig om hospitalsnumre og afdelingsnumre vedrørende tidligere indlæggelser, hvilket han finder krænkende.
"Jeg skrev i første omgang til dem (Sundhedsdatastyrelsen, red.), fordi jeg oven på Søren Louv-Jansen-sagen gerne ville have 15.000 kroner i kompensation for statens sløseri med mine data," forklarer Rasmus Malver.
Henvisningen til Søren Louv-Jansen-sagen handler om en it-studerende, der i 2012 udstillede flere politikeres CPR-numre for at påvise problemer med vores CPR-system.
Den sag kan du læse mere om her: Lagde politikeres cpr-numre på nettet: Nu er han dømt
"Jeg ville ved at bede om at få mine data udleveret gerne udstille hykleriet om, at borgeres får bøder for at vise CPR-numre, mens staten kan gøre det igen og igen, uden at det får konsekvenser," forklarer Rasmus Malver til Computerworld.
Ingen kompensation i vente
I brevet til Rasmus Malver forholder Sundhedsdatastyrelsen sig også til kompensationskravet, som bliver afvist med følgende forklaring:
"Vi kan ikke imødekomme din anmodning, da Statens Serum Institut benyttede en anerkendt forsendelsesmåde, da fejlafleveringen skete ved Post Danmark, og da data på CD‐rommerne efter det oplyste ikke er kommet uberettigede til kundskab."
I midlertidigt afviser Sundhedsdatastyrelsen ikke, at der kan komme kompensation i spil, fordi Rasmus Malver i anden omgang har fået sendt sine sundhedsdata ud til en helt anden borger.
Den afgørelse ligger nu hos Kammeradvokaten, som vil komme med en udtalelse i sagen - formentligt i begyndelsen af næste uge.
Det forklarer afdelingschef for Compliance, Sikkerhed & Internationale Relationer i Sundhedsdatastyrelsen, Birgitte Drews, til Computerworld.
"Fejlen er opstået, da vi efter CD-rom-sagen modtog en række henvendelser fra borgerne om, hvorvidt deres sundhedsdata lå på CD-rom'erne. I den konkrete sag, som du nævner, har en medarbejder byttet om på mailadresser, så en anden borger har modtaget de efterspurgte sundhedsoplysninger," siger hun.
Læs også: 'Menneskelig fejl' er en dårlig undskyldning: Slå nu hårdt ned på sløseri med persondata
Hun oplyser samtidigt, at Sundhedsdatastyrelsen på grund af fejlforsendelsen har haft to medarbejdere til at gennemgå alle udsendte mails vedrørende CD-rom-sagen sammen.
De to medarbejdere har ifølge Birgitte Drews verificeret, at der er tale om en enkeltstående fejl.
Sagen havnet på ministerens kontor
Men her stopper sagen ingenlunde.
For den oprindelige CD-rom-sag er havnet på sundhedsminister Sophie Løhdes (V) bord, som har bedt eksterne konsulenter i persondatabeskyttelse om at gennemgå de statslige sundhedsmyndighedernes håndtering af personfølsomme sundhedsdata.
Det er sket efter Rasmus Malvers sag, hvor data er udleveret til en helt anden borger, mens der også er dukket en lignende sag frem hos Styrelsen for Patientsikkerhed, hvor en læge sendte oplysninger til en forkert mailadresse.
"Vi kan desværre ikke gardere os 100 procent mod, at der sker menneskelige fejl. Men det er utroligt vigtigt, at vi gør alt, hvad vi kan, for at minimere risikoen for, at personoplysninger, som vores myndigheder har ansvaret for, kommer i de forkerte hænder," skriver Sophie Løhde i en mail til Altinget.
Tilbage står Rasmus Malver, der siden 2011, har oplevet mindst fire tilfælde af, hvor hans data er havnet alle mulige og umulige steder.
"Men at man skyder skylden på fejlafleveringen af CD-rom'erne i første tilfælde på Post Danmark, svarer jo til, at man er dømt for røveri og undskylder sig med at gå i kondisko," siger Rasmus Malver for at illustrere goddag-mand-økseskaft-oplevelsen.
Han fortæller, at hvis han bliver tilkendt kompensation i sagen om den fejlsendte mail, vil kompensationen i så fald gå til førnævnte Søren Louv-Jansen.
I den første sag med CD-rom'erne har Datatilsynet kritiseret Sundhedsdatastyrelen og indskærpet, at personhenførbare sundhedsoplysninger fremover skal krypteres, selvom de bliver sendt med anbefalet brev.
Læs også:
Hovsa: Ukrypterede cd'er med 5,3 millioner danskeres CPR-numre afleveret til kinesere ved en fejl
Efter kæmpebrøler med udlevering af CPR-numre til kinesere: Sådan er sikkerheden strammet op
