Sidste år udspillede der sig en ganske opsigtsvækkende data-sag på de danske breddegrader.
I midten af februar 2015 sendte Statens Serum Instituts Forskerservice et brev til Danmarks Statistik.
I brevet lå to ukrypterede cd'er med data om 5.282.616 personer bosat i danske kommuner mellem 2010 og 2012.
Mere specifikt indeholdt cd'erne oplysninger om disse folks personnumre og helbredsoplysninger, mens der ikke var opgivet navn og adresse på personerne.
De ukrypterede cd'er blev sendt som anbefalet post, men de nåede dog ikke frem til Danmarks Statistik på Østerbro i København i første omgang.
I stedet blev forsendelsen af Post Danmark afleveret på det kinesiske visa-ansøgningskontor, der ligger omkring 250 meter væk og rundt om et hjørne i forhold statistikhovedsædet.
Da brevet med cd'erne og de fortrolige personoplysninger endelig nåede frem til Danmarks Statistik, var det blevet åbnet.
På det kinesiske visa-ansøgningskontor Chinese Visa Application Centre har en medarbejder forklaret, at hun modtog brevet, kvitterede for det og åbnede det ved en fejl.
Lige så snart den kinesiske visa-medarbejder opdagede, at det anbefalede brev var stilet til Danmarks Statistik, gik hun de godt 250 meter og afleverede brevet, bedyrer hun ifølge Datatilsynet, som har beskrevet sagen på sin hjemmeside.
Datatilsynet lukker sagen
Statens Serum Instituts Forskerservice - som fra slutningen af 2015 har hørt under Sundhedsdatastyrelsen - har ifølge Datatilsynets hjemmeside erkendt, at cd'erne burde have været krypteret, selvom de blev sendt med anbefalet brev.
"Det er Forskerservices opfattelse, at der var tale om følsomme personoplysninger af meget omfattende karakter, og at det ikke ville kunne udelukkes, at det kunne have haft konkrete konsekvenser for de berørte personer, såfremt oplysningerne rent faktisk var kommet til uvedkommendes kendskab," lyder det på hjemmesiden.
Samtidig mener Forskerservice ikke, at cd'erne er blevet misbrugt af andre, da Forskerservice har modtaget en skriftlig bekræftelse fra det kinesiske visa-ansøgningskontor om, at brevet med cd'erne ikke er blevet læst.
"Forskerservice har ikke fundet anledning til at betvivle Chinese Visa Applications medarbejders forklaring, og vurderer således, at der ikke er tale om et bevist brud på brevhemmeligheden efter straffelovens § 263 stk. 1, nr. 1, og at ingen uberettiget har set de pågældende følsomme oplysninger," lyder det videre på Datatilsynets hjemmeside.
Samtidig oplyser Forskerservice, at den fremover vil efterleve Datatilsynets anbefaling om kryptering af personfølsomme oplysninger, selv om disse oplysninger sendes med anbefalet post.
Har offentlighedens interesse
Offentliggørelsen af miseren kommer i kølvandet på, at tilsynet i sidste uge har truffet afgørelsen i sagen vedrørende brevet fra Forskerservice.
Datatilsynet har besluttet sig for ikke at foretage sig yderligere i sagen.
Samtidig oplyser Datatilsynet til Computerworld, at sagen er blevet offentliggjort grundet et ønske om at øge opmærksomhed på at beskytte datamedier.
I den netop afsluttede sag skete uheldet under transport, men det kunne eksempelvis også dreje sig om en USB-stik indeholdende fortrolige persondataoplysninger, som ikke er blevet krypterede.
Det har desværre ikke været muligt inden for Computerworlds deadline at indhente oplysninger fra Sundhedsdatastyrelsen om hvilke sundhedsoplysninger, der udover de millionvis af CPR-nume lå på de to ukrypterede cd'er.
Forklaringen på, at Datatilsynet har været næsten halvandet år om at træffe afgørelse i sagen ligger dels i, at der forgæves har været forsøgt at indhente yderligere oplysninger om fejlleveringen fra blandt andre Post Danmarks side, dels tilsynets generelle sagsbehandlingstid.
Læs også:
Danske læger politianmeldt for privat snageri i patienters medicinforbrug
