Hovsa: Ukrypterede cd'er med 5,3 millioner danskeres CPR-numre afleveret til kinesere ved en fejl

Knap 5,3 millioner danskeres CPR-numre og helbredsoplysninger og personnumre sendt med anbefalet brev havnede ved en fejl på et kinesisk myndighedskontor. Datatilsynet gør nu opmærksom på sagen, da tilsynet mener, at den har offentlighedens interesse.

Sidste år udspillede der sig en ganske opsigtsvækkende data-sag på de danske breddegrader.

I midten af februar 2015 sendte Statens Serum Instituts Forskerservice et brev til Danmarks Statistik.

I brevet lå to ukrypterede cd'er med data om 5.282.616 personer bosat i danske kommuner mellem 2010 og 2012.

Mere specifikt indeholdt cd'erne oplysninger om disse folks personnumre og helbredsoplysninger, mens der ikke var opgivet navn og adresse på personerne.

De ukrypterede cd'er blev sendt som anbefalet post, men de nåede dog ikke frem til Danmarks Statistik på Østerbro i København i første omgang.

I stedet blev forsendelsen af Post Danmark afleveret på det kinesiske visa-ansøgningskontor, der ligger omkring 250 meter væk og rundt om et hjørne i forhold statistikhovedsædet.

Da brevet med cd'erne og de fortrolige personoplysninger endelig nåede frem til Danmarks Statistik, var det blevet åbnet.

På det kinesiske visa-ansøgningskontor Chinese Visa Application Centre har en medarbejder forklaret, at hun modtog brevet, kvitterede for det og åbnede det ved en fejl.

Lige så snart den kinesiske visa-medarbejder opdagede, at det anbefalede brev var stilet til Danmarks Statistik, gik hun de godt 250 meter og afleverede brevet, bedyrer hun ifølge Datatilsynet, som har beskrevet sagen på sin hjemmeside.

Datatilsynet lukker sagen
Statens Serum Instituts Forskerservice - som fra slutningen af 2015 har hørt under Sundhedsdatastyrelsen - har ifølge Datatilsynets hjemmeside erkendt, at cd'erne burde have været krypteret, selvom de blev sendt med anbefalet brev.

"Det er Forskerservices opfattelse, at der var tale om følsomme personoplysninger af meget omfattende karakter, og at det ikke ville kunne udelukkes, at det kunne have haft konkrete konsekvenser for de berørte personer, såfremt oplysningerne rent faktisk var kommet til uvedkommendes kendskab," lyder det på hjemmesiden.

Samtidig mener Forskerservice ikke, at cd'erne er blevet misbrugt af andre, da Forskerservice har modtaget en skriftlig bekræftelse fra det kinesiske visa-ansøgningskontor om, at brevet med cd'erne ikke er blevet læst.

"Forskerservice har ikke fundet anledning til at betvivle Chinese Visa Applications medarbejders forklaring, og vurderer således, at der ikke er tale om et bevist brud på brevhemmeligheden efter straffelovens § 263 stk. 1, nr. 1, og at ingen uberettiget har set de pågældende følsomme oplysninger," lyder det videre på Datatilsynets hjemmeside.

Samtidig oplyser Forskerservice, at den fremover vil efterleve Datatilsynets anbefaling om kryptering af personfølsomme oplysninger, selv om disse oplysninger sendes med anbefalet post.

Har offentlighedens interesse
Offentliggørelsen af miseren kommer i kølvandet på, at tilsynet i sidste uge har truffet afgørelsen i sagen vedrørende brevet fra Forskerservice.

Datatilsynet har besluttet sig for ikke at foretage sig yderligere i sagen.

Samtidig oplyser Datatilsynet til Computerworld, at sagen er blevet offentliggjort grundet et ønske om at øge opmærksomhed på at beskytte datamedier.

I den netop afsluttede sag skete uheldet under transport, men det kunne eksempelvis også dreje sig om en USB-stik indeholdende fortrolige persondataoplysninger, som ikke er blevet krypterede.

Det har desværre ikke været muligt inden for Computerworlds deadline at indhente oplysninger fra Sundhedsdatastyrelsen om hvilke sundhedsoplysninger, der udover de millionvis af CPR-nume lå på de to ukrypterede cd'er.

Forklaringen på, at Datatilsynet har været næsten halvandet år om at træffe afgørelse i sagen ligger dels i, at der forgæves har været forsøgt at indhente yderligere oplysninger om fejlleveringen fra blandt andre Post Danmarks side, dels tilsynets generelle sagsbehandlingstid.

Læs også:
Danske læger politianmeldt for privat snageri i patienters medicinforbrug

Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
TDC tilbyder alligevel fibernet til hundredevis af kunder i Slagelse Kommune
Hundredevis af husstande i Slagelse Kommune kan alligevel få fibernet fra TDC, selv om selskabet har afblæst fiberudrulningen i kommunen.
Computerworld
Forsvarsministeren overvejer at give dansk politi lov til at blokere for websites uden dommerkendelse
Forsvarsminister Trine Bramsen (S) vil diskutere muligheden for at give politiet mulighed for at blokere for websites uden dommerkendelse.
CIO
Podcast: Pandoras CIO Peter Cabello afslører sine tre vigtigste mål for digitaliseringen
Podcast, The Digital Edge: Hør Pandoras CIO Peter Cabello Holmberg fortælle om, hvordan et af verdens største smykkefirmaer arbejder med innovation og digitalisering af et traditionel offline salg, og hvordan Pandora udnytter data til at skabe en bedre kundeoplevelse.
Job & Karriere
10 spændende lederstillinger, som er ledige netop nu
Der er stadigvæk mange ledige it-job. Vi har fundet en række spændende lederstillinger, som du kan søge med det samme.
White paper
Her er 4 overraskende facts om digitaliseringen i detail og produktionsbranchen!
Analyseinstituttet Vanson Bourne foretog i august 2018 en markedsanalyse på vegne af TrueCommerce. Her blev 300 europæiske detail- og produktionsvirksomheder spurgt til deres nuværende samhandelsprocesser. Det kom der fire overraskende facts ud af, som vi bringer i dette whitepaper. Eksempelvis bruges fax stadig af 22% af de adspurgte 300 europæiske virksomheder. Nysgerrig? Så download dette gratis whitepaper nu.