Hovsa: Ukrypterede cd'er med 5,3 millioner danskeres CPR-numre afleveret til kinesere ved en fejl

Knap 5,3 millioner danskeres CPR-numre og helbredsoplysninger og personnumre sendt med anbefalet brev havnede ved en fejl på et kinesisk myndighedskontor. Datatilsynet gør nu opmærksom på sagen, da tilsynet mener, at den har offentlighedens interesse.

Sidste år udspillede der sig en ganske opsigtsvækkende data-sag på de danske breddegrader.

I midten af februar 2015 sendte Statens Serum Instituts Forskerservice et brev til Danmarks Statistik.

I brevet lå to ukrypterede cd'er med data om 5.282.616 personer bosat i danske kommuner mellem 2010 og 2012.

Mere specifikt indeholdt cd'erne oplysninger om disse folks personnumre og helbredsoplysninger, mens der ikke var opgivet navn og adresse på personerne.

De ukrypterede cd'er blev sendt som anbefalet post, men de nåede dog ikke frem til Danmarks Statistik på Østerbro i København i første omgang.

I stedet blev forsendelsen af Post Danmark afleveret på det kinesiske visa-ansøgningskontor, der ligger omkring 250 meter væk og rundt om et hjørne i forhold statistikhovedsædet.

Da brevet med cd'erne og de fortrolige personoplysninger endelig nåede frem til Danmarks Statistik, var det blevet åbnet.

På det kinesiske visa-ansøgningskontor Chinese Visa Application Centre har en medarbejder forklaret, at hun modtog brevet, kvitterede for det og åbnede det ved en fejl.

Lige så snart den kinesiske visa-medarbejder opdagede, at det anbefalede brev var stilet til Danmarks Statistik, gik hun de godt 250 meter og afleverede brevet, bedyrer hun ifølge Datatilsynet, som har beskrevet sagen på sin hjemmeside.

Datatilsynet lukker sagen
Statens Serum Instituts Forskerservice - som fra slutningen af 2015 har hørt under Sundhedsdatastyrelsen - har ifølge Datatilsynets hjemmeside erkendt, at cd'erne burde have været krypteret, selvom de blev sendt med anbefalet brev.

"Det er Forskerservices opfattelse, at der var tale om følsomme personoplysninger af meget omfattende karakter, og at det ikke ville kunne udelukkes, at det kunne have haft konkrete konsekvenser for de berørte personer, såfremt oplysningerne rent faktisk var kommet til uvedkommendes kendskab," lyder det på hjemmesiden.

Samtidig mener Forskerservice ikke, at cd'erne er blevet misbrugt af andre, da Forskerservice har modtaget en skriftlig bekræftelse fra det kinesiske visa-ansøgningskontor om, at brevet med cd'erne ikke er blevet læst.

"Forskerservice har ikke fundet anledning til at betvivle Chinese Visa Applications medarbejders forklaring, og vurderer således, at der ikke er tale om et bevist brud på brevhemmeligheden efter straffelovens § 263 stk. 1, nr. 1, og at ingen uberettiget har set de pågældende følsomme oplysninger," lyder det videre på Datatilsynets hjemmeside.

Samtidig oplyser Forskerservice, at den fremover vil efterleve Datatilsynets anbefaling om kryptering af personfølsomme oplysninger, selv om disse oplysninger sendes med anbefalet post.

Har offentlighedens interesse
Offentliggørelsen af miseren kommer i kølvandet på, at tilsynet i sidste uge har truffet afgørelsen i sagen vedrørende brevet fra Forskerservice.

Datatilsynet har besluttet sig for ikke at foretage sig yderligere i sagen.

Samtidig oplyser Datatilsynet til Computerworld, at sagen er blevet offentliggjort grundet et ønske om at øge opmærksomhed på at beskytte datamedier.

I den netop afsluttede sag skete uheldet under transport, men det kunne eksempelvis også dreje sig om en USB-stik indeholdende fortrolige persondataoplysninger, som ikke er blevet krypterede.

Det har desværre ikke været muligt inden for Computerworlds deadline at indhente oplysninger fra Sundhedsdatastyrelsen om hvilke sundhedsoplysninger, der udover de millionvis af CPR-nume lå på de to ukrypterede cd'er.

Forklaringen på, at Datatilsynet har været næsten halvandet år om at træffe afgørelse i sagen ligger dels i, at der forgæves har været forsøgt at indhente yderligere oplysninger om fejlleveringen fra blandt andre Post Danmarks side, dels tilsynets generelle sagsbehandlingstid.

Læs også:
Danske læger politianmeldt for privat snageri i patienters medicinforbrug


Premium
Finanstilsynet kritiserer Nets og udsteder tre påbud: Selskabet lever ikke op til sine forpligtelser i betalingsloven
Nets får tildelt tre påbud af Finanstilsynet, der kritiserer selskabet i stærke vendinger for ikke at leve op til sine forpligtelser i betalingsloven.
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.