Hovsa: Ukrypterede cd'er med 5,3 millioner danskeres CPR-numre afleveret til kinesere ved en fejl

Knap 5,3 millioner danskeres CPR-numre og helbredsoplysninger og personnumre sendt med anbefalet brev havnede ved en fejl på et kinesisk myndighedskontor. Datatilsynet gør nu opmærksom på sagen, da tilsynet mener, at den har offentlighedens interesse.

Artikel top billede

Sidste år udspillede der sig en ganske opsigtsvækkende data-sag på de danske breddegrader.

I midten af februar 2015 sendte Statens Serum Instituts Forskerservice et brev til Danmarks Statistik.

I brevet lå to ukrypterede cd'er med data om 5.282.616 personer bosat i danske kommuner mellem 2010 og 2012.

Mere specifikt indeholdt cd'erne oplysninger om disse folks personnumre og helbredsoplysninger, mens der ikke var opgivet navn og adresse på personerne.

De ukrypterede cd'er blev sendt som anbefalet post, men de nåede dog ikke frem til Danmarks Statistik på Østerbro i København i første omgang.

I stedet blev forsendelsen af Post Danmark afleveret på det kinesiske visa-ansøgningskontor, der ligger omkring 250 meter væk og rundt om et hjørne i forhold statistikhovedsædet.

Da brevet med cd'erne og de fortrolige personoplysninger endelig nåede frem til Danmarks Statistik, var det blevet åbnet.

På det kinesiske visa-ansøgningskontor Chinese Visa Application Centre har en medarbejder forklaret, at hun modtog brevet, kvitterede for det og åbnede det ved en fejl.

Lige så snart den kinesiske visa-medarbejder opdagede, at det anbefalede brev var stilet til Danmarks Statistik, gik hun de godt 250 meter og afleverede brevet, bedyrer hun ifølge Datatilsynet, som har beskrevet sagen på sin hjemmeside.

Datatilsynet lukker sagen

Statens Serum Instituts Forskerservice - som fra slutningen af 2015 har hørt under Sundhedsdatastyrelsen - har ifølge Datatilsynets hjemmeside erkendt, at cd'erne burde have været krypteret, selvom de blev sendt med anbefalet brev.

"Det er Forskerservices opfattelse, at der var tale om følsomme personoplysninger af meget omfattende karakter, og at det ikke ville kunne udelukkes, at det kunne have haft konkrete konsekvenser for de berørte personer, såfremt oplysningerne rent faktisk var kommet til uvedkommendes kendskab," lyder det på hjemmesiden.

Samtidig mener Forskerservice ikke, at cd'erne er blevet misbrugt af andre, da Forskerservice har modtaget en skriftlig bekræftelse fra det kinesiske visa-ansøgningskontor om, at brevet med cd'erne ikke er blevet læst.

"Forskerservice har ikke fundet anledning til at betvivle Chinese Visa Applications medarbejders forklaring, og vurderer således, at der ikke er tale om et bevist brud på brevhemmeligheden efter straffelovens § 263 stk. 1, nr. 1, og at ingen uberettiget har set de pågældende følsomme oplysninger," lyder det videre på Datatilsynets hjemmeside.

Samtidig oplyser Forskerservice, at den fremover vil efterleve Datatilsynets anbefaling om kryptering af personfølsomme oplysninger, selv om disse oplysninger sendes med anbefalet post.

Har offentlighedens interesse

Offentliggørelsen af miseren kommer i kølvandet på, at tilsynet i sidste uge har truffet afgørelsen i sagen vedrørende brevet fra Forskerservice.

Datatilsynet har besluttet sig for ikke at foretage sig yderligere i sagen.

Samtidig oplyser Datatilsynet til Computerworld, at sagen er blevet offentliggjort grundet et ønske om at øge opmærksomhed på at beskytte datamedier.

I den netop afsluttede sag skete uheldet under transport, men det kunne eksempelvis også dreje sig om en USB-stik indeholdende fortrolige persondataoplysninger, som ikke er blevet krypterede.

Det har desværre ikke været muligt inden for Computerworlds deadline at indhente oplysninger fra Sundhedsdatastyrelsen om hvilke sundhedsoplysninger, der udover de millionvis af CPR-nume lå på de to ukrypterede cd'er.

Forklaringen på, at Datatilsynet har været næsten halvandet år om at træffe afgørelse i sagen ligger dels i, at der forgæves har været forsøgt at indhente yderligere oplysninger om fejlleveringen fra blandt andre Post Danmarks side, dels tilsynets generelle sagsbehandlingstid.

Læs også:
Danske læger politianmeldt for privat snageri i patienters medicinforbrug

Læses lige nu

    Navnenyt fra it-Danmark

    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura

    Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

    Lauren De Ventura

    emagine Expertise A/S

    Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse
    IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

    Lasse Hounsgaard

    IFS Danmark A/S