Hovsa: Ukrypterede cd'er med 5,3 millioner danskeres CPR-numre afleveret til kinesere ved en fejl

Knap 5,3 millioner danskeres CPR-numre og helbredsoplysninger og personnumre sendt med anbefalet brev havnede ved en fejl på et kinesisk myndighedskontor. Datatilsynet gør nu opmærksom på sagen, da tilsynet mener, at den har offentlighedens interesse.

Sidste år udspillede der sig en ganske opsigtsvækkende data-sag på de danske breddegrader.

I midten af februar 2015 sendte Statens Serum Instituts Forskerservice et brev til Danmarks Statistik.

I brevet lå to ukrypterede cd'er med data om 5.282.616 personer bosat i danske kommuner mellem 2010 og 2012.

Mere specifikt indeholdt cd'erne oplysninger om disse folks personnumre og helbredsoplysninger, mens der ikke var opgivet navn og adresse på personerne.

De ukrypterede cd'er blev sendt som anbefalet post, men de nåede dog ikke frem til Danmarks Statistik på Østerbro i København i første omgang.

I stedet blev forsendelsen af Post Danmark afleveret på det kinesiske visa-ansøgningskontor, der ligger omkring 250 meter væk og rundt om et hjørne i forhold statistikhovedsædet.

Da brevet med cd'erne og de fortrolige personoplysninger endelig nåede frem til Danmarks Statistik, var det blevet åbnet.

På det kinesiske visa-ansøgningskontor Chinese Visa Application Centre har en medarbejder forklaret, at hun modtog brevet, kvitterede for det og åbnede det ved en fejl.

Lige så snart den kinesiske visa-medarbejder opdagede, at det anbefalede brev var stilet til Danmarks Statistik, gik hun de godt 250 meter og afleverede brevet, bedyrer hun ifølge Datatilsynet, som har beskrevet sagen på sin hjemmeside.

Datatilsynet lukker sagen
Statens Serum Instituts Forskerservice - som fra slutningen af 2015 har hørt under Sundhedsdatastyrelsen - har ifølge Datatilsynets hjemmeside erkendt, at cd'erne burde have været krypteret, selvom de blev sendt med anbefalet brev.

"Det er Forskerservices opfattelse, at der var tale om følsomme personoplysninger af meget omfattende karakter, og at det ikke ville kunne udelukkes, at det kunne have haft konkrete konsekvenser for de berørte personer, såfremt oplysningerne rent faktisk var kommet til uvedkommendes kendskab," lyder det på hjemmesiden.

Samtidig mener Forskerservice ikke, at cd'erne er blevet misbrugt af andre, da Forskerservice har modtaget en skriftlig bekræftelse fra det kinesiske visa-ansøgningskontor om, at brevet med cd'erne ikke er blevet læst.

"Forskerservice har ikke fundet anledning til at betvivle Chinese Visa Applications medarbejders forklaring, og vurderer således, at der ikke er tale om et bevist brud på brevhemmeligheden efter straffelovens § 263 stk. 1, nr. 1, og at ingen uberettiget har set de pågældende følsomme oplysninger," lyder det videre på Datatilsynets hjemmeside.

Samtidig oplyser Forskerservice, at den fremover vil efterleve Datatilsynets anbefaling om kryptering af personfølsomme oplysninger, selv om disse oplysninger sendes med anbefalet post.

Har offentlighedens interesse
Offentliggørelsen af miseren kommer i kølvandet på, at tilsynet i sidste uge har truffet afgørelsen i sagen vedrørende brevet fra Forskerservice.

Datatilsynet har besluttet sig for ikke at foretage sig yderligere i sagen.

Samtidig oplyser Datatilsynet til Computerworld, at sagen er blevet offentliggjort grundet et ønske om at øge opmærksomhed på at beskytte datamedier.

I den netop afsluttede sag skete uheldet under transport, men det kunne eksempelvis også dreje sig om en USB-stik indeholdende fortrolige persondataoplysninger, som ikke er blevet krypterede.

Det har desværre ikke været muligt inden for Computerworlds deadline at indhente oplysninger fra Sundhedsdatastyrelsen om hvilke sundhedsoplysninger, der udover de millionvis af CPR-nume lå på de to ukrypterede cd'er.

Forklaringen på, at Datatilsynet har været næsten halvandet år om at træffe afgørelse i sagen ligger dels i, at der forgæves har været forsøgt at indhente yderligere oplysninger om fejlleveringen fra blandt andre Post Danmarks side, dels tilsynets generelle sagsbehandlingstid.

Læs også:
Danske læger politianmeldt for privat snageri i patienters medicinforbrug


Premium
Skal du tage en Pro eller ej? Sådan vælger du imellem iPhone 12 og 12 Pro
Apples to iPhone-nyheder minder overraskende meget om hinanden. Der er dog væsentlige forskelle, som du skal være opmærksom på, når du vælger.
Computerworld
Det nye MitID er et tigerspring for bedre cybersikkerhed
Klumme: Det nye MitID er en enestående mulighed for et markant løft af it-sikkerheden i danske kommuner. Med baggrund i udfasningen af det nuværende NemID kan de samtidig forbedre og styrke deres it-systemers værn overfor cyberangreb.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Regner din ferie væk? Brug tiden på at søge en af disse otte stillinger, der er ledige netop nu
Det sjasker ned over hele Danmark. Du kan bruge de våde sommerdage på at søge et af disse otte job, der er ledige lige nu.
White paper
Forebyg kritiske angreb med moderne autentifikation
Det er nemmest at forebygge kritiske cyberangreb, når medarbejderne kun tilgår data og systemer i sikkerhed bag firewall og øvrige sikkerhedsforanstaltninger. Virkeligheden er imidlertid, at medarbejderne – særligt siden foråret 2020 – i dramatisk stigende omfang arbejder hjemmefra, på alle tider af døgnet og fra enheder ejet af både dem selv og af virksomheden. Det sætter din sikkerhedsinfrastruktur under pres, og en af de mest effektive modforholdsregler er en moderne autentifikationsløsning, så kun rette vedkommende får adgang til forretningskritiske systemer og data. Det kan du læse mere om i denne hvidbog, som også går i dybden med, hvor, hvordan og under hvilke omstændigheder en sådan løsning kan indgå som et effektivt element i din samlede cybersikkerhedsindsats.