Rasmus krævede oplysninger om statens læk af hans personlige sundhedsdata - men også svaret blev lækket

Rasmus Malver var en af de 5,3 millioner danskere, hvis CPR-nummer ved en fejl blev sendt til et kinesisk kontor fornylig. Efter fejlen søgte han aktindsigt hos dansk myndighed. Svaret blev ved en fejl igen sendt til en fremmed modtager. "Borgerne får bøder, men staten kan gøre det igen og igen uden at det får konsekvenser," siger en utilfreds Rasmus Malver.

Den jurauddannede Rasmus Malver er ved at godt træt af det offentliges omgang med hans personlige data.

Flere gange har han oplevet, at offentlige myndigheder sløser så meget med hans sundhedsdata og deslige, at disse data er havnet i andre folks indbakker.

Senest har han fået en mail fra Sundhedsdatastyrelsen, som beklager endnu en fejlaflevering af personlige data.

Beklagelsen kommer oven på den groteske sag om fejlaflevering af 5,3 millioner danskeres CPR-numre på to ukrypterede cd-rom'er, som i stedet for at blive leveret hos Danmarks Statistik havnede på det kinesiske visumansøgningskontor i København.

Det kan du læse mere om her: Ukrypterede cd'er med 5,3 millioner danskeres CPR-numre afleveret til kinesere ved en fejl

Afleverer data til anden borger
Efter den oprindelige sag var ude i pressen, søgte Rasmus Malver aktindsigt i, hvorvidt hans egne data endnu engang var havnet i hænderne på den forkerte modtager.

Han var desuden interesseret i at se, hvilke data Serum Instituttets Forskerservice igennem et anbefalet brev hos Post Danmark havde afleveret til de kinesiske visumfolk.

Men da Sundhedsdatastyrelsen, som siden 2015 har haft ansvaret for databehandlingen hos Statens Serum Instituts Forskerservice, vil sende hans data fra den oprindelige fejlaflevering, bliver mailen med Rasmus Malvers persondata sendt til en anden borger.

"Vi har gennemført en intern undersøgelse, der har vist, at den medarbejder, der på mine vegne skulle afsende den sikre mail fra vores hovedpostkasse, ved en fejl indsatte en anden mailadresse end din i modtagerfeltet," lyder det i forklaringen fra Sundhedsdatastyrelsen, som fortsætter:

"Modtageren af mailen har kontaktet Sundhedsdatastyrelsen og gjort opmærksom på fejlen. Vedkommende har også bekræftet, at han har slettet mailen."

Ville udstille hykleriet
Rasmus Malver har siden fået udleveret sine data fra de fejlaflevede CD-rom'er.

Han fortæller til Computerworld, at data udover CPR-numret drejer sig om hospitalsnumre og afdelingsnumre vedrørende tidligere indlæggelser, hvilket han finder krænkende.

"Jeg skrev i første omgang til dem (Sundhedsdatastyrelsen, red.), fordi jeg oven på Søren Louv-Jansen-sagen gerne ville have 15.000 kroner i kompensation for statens sløseri med mine data," forklarer Rasmus Malver.

Henvisningen til Søren Louv-Jansen-sagen handler om en it-studerende, der i 2012 udstillede flere politikeres CPR-numre for at påvise problemer med vores CPR-system.

Den sag kan du læse mere om her: Lagde politikeres cpr-numre på nettet: Nu er han dømt

"Jeg ville ved at bede om at få mine data udleveret gerne udstille hykleriet om, at borgeres får bøder for at vise CPR-numre, mens staten kan gøre det igen og igen, uden at det får konsekvenser," forklarer Rasmus Malver til Computerworld.

Ingen kompensation i vente
I brevet til Rasmus Malver forholder Sundhedsdatastyrelsen sig også til kompensationskravet, som bliver afvist med følgende forklaring:

"Vi kan ikke imødekomme din anmodning, da Statens Serum Institut benyttede en anerkendt forsendelsesmåde, da fejlafleveringen skete ved Post Danmark, og da data på CD‐rommerne efter det oplyste ikke er kommet uberettigede til kundskab."

I midlertidigt afviser Sundhedsdatastyrelsen ikke, at der kan komme kompensation i spil, fordi Rasmus Malver i anden omgang har fået sendt sine sundhedsdata ud til en helt anden borger.

Den afgørelse ligger nu hos Kammeradvokaten, som vil komme med en udtalelse i sagen - formentligt i begyndelsen af næste uge.

Det forklarer afdelingschef for Compliance, Sikkerhed & Internationale Relationer i Sundhedsdatastyrelsen, Birgitte Drews, til Computerworld.

"Fejlen er opstået, da vi efter CD-rom-sagen modtog en række henvendelser fra borgerne om, hvorvidt deres sundhedsdata lå på CD-rom'erne. I den konkrete sag, som du nævner, har en medarbejder byttet om på mailadresser, så en anden borger har modtaget de efterspurgte sundhedsoplysninger," siger hun.

Læs også: 'Menneskelig fejl' er en dårlig undskyldning: Slå nu hårdt ned på sløseri med persondata

Hun oplyser samtidigt, at Sundhedsdatastyrelsen på grund af fejlforsendelsen har haft to medarbejdere til at gennemgå alle udsendte mails vedrørende CD-rom-sagen sammen.

De to medarbejdere har ifølge Birgitte Drews verificeret, at der er tale om en enkeltstående fejl.

Sagen havnet på ministerens kontor
Men her stopper sagen ingenlunde.

For den oprindelige CD-rom-sag er havnet på sundhedsminister Sophie Løhdes (V) bord, som har bedt eksterne konsulenter i persondatabeskyttelse om at gennemgå de statslige sundhedsmyndighedernes håndtering af personfølsomme sundhedsdata.

Det er sket efter Rasmus Malvers sag, hvor data er udleveret til en helt anden borger, mens der også er dukket en lignende sag frem hos Styrelsen for Patientsikkerhed, hvor en læge sendte oplysninger til en forkert mailadresse.

"Vi kan desværre ikke gardere os 100 procent mod, at der sker menneskelige fejl. Men det er utroligt vigtigt, at vi gør alt, hvad vi kan, for at minimere risikoen for, at personoplysninger, som vores myndigheder har ansvaret for, kommer i de forkerte hænder," skriver Sophie Løhde i en mail til Altinget.

Tilbage står Rasmus Malver, der siden 2011, har oplevet mindst fire tilfælde af, hvor hans data er havnet alle mulige og umulige steder.

"Men at man skyder skylden på fejlafleveringen af CD-rom'erne i første tilfælde på Post Danmark, svarer jo til, at man er dømt for røveri og undskylder sig med at gå i kondisko," siger Rasmus Malver for at illustrere goddag-mand-økseskaft-oplevelsen.

Han fortæller, at hvis han bliver tilkendt kompensation i sagen om den fejlsendte mail, vil kompensationen i så fald gå til førnævnte Søren Louv-Jansen.

I den første sag med CD-rom'erne har Datatilsynet kritiseret Sundhedsdatastyrelen og indskærpet, at personhenførbare sundhedsoplysninger fremover skal krypteres, selvom de bliver sendt med anbefalet brev.

Læs også:
Hovsa: Ukrypterede cd'er med 5,3 millioner danskeres CPR-numre afleveret til kinesere ved en fejl

Efter kæmpebrøler med udlevering af CPR-numre til kinesere: Sådan er sikkerheden strammet op




Premium
Huawei ville have skriftlig garanti mod udelukkelse på det danske marked - Udenrigsministeriet afviste
Kinesiske Huawei har anmodet om en skriftlig garanti mod udelukkelse på det danske marked. Anmodningen blev afvist af udenrigsministeriet, hvor argumentet lød, at det ikke var "kutyme" at give specifikke selskaber skriftlige tilkendegivelser om, hvorvidt de er velkomne til at gøre investeringer i Danmark.
Computerworld
Kinesiske TikTok lukker ned i Hong Kong efter indførelse af censur-lov
TikToks kinesiske moderselskab Bytedance lukker for adgang til den populære app i Hong Kong. Til gengæld vil en kinesisk version af appen fortsat være tilgængelig i Hong Kong
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
God it-sikkerhed kræver hurtige og kontinuerlige opdateringer på tværs af dit it-landskab
Konsekvenserne kan være uoverskuelige, når en it-kriminel får adgang til virksomhedens systemer. Typisk kan tabet af tid, tabet af indtægter og tabet af omdømme gøres op i millioner. I dette whitepaper kan du derfor læse om fordelen ved kontinuerligt at arbejde med it-sikkerhed og sårbarheder – og hvordan du kan sikre hurtige og kontinuerlige opdateringer på tværs af dit it-landskab. Også uden at skulle bruge dagevis på at researche trusler og de relevante opdateringer.