Myndighed sendte mio af cpr-numre med posten: Havnede hos kinesisk firma

Ledelse

24/7/16 9:09

Nick Allentoft

Et brev indeholdende to cd'er med ukrypterede sundhedsoplysninger blev leveret til kinesisk virksomhed. PostDanmarks skyld. Det er selvfølgelig uheldigt. Men sådan var praksis, lyder forklaringerne.
Godt fem millioner danske cpr-numre og helbredsoplysninger er ved en fejl blevet leveret til en virksomhed, der hjælper danskere med at skrive og sende visumansøgninger til Kina.   Det fremgår af en afgørelse fra Datatilsynet. I afgørelsen kritiseres det samtidig, at oplysningerne ikke var krypteret.

Det var Statens Serum Institut (SSI), der egentlig havde sendt oplysningerne i et anbefalet brev til Danmarks Statistik. Men ved en fejl endte brevet hos Chinese Visa Application Centre, som ifølge sin egen hjemmeside er en kommerciel virksomhed, der uafhængigt og uden at være formelt knyttet til de kinesiske myndigheder håndterer flere rutineopgaver forbundet med visumansøgninger. 

Da Danmarks Statistik siden modtog brevet, var det åbnet.   I brevet lå to ukrypterede cd'er med personfølsomme oplysninger. Mere præcist drejede det sig om personnumre og data på 5,28 millioner personer, der var bosat i danske kommuner mellem 2010 og 2012. Navn og adresse fremgik dog ikke. SSI medgiver, at der var tale om "følsomme personoplysninger af meget omfattende karakter". Instituttet mener dog ikke, at oplysningerne nåede at komme i de forkerte hænder.   Det har SSI skrevet i et svar til Datatilsynet med henvisning til Forskerservice, der i dag er en enhed under den nyoprettede Sundhedsdatastyrelse. SSI oplyser i et svar til Datatilsynet, at der var tale om "følsomme personoplysninger af meget omfattende karakter".  

- Det er imidlertid Forskerservices opfattelse, at de oplysninger, der fejlagtigt blev afleveret til Chinese Visa Application Centre, hverken kom andre personer i hænde eller blev set af andre personer. 

Instituttet forklarer i sit svar, at det har talt med medarbejderen fra Chinese Visa Application Centre, som fortæller, at hun modtog brevet og åbnede det ved en fejl. Da medarbejderen opdagede, at den rette modtager var Danmarks Statistik, afleverede hun brevet til dem. Medarbejderen har siden skriftligt bekræftet, at hun selv gik over til Danmarks Statistik, som har kontor nær den kinesiske virksomhed, for at aflevere brevet med cd'erne til den rette modtager. Ifølge SSI's oplysninger havde kineseren ikke set indholdet.   Det er ikke første gang, at Datatilsynet har kritiseret SSI. Tilsynet har tidligere anbefalet myndigheden, at datamedier skal krypteres, når de sendes med post. Datatilsynet noterer, at SSI nu vil ændre retningslinjer og fremover altid kryptere data, der sendes med post.     Partier kalder sundhedsministeren i samråd efter cpr-læk DF, LA og Enhedslisten vil vide, hvordan fem millioner danske cpr-numre kunne havne hos et kinesisk firma.   "Rystende", "helt ude i hampen", "skandaløst".   Hvordan kunne det ske, at flere end fem millioner danske cpr-numre og helbredsoplysninger ved en fejl blev leveret til en kinesisk virksomhed? Det spørger man sig selv om i flere partier, og både Liberal Alliance og Dansk Folkeparti kalder derfor sundhedsminister Sophie Løhde (V) i samråd om lækket.   - Det er under al kritik. Ministeren må svare på, hvordan det kunne ske, hvem der har ansvaret, og hvordan vi sikrer, at det ikke sker fremover, siger sundhedsordfører Liselott Blixt (DF).   Samme melding lyder fra Liberal Alliances retsordfører, Christina Egelund.   - Det er under ingen omstændigheder acceptabelt, at offentlige myndigheder kan overlevere fem millioner cpr-numre til Chinese Visa Application Centre på grund af en fejllevering af et brev, siger hun.   Også Enhedslistens fungerende sundhedsordfører, Finn Sørensen, undrer sig.   - Man må da stille sig det helt naturlige spørgsmål: Hvorfor bliver den slags sendt med posten? Hvorfor bliver det ikke afleveret personligt det rette sted af en medarbejder?   Ifølge direktør Lisbeth Nielsen fra Sundhedsdatastyrelsen, der har overtaget flere arbejdsopgaver fra SSI, blev proceduren lavet om i februar 2015, da myndighederne blev bekendt med de fejlleverede cd'er.   Manglende påpasselighed med data overrasker minister Fortrolige oplysninger skal behandles med varsomhed. Men det har sundhedsmyndighederne tidligere ikke været gode nok til.   Sådan lyder det i en skriftlig kommentar fra sundhedsminister Sophie Løhde (V). Den kommer, efter det onsdag er kommet frem, at mere end fem millioner cpr-numre og tilhørende helbredsoplysninger ved en fejl er endt hos en kinesisk virksomhed på ukrypterede cd'er.   - Det overrasker mig ærlig talt, at sundhedsmyndighederne tidligere ikke har været mere påpasselige med helbredsoplysninger. Det er jo fortrolige oplysninger, og derfor er det også helt afgørende, at oplysningerne bliver behandlet derefter, og det har åbenbart ikke været tilfældet, skriver Sophie Løhde.   Selve sagen skete i februar 2015, men kommer først til offentlighedens kendskab nu.     - Procedurerne er i dag lavet om. Helbredsoplysninger bliver nu krypteret, så det ikke umiddelbart er muligt at læse dem.   - Det er ganske fornuftigt, og sundhedsmyndighederne burde allerede for halvandet år siden, da episoden fandt sted under den tidligere regering, have haft samme sikkerhedsforanstaltning, skriver Sophie Løhde.   Patientforeninger vil sikre fortrolighed i sundhedsvæsen Det bør jo for pokker ikke kunne lade sig gøre, siger Sinds formand om fejlleveret brev fra Seruminstituttet.   - Det bør jo for pokker ikke kunne lade sig gøre. Man bør statuere et eksempel og få placeret et ansvar. Det er så kritisabelt. Hvis man ikke kan have tiltro til, at det, man siger til sundhedsvæsenet, forbliver privat, så nedbryder vi hele fundamentet for vores sundhedsvæsen, lyder det fra Knud Kristensen.   Han mener ikke, at man bare kan trække på skuldrene over dårlig sikkerhed i omgangen med sundhedsoplysninger.   - Det er jo ikke sikkert, at oplysningerne kommer ud. Men når sådan noget her sker, er der en risiko. Når ens sundhedsoplysninger kommer ud, kan det jo have nogle grimme konsekvenser. Potentielle arbejdsgivere, bekendte eller naboer skal ikke nødvendigvis kende ens sundhedsoplysninger, siger han.   Hos Patientforeningen, der oprindeligt er startet som en støtteforening til et privathospital, mener formand Niels Jørgen Langkilde, at episoden kalder på, at man ser mere overordnet på datasikkerheden i sundhedsvæsenet.   - Tiden er inde til, at man nedsætter en kommission til at gennemgå datasikkerheden og databehandlingen på sundhedsområdet. Det skal man gøre, så patienterne igen kan føle sig trygge ved at aflevere informationer til sundhedsvæsenet, siger han.   Kinesisk firma: Vi har ikke set fejlleverede data Det kinesiske firma, der i 2015 fejlagtigt fik to cd'er med personnumre og sundhedsdata på 5,28 millioner danskere, så aldrig, hvad der var på cd'erne. Det skriver Chinese Visa Application Centre i en pressemeddelelse.   - Hver dag modtager vi flere breve med visumansøgninger fra forskellige steder i Danmark. En dag i februar 2015 åbnede en ansat et brev, hvor der i stedet for pas var cd'er, hedder det i pressemeddelelsen.   Den ansatte opdagede, at brevet var afleveret til firmaet ved en fejl. Den rette modtager var SundhedsPlatformen, der ligger en etage højere oppe i bygningen end det kinesiske firma.  Den ansatte gik til lederen af sit eget firma, der gav hende besked på at gå op og aflevere brevet til den rette modtager.   - De ansatte i SundhedsPlatformen takkede hende for at aflevere brevet så hurtigt, skriver firmaet i pressemeddelelsen og fortsætter:   - Ingen af vores ansatte var klar over eller var interesseret i, hvilken type cd'er der var i brevet.   Firmaets beskrivelse af hændelsesforløbet passer med den udlægning, som direktøren for Sundhedsdatastyrelsen, Lisbeth Nielsen, er kommet med.  Hun forsikrede, at danskerne ikke bør være nervøse for deres data. Oplysningerne endte kun i hænderne hos én ansat, der straks afleverede brevet til den rette modtager. Episoden fik dog den betydning, at Sundhedsdatastyrelsen nu krypterer alle data, før de bliver sendt til andre.   Styrelse: Vi passer godt på danskernes sundhedsdata At godt fem millioner danske cpr-numre og helbredsoplysninger fejlagtigt i 2015 blev afleveret til et kinesisk firma er ikke en fejl hos hverken Sundhedsdatastyrelsen eller Statens Serum Institut (SSI).   Det forsikrer direktør for Sundhedsdatastyrelsen Lisbeth Nielsen.  Derimod er det Post Danmark, der er skyld i, at et brev med to cd'er, der indeholdt personnumre og data på 5,28 millioner personer, ved en fejl endte hos firmaet Chinese Visa Application Centre.   - Post Danmark gør den grundlæggende fejl at aflevere data et forkert sted. Men vi bør – og det gør vi nu – kryptere data på de her cd’er, siger direktøren.   Det var Statens Serum Institut (SSI), der havde sendt oplysningerne i et anbefalet brev med to ukrypterede cd’er til Danmarks Statistik. Men brevet endte altså i hænderne på en ansat i det kinesiske firma. Og det er selvfølgelig uheldigt. Men sådan var praksis, lyder det fra Lisbeth Nielsen.   - Vi har betragtet anbefalede breve som en sikker måde at sende på, hvor man er sikker på, at den, som brevet er stilet til, også er den, der modtager brevet. Nu sender vi kun krypterede data afsted. Ellers sender vi dem digitalt til en godkendt server. Eller også får man adgang hos os til et begrænset datasæt, hvor vi så kan logge dem, der har adgang til data, siger hun.   Ifølge Lisbeth Nielsen blev proceduren ændret i februar 2015, da myndighederne blev bekendt med de fejlleverede cd'er.   Og da oplysningerne kun endte i hænderne hos én ansat, der straks afleverede brevet til den rette modtager, bør danskerne ifølge Lisbeth Nielsen ikke være nervøse for, at deres sundhedsoplysninger ligger frit fremme.   - Vi mener ikke, oplysningerne er kommet ud til de forkerte. Jeg mener ikke, man bør være bekymret.  Vi har ændret praksis nu. Men vi har ikke begået fejl, da det var den politik, vi havde. Om det får konsekvenser hos Post Danmark, det ved jeg ikke.   Spørgsmål: Bør danskerne være nervøse for deres sundhedsoplysninger?   - Det mener jeg ikke, de bør. Dem passer vi godt på, lyder det fra direktøren.   Sundhedsdatastyrelsen blev oprettet 1. november 2015 og har overtaget en del af Seruminstituttets tidligere opgaver.   FAKTA: Oplysninger om diabetes og cancer blev fejlleveret En kinesisk virksomhed fik adgang til over fem millioner cpr-numre og tilknyttede private helbredsoplysninger. PostNord beklager onsdag, at det daværende Post Danmark den 16. februar 2015 leverede et anbefalet brev med to cd'er til den kinesiske virksomhed Chinese Visa Application Centre i stedet for til Danmarks Statistik.    De to har adresse omkring 100 meter fra hinanden på Østerbro i København.    Cd'erne indeholdt ukrypteret data med personfølsomme oplysninger, der var sendt fra Danmarks Serum Institut.   TV2 har fået adgang til dokumenter, der viser, hvilke oplysninger de to cd'er gemte på. Her kan du se, hvad der ifølge TV2 lå på dem:   * Der er tale om cirka 5,3 millioner cpr-numre med tilhørende omfattende sundhedsoplysninger. Cpr-numrene var for alle herboende danskere fra 2010 til 2012.   * Helbredsoplysningerne gik helt tilbage til 2005.   * Helbredsoplysningerne omhandlede primært diabetespatienter, cancerpatienter og personer, der har været indlagt i psykiatrien.   * For diabetespatienter er det oplysninger om, hvornår sygdommen blev registreret, antal blodsukkermålinger og årsagen til sygdommen.   * For cancerpatienter var der koblet en diagnose til det enkelte cpr-nummer. Der var også oplyst dato for diagnosen.   * Ifølge TV2 var de mest vidtrækkende oplysninger knyttet til personer, der har været indlagt i psykiatrien. Her kunne man koble cpr-nummeret til oplysninger om, hvor, hvornår og hvorfor personen var indlagt. Der var også oplysninger om selve behandlingen.   Sagen er kommet frem, efter at Datatilsynet har undersøgt episoden. Tilsynet oplyser, at en medarbejder fra den kinesiske virksomhed åbnede brevet, men at vedkommende ikke synes at have kigget i materialet, før hun afleverede brevet til Danmarks Statistik.   Kilder: TV2, Datatilsynet, Sundhedsdatastyrelsen.   /ritzau/  

Annonce