Ekspert: Svært at sige om CPR-forsendelser var lovlige
CPR-SAG: Bløde bestemmelser betyder, at det er vanskeligt at vurdere, om Statens Serums Institut overholdte loven, da de sendte ukrypterede CD'er med personfølsomme oplysninger.
Emma Qvirin Holst
JournalistDet er svært at afgøre, om Statens Serums Institut fulgte loven, da de sendte over fem millioner danskeres CPR-numre og helbredsoplysninger på to ukrypterede CD'er, som ved en fejl endte hos et kinesisk visumbureau.
Det siger jurist Sten Bønsing, der forsker i persondataret ved Aalborg Universitet.
Han peger på, at den gældende sikkerhedsbestemmelse er meget uklar omkring, hvornår oplysninger bør krypteres.
”Derfor kan man ikke med sikkerhed sige, at Staten Serums Institut har overtrådt loven. Men det er så følsomme oplysninger, at jeg vil heller ikke umiddelbart sige, at det er lovligt,” siger han og tilføjer:
”Man kunne godt forstille sig, at man kunne blive dømt på det her i sig selv.”
Følsomme oplysninger skal beskyttes
Usikkerheden skyldes de bløde bestemmelser på området. Bestemmelserne er meget klare, når det kommer til at sende følsomme oplysninger over nettet. De skal krypteres. Men der er ikke taget stilling til, hvad der gøres, når man sender dem i et fysisk brev, forklarer Sten Bønsing.
”Der er kun nogle ret uklare bestemmelser med, at man skal foretage nogle hensigtsmæssige sikkerhedsforanstaltninger eller sådan noget, som man ikke bliver voldsomt meget klogere af,” siger han.
Læs også: Overblik: Sådan endte fem millioner danske CPR-numre hos kinesere
Men samtidig påpeger Sten Bønsing, at jo mere følsomme oplysningerne er, jo mere skal man gøre for at beskytte dem. Og netop CPR-numre og helbredsoplysninger ligger i den forholdsvis tunge kategori, når det kommer til følsomhed.
”Derfor kunne man godt have en fornemmelse af, at Datatilsynet og domstolene ville kunne komme frem til, at når man sender så mange følsomme oplysninger, skal man sikre sig yderlige end bare at sende dem i et anbefalet brev,” siger han.
Behov for flere domstolsafgørelser
Datatilsynet fortæller i sin afgørelse, at man ikke vil foretage sig mere i sagen. Men ifølge Sten Bønsing bør tilsynet lade flere af denne slags sager komme for domstolene og lade dem vurdere, om det er en overtrædelse af loven.
”Det er en af de måder, hvor man kan få en mere klar retstilstand,” siger han og tilføjer, at der også kan være en pointe i at se på at stramme lovgivningen på området.
Bør denne sag komme for en dommer?
”Jeg vil meget nødigt tage stilling til om den konkrete sag. Men jeg synes, at vi har for få domstolsafgørelser i denne type sager.”
Hvad handler CPR-sagen om:
Onsdag offentliggjorde Datatilsynet en afgørelse, hvor det kom frem, at Statens Serum Institut for halvandet år siden har sendt et brev med to CD'er med ukrypterede oplysninger på 5.282.616 danskeres CPR-numre og helbredsoplysninger med anbefalet post til Danmarks Statistik.
Brevet endte dog ved en fejl hos Chinese Visa Application Centre, der ligger tæt på Danmark Statistik på Østerbro i København.
Siden fejlleveringen har Statens Serum Institut krypteret alle de oplysninger, de sender. Det blev instituttet allerede anbefalet at gøre i juni 2013 af Datatilsynet. Men den opfordring opfordring blev først fulgt efter CPR-numrene endte hos det kinesiske visumbureau.
'%3e%3cpath%20d='M174.5%205.49985C138.877%20-19.5379%20106.875%2013.5814%2091.8511%2029.6115C65.0748%2058.1778%2099.1498%2080.3465%20117.152%2037.3094C135.153%20-5.72759%2022.8866%200.0578454%2015.1662%2097.217'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M3.65346%2080.8587L15.109%2097.3301L29.6131%2086.6665'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_627_569'%3e%3crect%20width='163.796'%20height='107.816'%20fill='white'%20transform='matrix(-0.999973%20-0.00733143%20-0.00733143%200.999973%20164.582%201.24609)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
EU
