Overblik: Sådan endte fem millioner danske CPR-numre hos kinesere

DATA-UPS: Endnu gang er Danmark blevet ramt af en sag om sjusk med borgernes personfølsomme oplysninger. Få overblik over sagen her.

Foto: Jonas Skovbjerg Fogh/Scanpix
Lasse LangeEmma Qvirin Holst

Hvordan endte fem millioner danskeres ukrypterede CPR-numre og helbredsoplysninger hos et kinesisk visumbureau? Hvem har ansvaret? Og hvad er konsekvenserne?

Få overblikket her.

Sådan opstod fejlen
For godt halvandet år siden skulle Statens Serums Institut sende godt fem millioner danske CPR-numre og helbredsoplysninger til Danmarks Statistik.

Ved en fejl endte oplysningerne hos et kinesisk visumbureau, der er nabo til Danmarks Statistik på Østerbro i København.

Oplysningerne blev opbevaret på to ukrypterede cd’er, der blev sendt i et anbefalet brev. Angiveligt afleverede postbudet simpelthen forsendelsen på den forkerte adresse.

Sagen kom frem onsdag, hvor Datatilsynet offentliggjorde sin afgørelse i sagen.

Hvem har ansvaret?
Allerede i juni 2013 advarede Datatilsynet Statens Serum Institut mod at sende ukrypteret data med posten, hvilket dog ikke umiddelbart fik instituttet til at ændre praksis.

I november 2015 overtog Sundhedsdatastyrelsen en række opgaver fra Statens Serum Institut, men her vil man ikke vedkende sig et ansvar for miseren.

Anbefalede breve er nemlig grundlæggende en sikker måde at overlevere data på, siger Sundhedsdatastyrelsens direktør Lisbeth Nielsen til TV 2.

Hun placerer ansvaret hos Post Danmark.

”Post Danmark gør den grundlæggende fejl at aflevere data et forkert sted,” siger Lisbeth Nielsen til TV 2.

Alligevel er myndighederne nu begyndt at kryptere data.

Post Danmark er på nuværende tidspunkt tilbageholdende med at kommentere på sagen i medierne, men ifølge TV 2 har Post Danmark overfor Datatilsynet forklaret følgende:

“De (den pågældende afdeling, red) vil dybt undskylde, at brevet er blevet fejlafleveret. De har desværre ikke kunne undersøge, hvordan fejlen kunne ske, da medarbejderen, der fejlafleverede brevet, ikke længere er ansat hos Post Danmark.”

Hvor stor er skaden?
Ifølge Statens Serum Institut er der ikke den store grund til bekymring.

Det visumbureau, der modtog oplysningerne, har således omgående afleveret dem til rette modtager, oplyser Statens Serum Institut.

”Den berørte medarbejder hos Chinese Visa Application Centre (der håndterer visumansøgninger til Kina, red.) fortalte, at hun havde modtaget brevet, kvitteret for dette og åbnet det ved en fejl. I det hun konstaterede, at brevets rette modtager var Danmarks Statistik, gik hun over til Danmarks Statistik og afleverede brevet,” forklarer Statens Serums Institut i Datatilsynets afgørelse.

Ifølge persondataloven skal berørte personer informeres, hvis deres personlige oplysninger er havnet i forkerte hænder. Men det er både Statens Serums Institut og Datatilsynets opfattelse, at der i denne sag ikke er behov for at informere.

”At det ikke har haft nogen faktiske konsekvenser for de personer, hvis data fejlagtigt af Post Danmark blev udleveret til – men ikke set af – en medarbejder hos Chinese Visa Application Centre,” skriver Statens Serum Institut.

Hvad nu?
Datatilsynet foretager sig ikke yderligere i sagen, oplyser Datatilsynet.

Dermed er den dog ikke død.

Dansk Folkeparti, Enhedslisten og Liberal Alliance har således kaldt den ansvarlige minister, sundhedsminister Sophie Løhde (V), i samråd. De kræver en forklaring, ligesom de vil have ministerens forsikring for, at sagen ikke gentager sig.

"Det er under ingen omstændigheder acceptabelt, at offentlige myndigheder kan overlevere fem millioner CPR-numre til Chinese Visa Application Centre på grund af en fejllevering af et brev," siger Liberal Alliances retsordfører Christina Egelund i en pressemeddelelse.

Hun tilføjer, at fejlen viser et behov for, at offentlige myndigheder behandler personfølsomme oplysninger med en markant større respekt.

LA-ordføreren kræver, at de berørte danskere nu informeres:

"Når man kan informere en kinesisk virksomhed om personfølsomme oplysninger på 5,2 millioner danskere, kan man vel også informere 5,2 millioner danskere om, hvilke konkrete fortrolige oplysninger man har lækket om dem til en kinesisk virksomhed. Derfor kræver Liberal Alliance nu, at Sundhedsdatastyrelsen oplyser hver enkelt af de personer, der er berørt af lækket, om hvilke oplysninger, der er tale om," siger Christina Egelund.

Sundhedsminister Sophie Løhde er selv meget forbavset over sagen.

”Det overrasker mig ærlig talt, at sundhedsmyndighederne tidligere ikke har været mere påpasselige med helbredsoplysninger. Det er jo fortrolige oplysninger, og derfor er det også helt afgørende, at oplysningerne bliver behandlet derefter,” siger hun til TV 2.

Politik har aldrig været vigtigere

Få GRATIS nyheder fra Danmarks største politiske redaktion


0:000:00