CPR-fadæse: - Nyt lavpunkt i amatøragtig datahåndtering

16x9
CPR-numre med tilhørende helbredsoplysninger blev sendt med posten på ukrypterede cd'er. Foto: Jonas Skovbjerg Fogh / Scanpix Denmark

Formand for it-politisk forening kan overhovedet ikke forstå, at en offentlig myndighed ikke krypterer data med følsomme personoplysninger.

5,3 millioner danske CPR-numre med tilhørende sundhedsoplysninger havnede i februar sidste år hos en kinesisk virksomhed ved en fejl.

Dataene på cd’erne var ikke krypterede og dermed frit tilgængelige for virksomheden, som håndterer kinesiske visum.

 - Det er fuldstændigt uforståeligt, at man ikke har krypteret de data. Det ville have sikret mod uvedkommende adgang. Den risiko bør man kende, hvis man bruger Post Danmark til sådanne data, siger Jesper Lund, formand for IT-politisk forening.

Han kalder samtidig den manglende kryptering for et nyt lavpunkt for amatøragtig datahåndtering. Dataene kom fra Statens Serum Institut, som formanden også kritiserer for at overtræde persondataloven.

- Indsatsen ville være så lille, og det ville ikke have kostet noget at kryptere, siger Jesper Lund med henvisning til, at en kryptering kan foretages relativt nemt med få kommandoer på computeren.

Overtrædelse af persondataloven

De to cd’er skulle være afleveret hos Danmarks Statistik, men endte hos Chinese Visa Application Centre, der er en kommerciel virksomhed, som administrerer visumansøgninger til Kina.

- Der er jo ingen tvivl om, at Seruminstituttet har overtrådt persondataloven. Den siger, at man skal sikre og beskytte persondata mod uvedkommendes adgang. Det har de efter min mening ikke gjort, når de ikke har sendt dem krypteret, siger Jesper Lund.

Han forklarer samtidig, at persondataloven ikke giver mulighed for at sanktionere mod offentlige myndigheder.

Kan blive en lærestreg for andre

Datatilsynet kan rette kritik mod institutionen, og ifølge Jesper Lund vil det være meget mærkeligt, hvis ikke både Seruminstituttet og andre offentlige myndigheder fremover vil kryptere data, såfremt man vælger at sende dem via post.

- Det er en ualmindelig høj grad af tåbelighed. Så jeg ved ikke, om trusler om bøder ville have ændret noget. Man har ikke undladt at kryptere på grund af økonomi eksempelvis. Det må tilskrives manglende omtanke, uansvarlighed og uacceptabel adfærd, siger han.

Jesper Lund vil ikke kalde sagen en stor skandale, for de 5,3 millioner danskeres oplysninger blev ifølge Datatilsynet slet ikke åbnet af den kinesiske visummyndighed. Dermed er der ingen data, der reelt er kommet uvedkommende i hænde.

- Men jeg er virkelig forundret over, at det kan ske i 2016, siger han.

Sundhedsminister Sophie Løhde (V) har ingen kommentarer, da hun er på ferie.

Statens Serum Institut henviser til Sundhedsdatastyrelsen. Et nystartet institut, der ikke kan kontaktes i sommerferien.