Efter cpr-fadæse: - Institut har brudt loven, men de slipper nok afsted med det

16x9
Statens Serum Institut brød loven ved at sende ukrypterede cpr-numre, fastslår ekspert. Foto: Lars Bahl / Scanpix Denmark

Ukrypteret forsendelse af fem millioner cpr-numre var så uforsvarligt, at det er i konflikt med persondataloven, fastslår it-ekspert.

Da Statens Serum Institut (SSI) i 2015 sendte fem millioner cpr-numre på to cd'er ukrypteret med anbefalet brev, var det et lovbrud.

Det fastslår Jesper Lund, der er formand for IT-Politisk Forening.

- Eftersom vi taler om meget følsomme oplysninger, som man meget simpelt kunne have krypteret, kan man godt tale om, at SSI og Sundhedsdatastyrelsen ikke har truffet de foranstaltninger, som Persondataloven kræver.

Bliver svært at straffe SSI

Loven er lavet for at beskytte almindelige danskeres følsomme oplysninger, og det fremgår af paragraf 41, at den dataansvarlige skal beskytte oplysninger mod at komme til uvedkommendes bekendtskab.

Noget, myndighederne ikke har levet op til ved at sende dem med posten uden beskyttelse. De følsomme oplysninger endte hos et kinesisk visa-firma, der dog afviser at have kigget på dem.

Alligevel bliver SSI formentlig ikke straffet for det, da Persondataloven ikke gælder for offentlige myndigheder.

- Så det bliver nok kun til en diskussion i medierne, siger Jesper Lund.

Ignorerede råd om kryptering

SSI ændrede sin praksis efter fadæsen sidste år, og derfor mener de ansvarlige ikke at have gjort noget forkert.

- Nu sender vi kun krypterede data afsted. Ellers sender vi dem digitalt til en godkendt server. Vi har ændret praksis nu. Men vi har ikke begået fejl, da det var den politik, vi havde, siger Lisbeth Nielsen, der er direktør for Sundhedsdatastyrelsen med ansvar for SSI.

Men det er ikke godt nok, fastslår Jesper Lund.

- Meningen med paragraffen er, at man skal tænke sig om og træffe foranstaltninger, før ulykken sker, siger han.

Datatilsynet advarede tilbage i 2013 SSI mod netop denne situation og opfordrede til, at man krypterede oplysningerne. Men det råd blev ikke fulgt.

Det er nu op til Datatilsynet og vurdere, om der er begået lovbrud.