Kæmpe cpr-fiasko: Institut blev advaret om risiko i 2013

16x9
Statens Serum Institut blev advaret om kryptering i 2013, men sendte alligevel ukrypterede cpr-numre sidste år. Foto: Kasper Palsnov / Scanpix Denmark

Statens Serum Institut ignorerede en advarsel fra Datatilsynet i 2013, og sidste år blev fem millioner cpr-numre sendt til forkert modtager ukrypteret

Mere end fem millioner danskeres cpr-numre og helbredsoplysninger blev sidste år sendt til et kinesisk visa-firma ved en fejl.

De meget personlige oplysninger blev sendt fra Statens Serum Institut (SSI) befandt sig på to cd'er, der ikke var krypteret. De skulle have været sendt til Danmarks Statistik.

Det blev allerede i går onsdag kaldt for 'en ualmindelig høj grad af tåbelighed', og det bliver ikke bedre af, at SSI tilbage i 2013 på det kraftigste blev opfordret til at kryptere oplysninger.

- Datatilsynet har tidligere – som led i en inspektion af SSI – anbefalet, at datamedier krypteres ved forsendelse med almindelig postforsendelse, skriver Datatilsynet i en pressemeddelelse.

Reagerede først efter lækage

Det var Jesper Lund, formand for IT-politisk forening, der onsdag kaldte sagen for tåbelig, og han er ikke mere imponeret over instituttets manglende reaktion på advarslen.

- Det er kritisabelt at SSI først lytter til denne anbefaling EFTER en datalækage, siger han.

Heller ikke fra politisk side er der meget støtte at hente for SSI.

- Det overrasker mig ærlig talt, at sundhedsmyndighederne tidligere ikke har været mere påpasselige med helbredsoplysninger. Det er jo fortrolige oplysninger, og derfor er det også helt afgørende, at oplysningerne bliver behandlet derefter, siger sundhedsminister Sophie Løhde (V).

EL: Vi må have et nyt ministerium

Fra den yderste politiske venstrefløj hagler kritikken også ned. Men her er det ikke SSI, men det offentliges tilsyn, der står for skud.

- Det groteske er, at Folketinget i længere tid har diskuteret det, og vedtaget en række initiativer, der sker bare ikke noget, siger partiets fungerende politiske ordfører, Finn Sørensen, til TV 2.

Han gentager derfor partiets krav om oprettelse af et IT-ministerium, der skal have det samlede overblik over den offentlige IT-sikkerhed.

- Hver styrelse og hvert ministerium – for ikke at tale om kommunerne – ligger og bikser noget sammen hver for sig. Det går ikke i et samfund, hvor kæmpe datamængder med personfølsomme oplysninger flyder rundt i cyberspace, og hvor alle centrale samfundsfunktioner er afhængige af, at IT fungerer, siger Finn Sørensen.

Statens Serum Institut har ikke ønsker at udtalse sig, og henviser til Sundhedsdatastyrelsen. Her giver direktør Lisbeth Nielsen Post Danmark størstedelen af skylden.

- Post Danmark gør den grundlæggende fejl at aflevere data et forkert sted. Men vi bør - og det gør vi nu - kryptere data på de her cd'’er, siger hun.