Styrelse afviser ansvar i cpr-fadæse: - Det er Post Danmarks fejl

16x9
Styrelsen der afsendte ukrypterede person- og helbredsoplysninger mener ikke, at der er begået fejl - kun hos Post Danmark. Foto: Morten Stricker / Scanpix

Sundhedsdatastyrelsen afviser at være skyld i fejllevering af sundhedsdata. Men praksis er nu ændret.

At godt fem millioner danske cpr-numre og helbredsoplysninger fejlagtigt i 2015 blev afleveret til et kinesisk firma er ikke en fejl hos hverken Sundhedsdatastyrelsen eller Statens Serum Institut (SSI).

Det forsikrer direktør for Sundhedsdatastyrelsen Lisbeth Nielsen.

Derimod er det Post Danmark, der er skyld i at et brev med to cd'er, der indeholdt personnumre og data på 5,28 millioner personer, ved en fejl endte hos firmaet Chinese Visa Application Centre.

- Post Danmark gør den grundlæggende fejl at aflevere data et forkert sted. Men vi bør - og det gør vi nu - kryptere data på de her cd'’er, siger direktøren.

Post Danmark har tidligere beklaget

Det var Statens Serum Institut (SSI), der havde sendt oplysningerne i et anbefalet brev med to ukrypterede cd'’er til Danmarks Statistik. Men brevet endte altså i hænderne på en ansat i det kinesiske firma.

- Og det er selvfølgelig uheldigt. Men sådan var praksis, lyder det fra Lisbeth Nielsen. 

Ifølge dokumenter som TV 2 er kommet i besiddelse af, så har SSI indtil februar sidste år sendt omkring 400 af denne slags forsender pr. år. En praksis der startede i 2003.

- Vi har betragtet anbefalede breve som en sikker måde at sende på, hvor man er sikker på, at den, som brevet er stilet til, også er den, der modtager brevet.

TV 2 har forsøgt at få en kommentar fra Post Danmark, som ikke vil udtale sig om sagen, før de har sat sig ordentligt ind i den.

Men i dokumenterne, som TV 2 er i besiddelse af, afgav Post Danmark deres forklaring i september.

Her skriver Post Danmark blandt andet:

- De (den pågældende afdeling, red) vil dybt undskylde, at brevet er blevet fejlafleveret. De har desværre ikke kunne undersøge, hvordan fejlen kunne ske, da medarbejderen der fejlafleverede brevet ikke længere er ansat hos Post Danmark, lød forklaringen. Post Danmark skriver også, at de to adresser ’ikke kan forveksles’.

Til TV 2 siger Post Danmarks kommunikaitonschef, Morten O. Nielsen, at der er tale om en menneskelig fejl.

- Jeg skal ikke forholde mig til, om man skulle have håndteret data på en anden måde. Det, jeg helt enkelt kan konstatere, er, at der har været et brev, som bliver overleveret til os, som vi skal aflevere videre. Det skal ramme rette modtager, og det har det her ikke gjort. Derfor er vi frygtelig kede af sagen, siger han.

Præcis hvordan postomdeleren har taget fejl af Danmarks Statistik og den kinesiske virksomhed, har det ikke været muligt at finde ud af, da medarbejderen i mellemtiden er stoppet i Post Danmark.

SSI tog konsekvensen af fejlafleveringen sidste år.

- Nu sender vi kun krypterede data afsted. Ellers sender vi dem digitalt til en godkendt server. Eller også får man adgang hos os til et begrænset datasæt, hvor vi så kan logge dem, der har adgang til data, siger hun.

- Vi mener ikke, man bør være bekymret

Og da oplysningerne kun endte i hænderne hos én ansat, der straks afleverede brevet til den rette modtager, bør danskerne ifølge Lisbeth Nielsen ikke være nervøse for, at deres sundhedsoplysninger ligger frit fremme.

- Vi mener ikke, oplysningerne er kommet ud til de forkerte. Jeg mener ikke, man bør være bekymret.

- Vi har ændret praksis nu. Men vi har ikke begået fejl, da det var den politik, vi havde. Om det får konsekvenser hos Post Danmark, det ved jeg ikke.

Bør danskerne være nervøse for deres sundhedsoplysninger?

- Det mener jeg ikke, de bør. Dem passer vi godt på, lyder det fra direktøren.

Sundhedsdatastyrelsen blev oprettet 1. november 2015 og har overtaget en del af Seruminstituttets tidligere opgaver.