3.100 danske lægers cpr-numre offentliggjort på amerikansk hjemmeside

Lægeforeningen har politianmeldt hændelsen, og det er endnu uvist, hvordan de personlige oplysninger er havnet på siden.

Cirka 3.100 danske lægers personnumre blev offentliggjort på en amerikansk hjemmeside i en kortere periode. Det oplyser Lægeforeningen.

Lægeforeningen har meldt sagen til politiet, og af hensyn til efterforskningen vil foreningen ikke oplyse, hvilken side der er tale om. Det er dog ifølge pressemeddelelsen fra Lægeforeningen politiet, der har fået fjernet oplysningerne fra hjemmesiden.

Ifølge Lægeforeningen er der ikke noget der tyder på, at de 3.100 lægers oplysninger skulle stamme fra Lægeforeningens systemer, men navn og cpr-nummer har altså været offentliggjort. Ifølge Ugeskriftet.dk er det de eneste oplysninger, der er offentliggjort.

Politiet har ifølge Ugeskriftet oplyst Lægeforeningen, at det formentligt drejer sig om cirka 30 personer, der har haft mulighed for at se oplysningerne, før de blev fjernet fra hjemmesiden.

Den pågældende hjemmeside har angiveligt været brugt som midlertidigt depot for denne type oplysninger, men ifølge Ugeskriftet skulle der ikke være tale om en side, der decideret er beregnet til at sprede kompromitterede personoplysninger.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Ja, det er et grimt scenarie. Og en ting, der undrer mig: Hvor i systemet har man en database over lige præcis lægers cpr-numre? Det må da gøre det muligt at indkredse, hvor hacket med sandsynlighed er sket - for det er jo ikke et tilfældigt udsnit af cpr-numre?

Selve autorisationsregistret er det jo nok ikke, når autorisationsnumrene ikke er med. Men hvor har man så disse oplysninger samlet i et system?
"Den pågældende hjemmeside har angiveligt været brugt som midlertidigt depot for denne type oplysninger, men ifølge Ugeskriftet skulle der ikke være tale om en side, der decideret er beregnet til at sprede kompromitterede personoplysninger."

? ??
Så er det måske slet ikke et hack? Hvad baserer man det på? Hvis det er en helt lovlig side, så må det vel være muligt at få oplyst fra indehaveren af siden, hvad numrene laver der, og hvor de kommer fra? Og hvordan er Lægeforeningen blevet opmærksom på sagen?

Jeg synes, at det er en meget mærkelig historie - der er noget, der ikke rigtigt hænger sammen.

Peter Hansen
Anne-Marie Krogsbøll

Det lyder som data, der potentielt kunne stamme fra et hack af en leverandør af lægepraksissystemer...


Det lyder som et fornuftigt bud, Peter Hansen (uden at jeg dog har forstand på det). Men i så fald - er patienternes data så ikke også potentielt i farezonen - for disse leverandører står jo også for journalsystemerne, og for forbindelsen til eks. sundhed.dk fra lægepraksis?

Hvis man turde, kunne man forsøge at søge på ens eget cpr-nr. - men jeg tør ikke, for så ligger det jo straks 1000 steder på internettet, går jeg ud fra.

Thomas Brodersen

Danske CPR-numre er beskyttet mod offentliggørelelse jf. (den danske) persondatalov. Men hvordan forholder det sig, hvis fx en amerikansk virksomhed/institution/privatperson offentliggører danske CPR-numre på et amerikansk website? Kan de retsforfølges?

Men alligevel nyder CPR-nummeret altså særlig beskyttelse i henhold til persondataloven. Det fremgår af paragraf 11, hvor der blandt andet står, at et personnummer ikke må offentliggøres uden udtrykkeligt samtykke.

https://www.version2.dk/artikel/cpr-nummeret-er-ikke-en-foelsom-personop...

Anne-Marie Krogsbøll

Interessant spørgsmål, Thomas Brodersen. Kan det tænkes, at f.eks. en af ovenævnte leverandører simpelthen har lagt dem ud, fordi det ikke er ulovligt i USA?

Men man må da håbe, at det indgår i aftalen med de pågældende leverandører, at data skal opbevares efter dansk lovgivning ( efter min mening i Danmark). Ellers er der da afgjort plads til forbedring.

Anne-Marie Krogsbøll

Nå, det lyder som om, man allerede er ved at opgive at finde ud af, hvor det er gået galt. Politiet har for få ressourcer, og "det bliver svært".
http://ugeskriftet.dk/nyhed/3100-laegers-cpr-hacket-det-bliver-svaert-op...

”Hvis det kun er navne og cpr-numre er det vanskeligt for politiet at spore, hvor de stammer fra. Det er nemmere, hvis der samtidig er andre data, der indikerer, hvilket register, de stjålne data stammer fra”, siger Rasmus Theede, der er formand for Rådet for Digital Sikkerhed."

Det er vel en ekstra oplysning, at alle de pågældende er læger?

”Det kommer også an på, hvor serveren står. Hvis den står i et EU-land, hvor politiet kan gå ind og se, hvem der har lagt oplysningerne op, er der en mulighed. Men står den i f.eks. et østland, er det stort set umuligt. Det kræver et godt politisamarbejde”, siger Rasmus Theede."

”Danskerne har været meget godtroende – og i betragtning af, hvor dårligt, der mange steder passes på data, og hvad der foregår af identitetstyverier, er jeg selv blevet meget forsigtig med, hvor jeg udleverer mit cpr-nummer”, siger Peder Klement Jensen."

Konklusion: Det kan ikke lade sig gøre at passe ordentligt på vore følsomme data - eller også er viljen der ikke.

Peter Hansen

Konklusion: Det kan ikke lade sig gøre at passe ordentligt på vore følsomme data - eller også er viljen der ikke.


Den politiske vilje, der ikke er til stede handler om enten at indføre privacy by design (dvs. indføre pseudonymisering i alle offentlige registre) eller at give borgere uforbeholden adgang til nye cpr-numre uden at stille spørgsmål. I dag er kravet, at man skal kunne dokumentere et økonomisk tab, så hvis der er nogen, der har misbrugt dit cpr-nummer til at få adgang til oplysninger om dig hos lægen eller afbestille dine forsikringer, så kan du kigge i vejviseren efter et nyt cpr-nummer.

Peter Meldgaard

Mon ikke tiden kunne bruges bedre at sikre at CPR numre ikke kan misbruges i nogen sammenhæng. Gør det til en irrelevant information. Jeg mener personligt at det er håbløst at sikre man ikke får eksponeret større mængder CPR numre gennem usikre syster og især pga. menneskelige fejl. Min søn har lige været på Førstehjælpskursus igennem alm. skole uddannelse i 8 klasse. Hvad står printet i fed midt på det flotte bevis? Jo selvfølgelig fuld CPR nummer:-)

Det minder lidt om forbuddet mod Cannabis i Danmark. Jo mere man forbyder det, jo mere tjener underverdenen. Og til gavn for hvem? Spiritus branchen måske!

Christian Schmidt

Jo, lægens autorisations- og cpr-nummer plus en receptblok giver ret mange muligheder for at få udleveret fx opioider, stimulanter og stærkt beroligende medicin.

En receptblok er tilsyneladende ikke nødvendigt.

Ugeskriftet.dk bringer følgende citat (link):

”Hvis man ringer til apoteket og præsenterer sig som læge, og kan oplyse sit cpr-nummer, kan de slå én op og se, at man er læge. Og så kan man få en recept på alt, selv de stærkeste morfika”, siger Peder Klement Jensen, der også er medlem af Lægeforeningens Sundheds-it –udvalg.

Det lyder jo vældig betryggende.

Hvordan kan branchen og myndighederne leve med, at sikkerheden i medicinudleveringssystemet er så spinkel?

Jørgen L. Sørensen
Jesper Nielsen

Ifølge DR melder apotekerne hus forbi, da apotekerne ikke har et register over lægernes cpr-numre

Nej, men de validerer stadig lægens ydernummer og cpr-nummer, når de står med en recept på narkotika osv. Udskriver lægen en papirrecept, skal han eller hun skrive sit CPR-nummer på recepten. Hvor apotekerne så validerer oplysninerne, ved jeg ikke.

Log ind eller Opret konto for at kommentere