Det var ikke en hvilken som helst kuvert der i februar sidste år dumpede ind af brevsprække til kinesisk firma i København.
I et anbefalet brev fra Statens Serum Institut (SSI), som rettelig skulle være afleveret til Danmarks Statistik, var to CD/DVD'er med sundhedsdata og personnumre på i alt 5.282.616 danskere - alt sammen i ukrypteret form, fremgår det af en afgørelse fra Datatilsynet, der netop er offentliggjort.
»Sagen er i al sin gru et eksempel på, hvor nemt helbredsdata på fem millioner danskere kan havne i de forkerte hænder,« indleder Lena Andersen, der er kontorchef i tilsynet.
»Men det fremgår også af sagen, at SSI havde været ude og få en erklæring fra personen, der har åbnet brevet, og at personen ikke har kigget på data,« understreger hun over for Version2.
Cancer og psykiske sygdomme
Dataudtrækket, som blev brændt på de to fejlsendte diske, omfattede Cancerregisteret, Det Nationale Diabetesregister, Landspatientregisteret-Psykiatri samt det såkaldte DRG-register, som bruges til at udregne behandlingspriser på tværs af landet. Det viser følgebrevet, som internetaktivist Christian Panton har fået indsigt i.
Registrene, der var videregivet i både SAS-datasæt og ASCII-filer, rummer personnummer og helbredsoplysninger, men ikke navne og adresser.
Da Danmarks Statistik efterfølgende fik afleveret brevet, var det åbnet, men Forskerservice vurderer, efter at have talt med modtageren hos det kommercielle foretagende Chinese Visa Application Centre, at de følsomme data hverken kom andre personer i hænde eller blev set af andre personer. Derfor har styrelsen heller ikke fundet det nødvendigt at oplyse de berørte borgere om lækket, sådan som det eller kræves.
Ingen kritik af SSI
Til trods for at CD-skiverne med millioner af danskeres følsomme data ikke var krypteret, har Datatilsynet i sin afgørelse ikke valgt at udtale kritik.
Hvorfor udtaler I ikke en kritik i denne forbindelse?
»Vi har tidligere anbefalet SSI at anvende kryptering, når de sender deres datamedier med almindelig post. Vi har ikke tidligere haft spørgsmål oppe om anbefalet post,« forklarer Lena Andersen.
»Når der ikke findes et specifikt krav, er det svært at kritisere,« fastslår hun.
Loven kræver generelt, at myndigheder og virksomheder sørger for den fornødne datasikkerhed, og det gælder også, når personoplysninger lagres på datamedier som f.eks. USB-nøgler eller CD’er.
»Der er krav om beskyttelse, både når datamediet opbevares hos den dataansvarlige og dennes medarbejdere, og når det sendes med posten eller på anden vis,« understreger Lena Andersen.
Kryptering kan blive krav
Kryptering af digitale medier anbefales, men kan på sigt blive et egentligt krav på grund af sagen.
»Vi anbefaler kryptering, og sager som denne viser, at det i visse situationer kan være en nødvendig sikkerhedsforanstaltning,« siger Lena Andersen og fortsætter:
»Vi ved, at det kan ske, at datamedier ryger ud af kuverterne for eksempel under postsortering. Vi har også hørt om sager, hvor datamedier med følsomme personoplysninger er blevet stjålet. Og så kan en USB-nøgle jo også nemt blive tabt.«
Selvom der altså ikke er grundlag for kritik af Statens Serum Institut kan sagen have en effekt som stof til eftertanke for andre databehandlere.
»Vi lægger sagen ud for at øge opmærksomheden på behovet for at beskytte oplysninger på datamedier.«
SSI har ifølge Datatilsynet allerede taget konsekvensen og gjort det til et krav at kryptere digitale medier, der sendes med posten.
Post Danmark: Ingen logisk forklaring
SSI har spurgt Post Danmark, hvordan fejlen kunne ske. Men det er tilsyneladende ikke helt let at svare på.
'Jeg har talt med medarbejderne i det team, hvor Sejrøgade findes, og de fortæller, at der ikke er en logisk forklaring på fejlafleveringen. De to adresser kan ikke forveksles. Det har ikke været muligt at få en forklaring fra det bud, der lavede fejlen, da medarbejderne ikke længere er ansat hos os,' skriver Post Danmark i et svar til SSI. Svaret fremgår af en aktindsigt, som Christian Panton har fået hos Datatilsynet.
Post Danmark har desuden efterfølgende indskærpet, at medarbejdere skal være omhyggelige med at aflevere forsendelser korrekt - særligt når det kommer til anbefalet post og værdibreve.
Svaret fra Post Danmark har gjort SSI 'betrygget i, at denne type fejlaflevering ikke sker igen,' skriver SSI til Datatilsynet.
Opdateret 14:40 med rettelser.
Opdateret 15:15 med forklaring fra Post Danmark.