Borgeres sundhedsdata flød på telefoner og Whatsapp-grupper hos privat testleverandør

Informationer om borgere med positive prøvesvar fra Medicals Nordic blev delt i WhatsApp-grupper og lå kopieret på podernes private telefoner. Nu stoppes den praksis øjeblikkeligt, skriver Medicals Nordic. Illustration: Lasse Gorm Jensen
Informationer om borgere med positive prøvesvar efter en kviktest hos Medicals Nordic flød rundt i WhatsApp-grupper og på podernes private telefoner. Nu stoppes den praksis øjeblikkeligt, oplyser selskabet.
22

De fleste borgere har nok inden for det seneste ti måneder oplevet et sug i maven, når man modtager svar på en Covid-19-test. Men det vil nok give et endnu mere ubehageligt sug, hvis man havde været klar over, at et positivt svar på en kviktest foretaget hos Medicals Nordic resulterede i, at der blev taget et billede af ens prøveresultat, der herefter blev delt i en gruppe på Facebook-ejede Whatsapp og tilsyneladende også blev kopieret over på poderens telefon.

Ikke desto mindre har det været metoden, virksomheden har benyttet. Det skriver B.T., der har talt med en tidligere poder om proceduren.

Medicals Nordics løsning bliver bestemt ikke mere i tråd med reglerne på området af, at billeder, der deles på Whatsapp, samtidig bliver overført til brugerens galleri på telefonen, hvilket betyder, at danske borgeres sundhedsoplysninger ligger på podernes telefoner mellem deres private billeder.

Flere politikere har til B.T udtrykt kraftig bekymring ved løsningen og ønsket den stoppet med det samme.

Virksomheden har efter B.T.'s afsløring udsendt en pressemeddelelse, hvor de svarer på kritikken.

»Medicals Nordic er i dag blevet gjort opmærksom på, at testcentrets brug af Whatsapp i forbindelse med intern kommunikation om positive resultater fra kviktest, kan udgøre en datasikkerhedsbrist. Derfor har Medicals Nordic med øjeblikkelig virkning stoppet brugen af Whatsapp, samt instrueret medarbejderne om at slette alle oplysninger om personer med positive resultater,« står der i pressemeddelelsen, hvor det også understreges, at Medicals Nordic vil tage kontakt til Datatilsynet i forbindelse med sagen.

Sponseret indholdNy masteruddannelse i cybersikkerhed analyserer fejl fra Pearl Harbour til dronekrig
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Carsten R

Hvilken ansvarlig virksomhed tror, at en sikker håndtering af testresultater og personlige data kan understøttes af Whatsapp eller Facebook? Ingen... Jeg er rystet...

Hvordan kan en virksomhed overhovedet opnå godkendelse til at håndtere tests og personlige data, når virksomheden baserer dataopsamling på Whatsapp eller Facebook? Forhåbentlig fratages Medicals Nordic deres autorisation øjeblikkelig.

  • 27
  • 0
#2 Jørgen Elgaard Larsen

Medicals Nordic er i dag blevet gjort opmærksom på, at testcentrets brug af Whatsapp i forbindelse med intern kommunikation om positive resultater fra kviktest, kan udgøre en datasikkerhedsbrist.

"Aha, så det er ikke OK at sende persondata via postkort? Det vidste vi sør'me ikke."

Der må være grænser for, hvor uvidende kan være, især i medico-branchen.

Jeg håber, at Datatilsynet står klar med bødeblokken.

  • 32
  • 0
#3 Jacob Pind

Datatilsynet skulle jo allerede i dag har været forbi virksomhedes hovedekontor og taget kopi af alt vedrørende procedyre, og tjek op imod hvad der er blevet blevet sendt til myndighedere i forbindelse med udbudet. Bagefter interview de ansat om deres arbjdesgange, om hvorvidt det passer overens med dokumentionen, ellers bliver det blot det sædvanlige ansvars fralæggelse hvor ledelsen går fri fordi man giver dem længer nede skylden

  • 13
  • 0
#4 Louise Klint

Man sidder og måber. Da jeg lige havde sundet mig lidt, tjekkede jeg op på nogle detaljer, jeg kom i tanker om.

Medical Nordic siger på deres hjemmeside:

I samarbejde med SOS International og Danske Regioner tilbyder vi gratis Covid-19 antigentest for danske statsborgere mod tidsbestilling. Det gratis tilbud gælder foreløbigt frem til og med den 31. januar 2021. Herefter tilbydes testen igen mod betaling, med mindre aftalen med SOS International og Danske Regioner forlænges.

https://medicalsnordic.dk/

Aftalen er, så vidt jeg forstår, forlænget.

Jeg husker, at have set hos DR, at Carelink og SOS International (som Medicals Nordic er underleverandør til) er de to eneste virksomheder, der, efter 1. februar, skal levere hurtigtest for det offentlige.

19.01.21: https://www.dr.dk/nyheder/seneste/falck-tabte-udbud-og-lukker-sine-49-ly...

Medicals Nordic siger også selv, at de er med i den nye aftale:

19.01.21: https://twitter.com/MedicalsNordic/status/1351628842390200320

Der har været et udbud.

Den nye aftale vil gælde fra start februar til udgangen af april:

30.12.20: https://sum.dk/nyheder/2020/december/regeringen-og-regionerne-opretter-u...

Dog har jeg ikke kunne finde nogen nyheder om afgørelsen (hvem der vandt), hos kilder i myndigheder/forvaltning. (Hverken sum.dk, Testcenter Danmark/SSI, regioner.dk eller Styrelsen for Patientsikkerhed).

Jeg undrer mig imidlertid over, om denne form for sikkerhed (håndtering af borgernes persondata) ikke er noget, man skal redegøre for (underleverandører?) i ansøgningsprocessen om et sådan udbud?

Økonomisk er der vel relativt mange offentlige kroner involveret. En aftale, der omfatter 100.000 daglige hurtigtest på nationalt plan?

  • 19
  • 0
#5 Anne-Marie Krogsbøll

...hvilke tilladelser man giver Medical Nordic til at gemme og bruge ens data og DNA - i stil med SSI-røveriet af vore sundhedsdata og DNA? Med denne historie kan man da godt blive lidt betænkelig ved, hvad de mon mere kan finde på?

  • 12
  • 0
#6 Søren Walther

Som jeg læser det ligner det mest et spørgsmål om at der er en virksomhed der har lavet et hurtigt salg hvor de ikke har været i stand til at give medarbejderne de stykker værktøj de har skulle bruge for at udføre det arbejde de skulle.

Medarbejderne har så løst opgaven med det de havde til rådighed og hvis man ikke har undersøgt det mindste om hvad det faktisk betyder at være ejet af Facebook så er Whatapp ikke det værste valg.

Jeg tror ikke der er den store konspiration her bare lidt god gammeldags inkompetence og uvidenhed blandet med et lidt for smart salg.

/Søren

  • 16
  • 0
#7 Jens Beltofte

Medarbejderne har så løst opgaven med det de havde til rådighed og hvis man ikke har undersøgt det mindste om hvad det faktisk betyder at være ejet af Facebook så er Whatapp ikke det værste valg.

Den stopper ikke kun der. Det er også et seriøst problem at medarbejderne skal affotografere den håndskrevne samtykker med deres PRIVATE mobiltelefoner hvor der billeder sikkert synkroniseres til en væld af sky-tjenester som iCloud, Google Photos, Dropbox etc.....

Nu er virksomheden faktisk slet ikke særlig stor. Jf. CVR var de i juni 2020 kun 30 ansatte med i alt 15 års værk. Det er så steget løbende hen over året til 68 ansatte og 39 årsværk i december 2020. Så tvivler på at der har siddet en enkelt eller to medarbejdere og fået den geniale ide at bruge Whatsapp til formålet uden at ledelsen i virksomheden har kendt til sagen.

  • 19
  • 0
#8 Søren Walther

Det er super nemt at gætte på hvad der er sket uden at have noget som helst basis at gøre det på andet end erfaring med mindre virksomheder.

Mit gæt, der er trukket lige ud af den der hat hvor tryllekunstreren har sine kaniner, vil være at en mellemleder har fået udleveret en opgave med ekstremt kort tidsfrist og ikke rigtigt noget budget at løse den med.

/Søren

  • 10
  • 1
#9 Jens Beltofte

Mit gæt, der er trukket lige ud af den der hat hvor tryllekunstreren har sine kaniner, vil være at en mellemleder har fået udleveret en opgave med ekstremt kort tidsfrist og ikke rigtigt noget budget at løse den med.

Virksomheden bag driver lægehuse i Charlottenlund (og måske andre steder). Så hovedparten af de ansatte inkl. ledelse / ejere er læger, sygeplejesker og sekretærer, så tvivler stadig meget stærkt på at en mellemleder har taget beslutningen om WhatsApp og at det ikke har været kendt af ledelsen.

  • 6
  • 0
#10 Jens Beltofte

I den officielle pressemeddelelse fra Medicals Nordic ang. brugen af WhatsApp ("en end-to-end krypteret løsning" - citat fra pressemeddelelsen....) er de stoppet med at bruge WhatsApp og nu skiftet til at indrapportere positive tests pr. telefon...

Gad vide om de så benytter podernes private telefoner eller telefoner ejet af Medicals Nordic til formålet?

Tvivler på at det første er tilladt når der er tale om udveksling af personfølsommeoplsyninger som sundhedsdata.

  • 12
  • 0
#11 Louise Klint

Medicals Nordic / SOS International deler angiveligt, som nævnt, udbuddet med Carelink.

Men Carelink skal åbenbart kun dække en mindre del af landet (aftalen), nemlig kun 1 region, Region Syd.

19.01.21: https://carelink.dk/nyhed/carelink-vinder-udbud-og-skal-hurtigteste-i-re...

https://carelink.dk/covid-19-test/

https://carelink.dk/om-carelink/vores-historie/

Politiken skriver nu, at aftalen om de resterende 4 regioner kan være op imod 1 milliard kroner værd. Gys.

https://politiken.dk/indland/art8077612/Danskernes-coronatests-flyder-p%...

  • 4
  • 0
#14 Kristian Sørensen

*Søndag aften bragte BT en historie om, at medarbejdere hos Medicals Nordic, som udfører kviktest, er blevet instrueret i at benytte en WhatsApp-gruppe til at håndtere oplysninger om de borgere, der bliver testet positive.

Med det udgangspunkt går Datatilsynet ind i sagen og undersøger en række forhold - herunder bl.a. hvem der er dataansvarlig, om der er sket videregivelse af personoplysninger, og om der er passende sikkerhedsforanstaltninger.*

https://datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/jan/datatilsy...

  • 4
  • 0
#15 Timo Jensen

Jf. Justitsministeriets sikkerhedscirkulære, er et CPR-nr. "Til Tjenestebrug" hvilket betyder at det ikke må sendes over hverken telefon eller mail. Mon firmaet har husket at sløre CPR-numre?

  • 5
  • 0
#16 Louise Klint

Smitteopsporingen skal også kobles på hurtigtestcentrene, som dette drejer sig om.

De kommende aftaler med private virksomheder vil også indgå i smitteopsporingen, og både positive og negative resultater på test bliver indberettet til sundhedsmyndighederne.

30.12.20: https://sum.dk/nyheder/2020/december/regeringen-og-regionerne-opretter-u...

Jeg har læst, at Smitteopsporingen allerede er flyttet ind i Parken. Det er hos et andet firma, med et navn, der ikke må forveksles med ^^.

Smitteopsporingsenheden i Parken etableres i samarbejde med virksomheden Copenhagen Medical A/S, der bl.a. driver testcenteret i Parken og Bellacentret.

Copenhagen Medical A/S benytter en digital løsning, der gør, at det i realtid er muligt at følge, hvor mange borgere der testes positivt.

30.12.20: https://stps.dk/da/nyheder/2020/covid-19-smitteopsporing-rykker-ind-i-da...

De skal givet ikke fortsætte efter 1. februar.

Men jeg bliver nysgerrig efter at vide, hvad det er for en løsning – hvordan dette kan gøres på en sikker måde?

IT-branchen har samlet et overblik over forskellige corona-IT-løsninger og leverandører. De ^^ er ikke med her, så vidt jeg kan se, men det er spændende alligevel:

https://itb.dk/maerkesager/sundheds-it/sundhedsloesninger-under-coronakr...

  • 2
  • 0
#17 Jens Beltofte

Men jeg bliver nysgerrig efter at vide, hvad det er for en løsning – hvordan dette kan gøres på en sikker måde?

Reelt er det vel ikke anderledes end de testcentre der drives af TestCenter Danmark (SSI) hvor borgere, deres PCR podninger og resultater, om endt lidt langsomere end quick-test, også registreres digitalt. Altså en form for et simpelt EPJ eller et system udviklet til formålet.

SOS har givet udtryk for at efter 1/2 kører alle deres test-resultater også digital (ikke WhatsApp).

  • 0
  • 0
#18 Jens Beltofte

Mon firmaet har husket at sløre CPR-numre?

Hvis de slørede de CPR-numre de har delt over WhatsApp, vil samtykket ikke være brugbart. Samtykket inkl håndskreven CPR-nummer, navn, telefonnummer og sikkert underskrift bruges til at informere SSI / STPS eller anden myndighed om at du er smittet, så de kan kontakte dig i forhold til smitteopsporing. Uden CPR-nummer vil det ikke fungere....

  • 0
  • 0
#19 Claus Bobjerg Juul

Hvis de havde brugt Signal i stedet for WhatsApp, og taget billedet inde fra app'en, så billedet ikke røg i fotoalbum, direkte i en privat gruppe, ville det så egentlig ikke være en ganske sikker løsning? (forudsat telefonen er sikret ordentligt med kode osv, og Signal også kræver kode)

Hvis planen var at dele på samme måde som de gør i WhatsApp, så er svaret nej, jeg har forstået at alle podere benyttede den samme "kanal" dvs. at et svar fra en poder blev syneligt for alle podere.

At benytte en privat telefon intoducere et risikoelement i at fejlbetjenes telefonen/app'en kan følsomme persondata ende på telefonen, som er privat.

  • 3
  • 0
#20 ebbe hansen

var jeg glad for, at jeg var alene i køen. Mine oplysninger blev skrevet ned pr håndkraft, direkte fra sundhedskortet :-) På en god dag kan der nok registreres en lyntester hvert 2. minut.

Måske er de der firmaer bag lyntestene ikke helt så meget oppe på mærkerne, som man kunne ønske.

  • 0
  • 0
#21 Jens Beltofte

Måske er de der firmaer bag lyntestene ikke helt så meget oppe på mærkerne, som man kunne ønske.

Det er nok gået meget hurtigt med at få de lyntest-centre op at køre og sikkert med press fra regering og myndigheder. Copenhagen Medicals der driver i Parken og Bella Center har dog digitaliseret løsningen som jeg forstår det, men Parken er også Danmarks største testcenter.

Det skal siges at når SOS overtager 4 ud af 5 regioner pr. 1/2 sammen med Medical Nordics (hvis de ender med at få lov til det), så bliver det digitaliseret og benytter et system fra SOS. Det har fremgået af nogle af "WhatsApp-gate"-artiklerne. Fremover er det også planen at positive resultater fra quick-test understøttes i Smittestop app'en. Håndskrevne resulatter og samtykker er ikke rigtig en skallerbar løsning hvis det skal i Smittestop app'en hurtigt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere

Hacking-gruppen 'Unc0ver' offentliggør nyt jailbreaking-værktøj til iPhone

0

EU-landene enige om at styrke forsvaret mod cybertrusler i 2022

2

Ukraine anklager Rusland for nyt supply chain-angreb på mydigheder

0
Job fra Jobfinder
Webinars and Whitepapersopen_in_new
Whitepaper
Whitepaper
How to Leverage AI-Powered Multi-Factor Authentication (MFA) For Remote Work
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder