Flere bommerter i dansk sexundersøgelse: Ukrypteret login-side og kodeord i klartekst

En ukrypteret login-side er blevet taget ned, ligesom Projekt Sexus heller ikke længere opfordrer brugere til at sende kodeord via mail.

Manglende SSL-kryptering på en login-side og en opfordring om at sende kodeord i klartekst til support gik hånd i hånd med lanceringen af det stortanlagte Projekt Sexus.

»Det er noget, som ærgrer os, og vi har begået en fejl,« siger overlæge og projektleder på Projekt Sexus Morten Frisch.

Formålet med projektet er at afdække den danske befolknings seksuelle viden, holdninger, lyster, oplevelser og adfærd samt belyse mulige sammenhænge mellem livsstil, sundhed og seksualitet.

Undersøgelsen startede natten til mandag i denne uge, hvor tusindvis af tilfældigt udvalgte danskere mellem 15 og 89 år har modtaget en invitation via Digital Post om at være med i undersøgelsen.

Med invitationen følger et link til et online-spørgeskema, ligesom der også er et link til at læse mere på projektets hjemmeside.

Det har også via hjemmesiden været muligt at logge ind i spørgeskema-undersøgelsen med et kodeord, som fremgår af invitationen.

Muligheden for login via hjemmesiden er nu fjernet. Det sker, efter at en Version2-læser har henvendt sig til Statens Serum Institut (SSI), som sammen med Aalborg Universitet har taget initiativ til undersøgelsen.

Læseren gjorde SSI opmærksom på, at login-siden til det spørgeskemaet med de intime spørgsmål ikke var beskyttet med en HTTPS-forbindelse. Altså den type forbindelse, der blandt andet bruges i netbanker, og som populært sagt giver 'den grønne hængelås' i flere browsere.

I en opfølgende mail oplyser Morten Frisch, at login-feltet var der i ca. 39 timer, fra undersøgelsen gik i gang ved midnat mandag den 4/9, til det blev lukket tirsdag eftermiddag den 5/9. I den forbindelse understreger Morten Frisch, at mens login-feltet i perioden ikke har ligget på en HTTPS-forbindelse, så er selve spørgeskema-besvarelsen hele tiden foregået via en HTTPS-sikret forbindelse.

SSI har ikke noget statistik for, hvor mange der har logget ind via det usikre felt. Ifølge Morten Frisch kan SSI dog se, at mindst 85 procent af brugerne er logget ind direkte ved at klikke på linket i den digitale postkasse, og dermed er de altså også havnet direkte på den HTTPS-sikrede side med spørgeskemaet.

ondsindethacker.dk og kodeord via mail

Som flere Version2-læsere ved, så betyder HTTPS i udgangspunktet både, at forbindelsen til webserveren er krypteret, og at brugeren faktisk befinder sig på den adresse, der fremgår af browserens adressefelt, her www.projektsexus.dk, og ikke eksempelvis ondsindethacker.dk

Det sidste er væsentligt i forhold til at mindske risikoen for man-in-the-middle-angreb.

Uden et gyldigt https-certifikat er det således trivielt for en angriber via for eksempel et ondsindet wifi-hotspot at lave en hjemmeside, der ligner login-siden for Projekt Sexus og samtidig ser ud til at ligge på den rigtige adresse, altså projektsexus.dk

På projektsexus.dk er det ikke bare login-feltet, der nu er blevet fjernet. Også en tekst med en opfordring om at sende et screenshot til supporten er forsvundet fra hjemmesiden.

Teksten bad brugere om at sende navn og kodeord via almindelig e-mail, hvis de oplevede login-problemer.

Også uden at være faste læsere af Version2 vil flere vide, at det i udgangspunktet er en dårlig idé at sende login-oplysninger rundt i klartekst via mail, da oplysningerne på den måde kan havne i de forkerte hænder.

Morten Frisch oplyser i en opfølgende mail, at teksten med opfordringen om at sende navn og kodeord til support i klartekst også blev fjernet igen efter ca. 39 timer. Ifølge Morten Frisch har ingen deltagere bedt om support på denne måde, fra projektet startede, til opfordringen blev fjernet - altså mellem mandag den 4/9 og tirsdag den 5/9.

I teorien

Skulle uvedkommende have opsnappet et kodeord og forsøge at logge ind med det, så vil det ifølge Morten Frisch i første omgang føre til et blankt spørgeskema, som ikke indeholder personhenførbare oplysninger.

Såfremt udfyldelsen af skemaet allerede er påbegyndt, men endnu ikke helt afsluttet, så vil det dog være muligt at se de foreløbige besvarelser, men det vil altså ikke nødvendigvis være muligt at knytte dem til en person. Morten Frisch medgiver dog i den sammenhæng, at såfremt en hacker har fået fat i kodeordet, så ved han eller hun måske også, hvem kodeordet tilhører.

Opfordringen om at sende kodeord via mail til support, samt den manglende HTTPS-forbindelse, må i sammenhængen anses for at være i kategorien 'banal it-sikkerhed'.

Hvorfor er der ikke styr på den slags til at starte med i det her projekt?

»Der er sket en menneskelig fejl her. Det er korrigeret. Der er ikke andet at sige, end at vi beklager fejlen. Længere mener vi ikke, den er. Vi kan ikke sige andet, end at der er rigtigt mange led i opsætningen af dette projekt, og der har altså været en fejl, og den har vi fået lukket ned så hurtigt, vi overhovedet kunne.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Haulund

Naturligvis er det en dårlig ide at sende ukrypteret password og kodeord via http Det er da usansynligt at der skulle være opsnappet noget. Hvem har lige adgang til at få en snabel i komminukationen. - det er vist få.

Selvføldig man man snyde med falsk wi-fi punkt og et andet dns/ip, men comeon - det er urealistisk på den korte tid.

Men få nu bare kontaktet it-.afdelingen - de kan lægge et certifikat på serveren på mindre en 5 min og ændre det det ssl og lave et dump de logfiler så man man se hvem der har logget på via den ukrypterede forbindelse.

  • 3
  • 0
Morten Toudahl

Som flere Version2-læsere ved, så betyder HTTPS i udgangspunktet både, at forbindelsen til webserveren er krypteret, og at brugeren faktisk befinder sig på den adresse, der fremgår af browseren adressefelt, her www.projektsexus.dk, og ikke eksempelvis ondsindethacker.dk

Det er ikke korrekt...

Man kan sagtens registrere et domæne hvis navn bliver parset til noget andet.

Se f.eks jeres egen artikel om problemet...
https://www.version2.dk/artikel/internettets-haandtering-bogstaver-goer-...
Eller
http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html?m=1

  • 4
  • 0
Bjarne Nielsen

... så kan SSI dog se, at mindst 85 procent af brugerne er logget ind direkte ved at klikke på linket i den digitale postkasse, og dermed er de altså også havnet direkte på den HTTPS-sikrede side med spørgeskemaet.

Man er godt klar over, at hele URL'en vil fremgå af browserens historik, også ved https, ikk'? Hvis man bruger et link til direkte adgang, så kan alle med adgang til maskinen fremover bruge browserhistorikken til at åbne ikke-færdige spørgeskemaer direkte.

  • 7
  • 0
Kasper Hansen

Ikke for at affeje problemet for det er ikke ideelt, men hvis en tredjepart har fysisk adgang til din computer er udgangspunktet at du allerede er på røven.

Hvis du har været uforsigtig nok til at bruge eboks fra en offentlig computer og følge linker burde du allerede have procedurer for at wipe efter dig.

  • 1
  • 1
Knud Jensen

Lidt off-topic, men hvorfor denne begrænsning?

Undersøgelsen startede natten til mandag i denne uge, hvor tusindvis af tilfældigt udvalgte danskere mellem 15 og 89 år har modtaget en invitation via Digital Post om at være med i undersøgelsen.

Er det et lægefagligt valg, eller måske en begrænsning ved at have brugt nemid/e-boks/digital post?

Og så kunne det være sjovt at vide hvordan de er blevet udvalgt tilfældigt. Som regel når man går RNG efter i sømmene tegner mønstre sig.

  • 0
  • 0
Anne-Marie Krogsbøll

Man kan se lidt mere her, også om udvælgelsen:
http://www.projektsexus.dk/Til%20deltagere/FAQ.aspx

For mig at se rejser svarene på "spørgsmål og svar" mange flere spørgsmål.
- Det anføres i en meget lille bemærkning, at besvarelserne også deles med fagfolk og forskere i udlandet. Hvor mange respondenter opdager det?
- På hvilken måde deles de? Videregivelse af "anonymiserede" eller "pseudoanonymiserede" besvarelser (som sandsynligvis nemt kan afanonymiseres via samkøring med BigData)? I givet fald - hvorledes oversættes besvarelserne? Via risikable oversættelsesapps? Eller er det ren statistik på enkeltvariable?
- Kan udenlandske fagfolk/forskere også få adgang til at samkøre med andre danske sundhedsregistre?
- Hvordan foregår denne videregivelse rent teknisk? Via forsvarligt sikrede løsninger, eller via forskeres deling via mails, memorykeys etc?
- Hvem kan få adgang? Medicinalfirmaer? Markedsføring?
- Hvordan med fremmedsprogede respondenter - får de et oversat skema, eller er de henvist til selv at oversætte med nogle af de risikable oversættelsesapps?

Sexus-løsningen ser ud til at være bygget over en løsning til markedsføringsundersøgelser fra Defgo, og et eller andet sted undervejs er bl. a. Google Analytics involveret. Måske ikke det bedste udgangspunkt for en løsning, der skal være sikker på det niveau, som jeg synes, man er forpligtet til, når man beder folk om at dele deres aller-intimeste hemmeligheder, og lover dem topsikkerhed og fuld anonymitet?

Desuden viser det sig, at der er flere andre lignende undersøgelser på SSI's hjemmeside, som har - eller nu havde - samme fejl, hvilket jeg gjorde dem opmærksom på i går - hvilket heldigvis resulterede i, at de pågældende adgange blev fjernet i løbet af et kvarter: http://www.ssi.dk/Forskning/Forskningsomraader/Epidemiologi/BSMB/Login.aspx

Så i denne særdeles følsomme sexus-undersøgelse, som man fra forskernes side anpriste som meget sikker og "anonym", var der altså mindst fejl vedr. sikker forbindelse og anmodning om navn og password i mail ved behov for support. Derudover de ekstra risici, som nævnes i kommentarerne ovenfor. Og så de mulige fejl, der gemmer sig længere inde i systemet - for hvis man ikke har tjek på det basale, hvad kan der så ikke gå galt længere inde? Det slås af forskerne i artiklen hen som "menneskelig fejl - så er den ikke længere".

Jo - det er den i aller højeste grad!

Det ser ud til, at det er SSI (the usual suspect), som er ansvarlige for løsningen, der som nævnt ligner løsninger på andre lignende undersøgelser, som ligger på SSI's hjemmeside, som indtil i går havde samme usikre løsning. Der er altså flere gennemgående fejl i disse forskningsprojekters datasikkerhed - ud over dem, så vi ikke kan se, fordi vi ikke har adgang til det bagvedliggende system. Derudover er jeg stødt på yderligere en potentielt alvorlig fejl, som jeg ikke vil fortælle om her - dels fordi SSI endnu ikke har rettet den, selv om jeg gav dem besked i går - dels fordi jeg ikke er fagmand, og derfor kan være gal på den på det punkt.

Så SSI, som står for at administrere store dele af vore sundhedsdatabaser og forskeres adgange til disse, ser ud til ikke at have styr på den mest basale sikkerhed, så som ikke at bede om passwords i mails og ikke at benytte ikke-krypterede sider.

Det er i mine øjne i allerhøjeste grad alvorligt - så historien er i høj grad længere. At de enkelte forskere ikke har forudsætningerne for at vurdere de løsninger, de får tilbudt, er måske ikke så mærkeligt. Men at selve den institution, som står for administrationen af og datasikkerheden omkring vore allermest private oplysninger, ikke har styr på deres løsninger - det er meget alvorligt!

  • 13
  • 0
Kim Carlsen

Ja, det er kun din arbejdsgiver, din skole, din internetudbyder, biblioteket, transit udbyder der kan få adgang til oplysningerne.

Alle de netejere som din trafik går igennem kan uden problemer kigge med. Jeg kan ikke se hvad de skulle gøre det for, men nok mennesker i denne verden og der er sikkert nogle der syntes det er sjovt at se hvad medarbejderne laver i arbejdstiden?

  • 4
  • 1
Anne-Marie Krogsbøll
  • 1
  • 0
Bjarne Nielsen

Det ser ud til, at det er SSI (the usual suspect), som er ansvarlige for løsningen ...

SSI? Var det ikke dem, som fik at vide, at det var en pænt dum idé at sende følsomme oplysninger ukrypteret som almindelig post, og så konkluderer at det er OK at sende følsomme oplysninger ukrypteret med anbefalet post ... og derfor ender med at sende to CDer med ukrypterede oplysninger om over 5 mio danskere, herunder følsomme sundhedsoplysninger om mange af dem, galt i byen?

Men det var måske også bare en menneskelig fejl?

  • 11
  • 0
Bjarne Nielsen

Hvis du har været uforsigtig nok til at bruge eboks fra en offentlig computer og følge linker burde du allerede have procedurer for at wipe efter dig.

Jeg er lodret uenig. Det er usikkert design at tillade genbrug af noget, som burde være engangskodeord. Man burde slet ikke tillade at halv- eller trekvart færdige svar kan tilgås fra nettet. Og at gøre det så nemt, som bare at skulle gå i browser historikken, er ... jeg mangler ord.

Jeg taler ikke for at skydevåben skal udstyres med advarsel om at pege den ene ende væk fra sig selv og andre, men hvis man siger noget er 100% sikkert og giver det til ukyndige, så er det altså ens ansvar at det er sikkert, også i ukyndiges hænder.

Og vi snakker altså om almindelig brug her; vi er ikke engang begyndt på arbejdsgivere, som installerer ekstra certifikater for at kunne lytte med på https forbindelser, eller jaloux kærester eller kontrollerende familiemedlemmer, som har installeret keyloggere eller det, som er værre.

Jeg håber virkelig ikke at nogen kommer i problemer med dette, og at alle, som vælger at deltage i denne interessante undersøgelse, er klar til at skulle stå på mål for deres svar.

  • 6
  • 0
Anne-Marie Krogsbøll

... men hvis man siger noget er 100% sikkert og giver det til ukyndige, så er det altså ens ansvar at det er sikkert, også i ukyndiges hænder.


Nogle af de lignende undersøgelser, der ligger på SSI's hjemmeside, er faktisk rettet til børn på 11-18 års alderen.... Og sukret ind i beroligende forsikringer om, at selv om det kan føles ubekvemt at være åben om sig selv, så er det helt sikkert og fortroligt..... Og de undersøgelser har ligget der i flere år med usikkert login - indtil i går.

Det undrer mig også, at selv om man altså for nogle dage siden blev klar over, at den var gal med sexus-projektets login-side, så gjorde man ikke noget ved de andre sider, før jeg gav besked til dem om det i går.

Burde man ikke af egen drift have tjekket, om man også havde dummet sig med de lignende undersøgelser, man har liggende? Bare for en sikkerheds skyld? For noget tyder på, at det er en "løsnings"-fejl - ikke en enkeltstående menneskelig fejl.

Og mon opfordringen til at maile password til support stadig ligger i invitationsmailene til alle disse projekter, så de bare er kommet væk fra offentlighedens søgelys? Har man fundet en anden løsning på support, eller har det aldrig været nødvendigt at maile password, men bare "nice to have" for supporteren?

Jeg undrer mig også over, at det i følge Claus Haulunds kommentar øverst kun tager 5 minutter at få sikret siden. Hvis det er rigtigt (det aner jeg ikke) - hvorfor er de pågældende login-sider så først oppe igen d.15/9 i følge besked på hjemmesiden? Kunne det give mistanke om, at der måske er andre fejl også - som måske er mindre synlige, og som det måske er knap så enkelt at rettet op på?

  • 5
  • 0
Anne-Marie Krogsbøll

Det er konsekvensen hvis sitet ikke er lavet over https som nævnt tidligere.


Ja - spørgsmålet er så, om forskerne har været klar over det?

Hvad betyder det egentligt, når forskere i sådanne følsomme projekter gå ud og understreger, hvor alvorligt man tager datasikkerheden (...overholder alle love og regler bla bla), og når myndigheder bedyrer det samme ift. vore sundhedsdata? Hvad mener de med det? Hvad tænker de på, sådan helt konkret? Hvor ligger fejlen i dette tilfælde, hvor det ser ud til, at det er den allermest basale sikkerhed, som simpelthen ikke er tænkt ind i SSI's spørgeskemaløsninger? Ligger ansvaret hos forskerne, eller hos nogle sikkerhedseksperter og leverandører, som har bildt forskerne noget ind?

Måske skal det slet ikke være forskerne, der går ud og lover den slags, for de er ikke it-fagfolk, og det kan nemt blive "ansvaret, der forsvandt". Måske skulle det i stedet være de leverandører, der står for sikkerheden, som offentligt på tro og love erklærer, at de tager ansvaret for, at sikkerheden er i orden? For så kan de ikke efterfølgende hævde, at de har leveret den (utilstrækkelige) løsning, de er blevet betalt for, og de kan gøres juridisk ansvarlige for evt. kiks?

Det er i mine øjne utilgiveligt, at SSI nu igen gribes i sådanne fuldstændigt basale og banale fejl (hvis det altså er SSI, der er de skyldige). Så er det jeg spørger mig selv: Hvad mener de, når de taler om, at de tager datasikkerhed meget alvorligt? Jeg har svært ved at forestille mig et svar, som kan berolige mig mht. de mange millioner andre følsomme sundhedsdata, som de administrerer.

(Jeg vil lige sige, at når jeg mener, at det må være SSI, så er det fordi, det er en SSI-mailadresse, som er anført som support-adresse på projektet, og projektet har adresse hos SSI. Men det oplyses i "Spørgsmål og svar", at data opbevares på en sikker server hos Sundhedsdatastyrelsen.)

Følgende fremgår: "Dine svar på spørgsmålene i spørgeskemaet vil blive opbevaret til analysebrug på en sikker server, der fysisk befinder sig i Sundhedsdatastyrelsen, som er dataansvarlig myndighed for de nationale sundhedsregistre."

Samtidig kan jeg ved at bede om "undersøg element" i login-feltet se, at der indgår noget "costumer.cludo.com", som, så vidt jeg kan forstå, er noget cloudløsning. Så kan nogen gennemskue, hvad en cloudløsning gør i denne forbindelse, når data opbevares på en fysisk server hos Sundhedsdatastyrelsen? - eller er cludo ikke nødvendigvis noget med cloud?

  • 7
  • 0
Jakob Møllerhøj Journalist

Det er ikke korrekt...

Man kan sagtens registrere et domæne hvis navn bliver parset til noget andet.

Tak for reminderen, den historie havde jeg glemt alt om. Dit indlæg gav mig anledning til lidt opfølgende research på sagen med de kyrilliske tegn.

Først vil jeg gerne lige påpege, at jeg ikke bruger ordet garanti i artiklen, men udtrykket 'i udgangspunktet' i forhold til HTTPS og autentifikation. Der som bekendt ikke er noget, der er helt sikkert, hvad den slags angår.

Jeg kan se, at den konkrete sårbarhed med de kyrilliske tegn er lukket for flere versioner siden i Chrome, ligesom Edge heller ikke ser ud til at være sårbar, og Safari - den har jeg ikke testet - skulle heller ikke være det.

Af en eller anden grund ser Firefox 55.0.3 på mit setup stadig ud til at være modtagelig for angrebet (аррӏе.com)

Når det er sagt, kan jeg forstå, at det specifikke angreb slet ikke kan bruges i forhold til det danske toplevel-domæne, da kyrilliske tegn og bogstaver ikke er tilladte ved .dk-registrering.

Så set i det lys ville det altså umiddelbart ikke være muligt at fake https://www.projektsexus.dk via det konkrete kyrilliske angreb.

Men hvis en bruger ikke befinder på et dansk domæne og anvender Firefox, så kan angrebet muligvis stadig udføres.

Sammenhængen taget i betragtning vil jeg nu fastholde, at (korrekt opsat) HTTPS i udgangspunktet giver en vished om, at det er den rigtige server, der kommunikeres med i den anden ende. Trusselsbilledet kan naturligvis ændre sig, når nye sårbarheder dukker op.

Jakob - V2

  • 6
  • 0
Mikal Schacht Jensen

tusindvis af tilfældigt udvalgte danskere mellem 15 og 89 år har modtaget en invitation via Digital Post

Er jeg så den eneste der bliver mindst lige så forarget over at vi skal til at modtage uønskede beskeder i samme postkasse, hvor man kan blive straffet både med bøde og fængsel, hvis man overser nogle beskeder?

http://www.dr.dk/nyheder/indland/vaernepligtige-glemmer-tjekke-e-boks-ud...

  • 4
  • 0
Anne-Marie Krogsbøll

Email sikkerheden på projektsexus.dk er der styr på. Det har man sikret efter alle kunstens regler.


Godt med en positiv start på dagen :-) (Kan du uddybe? :-))

I øvrigt: Jeg har ovenfor henvist til, at Defgo og Cludo nævnes i "Undersøg element" i login-feltet. Jeg har med min begrænsede indsigt i den slags forestillet mig (uden at blive korrigeret af nogen mere kyndige her), at disse firmaer så må have en rolle i løsningen. Nu er jeg af en person med mere indsigt end mig - men ikke nok til helt at gennemskue oplysningerne i "Undersøg element" - fået at vide, at de to firmanavne (eller i det mindste Defgo) muligvis er "kommenteret ud", hvilket vel betyder, at de ikke nødvendigvis har en rolle i løsningen. Hvilket jeg jo så hellere lige må give videre. Hvorfor de så overhovedet fremgår, kan man jo så undre sig over. Men det er der nok en naturlig forklaring på for folk med forstand på den slags.

  • 0
  • 0
Anne-Marie Krogsbøll

tusindvis af tilfældigt udvalgte danskere mellem 15 og 89 år har modtaget en invitation via Digital Post


Jeg kan oplyse, at i følge projektbeskrivelsen så er minoritetsbefolkningsgrupper af forskellig art (eks. ægtepar (?), udenlandsk baggrund, tvillinger m.fl.) bevidst overrepræsenterede i kohorten. Dels fordi man ellers forventer at få problemer med svarprocenten for disse grupper, dels fordi man finder disse grupper særligt interessante.

Hvad det så betyder for risikoen for, at respondenter fra disse grupper kan identificeres på individniveau - det kommer jo nok an på, hvor lille den pågældende gruppe er.

Og der sker årlig samkøring med bl.a. (men ikke kun) Landspatientregistret, Dødsårsagsregistret, Det medicinske fødselsregister, Cancerregistret, Lægemiddelregistret, og CPR-registret.

Data slettes, når der ikke mere er behov for dem (=aldrig?), hvorefter de overføres til Statens Arkiver (= slettes aldrig).

Spørgeskemaløsningen er den samme, som er brugt i BSIG-undersøgelserne på SSI's hjemmeside - som havde samme fejl med usikkert login (er under udbedring). http://www.ssi.dk/Forskning/Forskningsomraader/Epidemiologi/BSMB/OmBSIG....

Dertil autoriserede IT-folk hos (under)-databehandlerne kan efter tilladelse få fuld adgang til besvarelserne. Jeg ved ikke, om dette kunne have været undgået?

  • 0
  • 0
Henrik Schack

Tak for svar, Henrik Schack. Langt over mit niveau - men det er ikke din fejl :-) Men aner jeg, at det "positive" ikke er en ros(e) helt uden torne?


Nej det er 100% positivt ment, faktisk tror jeg endda der er tale om en Danmarks premiere, jeg har ihvertfald aldrig nogensinde før set noget statsligt tage email sikkerhed alvorligt.

Med Projekt Sexus ser vi et eksempel på en virksomhed som har gjort ALT der
idag er teknisk muligt for at beskytte brugerne mod falske emails.

  • 3
  • 0
Bjarne Nielsen

... minoritetsbefolkningsgrupper af forskellig art (eks. ægtepar (?), udenlandsk baggrund, tvillinger m.fl.) bevidst overrepræsenterede i kohorten. ...

Det er i hvert fald udtryk for, at disse grupper har særskilt interesse.

At man udvælger flere med en given etnicitet øger selvfølgelig chancen for at en given person med denne etnicitet er med i undersøgelsen. Men foreligger der ingen forudgående viden om, hvorvidt en given person er med i undersøgelsen burde det ikke betyde noget i forhold til re-identifikation; og er der viden, så vil der være flere at gemme sig imellem.

Til gengæld vil det nok være fordi at etnicitet er genstand for særlig interesse; måske er man særligt interesseret i somaliske kvinder eller jødiske mænd? For alle os andre vil det være fint at blive klogere, men har man særlig etnicitet, så skal man nok overveje, om det er en vogn, som man ønsker at blive spændt for.

Der ligger nok ikke noget særligt interessant i det, at man er gift eller tvilling. Men det vil helt sikker være interessant at kigge på forskelle ægtefæller eller tvillinger imellem. Så vi må forvente, at er man udtrukket som par (ægte- eller tvillinge-), så er man kædet sammen med den anden. Og så man særligt interessant, og det øger reidentifikationsmulighederne markant.

Reidentifikation er jo i bund og grund at man benytter anden viden om folk. Hvis man kender f.eks. et tvillingepar, og kender dødsåret fra den ene af dem, så kan denne viden bruges. Det vil selvfølgelig være mistænkeligt, hvis man søger på tvillingepar, hvor den ene døde i X, specielt hvis der kun kommer et svar ud. Men det kan være nok at kende antallet af tvillingepar med en given egenskab (f.eks. havde dyrket analsex), som var i live i år X-1, og antallet i år X. Hvis forskellen på de to tal er 1, så ved vi noget om mindst den ene (nu kan man så indvende, at hvis tallet er stort nok til at begynde med, så er forskellen næppe så lille, men hvis tallet er stort til at begynde med, så har man sikkert allerede opdelt det efter andre kriterier, som f.eks. aldersgruppe).

Men al snakken om re-identifikation er kun interessant i det omfang, at vi tror på, at løftet om at de data, som er registreret på individniveau, ikke udleveres på den form. Nu eller i fremtiden. Jeg vil gerne tro på, at man ikke aktuelt har planer om dette, men ingen kan sige hvad fremtiden kan bringe. Og det er ikke sikkert, at dem, som har udstedt løftet, er i stand til at forhindre at det vil ske: lovgivning kan ændres, og det kan administrativ praksis også - og vi ved, at man i andre sammenhænge gerne deler ud af allerede erhvervet viden til forsknings- og kontrolformål - og der skal bare en tys-tys-kilde til at der kan skrives meget interessante artikler eller indlæg om deltagere, som iøvrigt er interessante - som kendiser eller som politiske modstandere eller bare almindeligt irriterende personer, som man gerne vil lukke munden på. Eller noget så lavpraktisk, som at dem, som lover nu, ikke længere har kontrol over data i fremtiden.

Så jeg vil gentage mit råd om, ikke at svare noget, som man ikke er klar til at skulle stå på mål for, hvis "uheldet" skulle være ude.

  • 2
  • 0
Anne-Marie Krogsbøll

Tak for uddybning, Bjarne Nielsen.

Men al snakken om re-identifikation er kun interessant i det omfang, at vi tror på, at løftet om at de data, som er registreret på individniveau, ikke udleveres på den form.


Det fremgår af projektbeskrivelse m.m., a man påtænker at kontakte folk senere mhp. yderligere forskning, udhentning af biologisk materiale etc. Såfremt dette gøres for hele kohorten, er der vel ikke noget nyt i det. Men hvad nu, hvis man ønsker at foretage yderligere undersøgelser på undergrupper? Så er respondenter i disse jo automatisk "identificerede" i et eller andet omfang (måske ikke fuldt ud), når man sender invitationer ud. I så fald håber jeg, at man husker at oplyse folk om, at de er udvalgt i deres egenskab af tilhøre en eller flere konkrete undergrupper.

Og vil man give folk en pose over hovedet, når man eks. skal tage blodprøve på dem :-) (det kan selvfølgelig også være udsendelse af "pseudoanonymiserede" hjemmetests etc.).

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize