Version2-læsere om vildfaren sundhedsdata: Ubegribelig sikkerhedsprocedure

Illustration: REDPIXEL.PL/Bigstock
Der er brug for langt bedre sikkerhedsprocedure, når følsom data sendes mellem myndigheder. Alt andet er galimatias, lyder det fra Version2’s læsere.

En statsejet kinesisk virksomhed blev for en kort stund sidste år indehaver af to CD’er med fem millioner danskeres CPR-numre og følsomme sundhedsoplysninger, da et anbefalet
brev fra Statens Serum Institut blev fejlafleveret af ukendte årsager.

Data’en var ikke krypteret. Men da Datatilsynet ikke har klokkeklare krav på området slap SSI uden kritik - fra tilsynet vel og mærke.

Læs også: Ukrypterede CD'er med sundhedsdata på fem millioner danskere havnede hos kinesisk firma

Blandt Version2’s læsere er holdningen lidt anderledes. Debatten til afsløringen flyder over med skepsis rettet mod modus operandi i SSI Forskerservice, der nu er en del af Sundhedsdatastyrelsen.

‘En ting er at småting måske sendes ukrypteret ad hoc,’ skriver Version2-læser Martin Dahl og fortsætter:

‘Men det er ubegribeligt at nogen og især SSI brænder en CD med ukrypterede personhenførbare sundhedsdata på stort set hele den danske befolkning og sender den med posten.’

Behov for fejltolerante sikkerhedsprocedurer

For Version2-læser Pierre A. Larsen er krypteringen ikke nok i sig selv.

‘De burde kun sendes af sted med en fysisk eskorte med mindst en og helst to betroede medarbejdere. Alt andet er det rene galmatias - som det jo tydeligt er blevet bevist,’ skriver han i debatten.

Danmarks Statistik oplyser til Version2, at når myndigheden en sjælden gang sender data ud af huset på digitale medier - som for eksempel Rigsarkivet ønsker det - er det en medarbejder, der tager afsted, så dataen aldrig er i hænderne på posten.

Læs også: Bankkonto-numre og cpr flød rundt på kommunal hjemmeside

Michael Cederberg påpeger, at der er behov for sikkerhedsprocedure, der er fejltolerante.

‘I dette eksempel: Hvis data var krypteret og koden blev leveret af en anden kanal end data, så ville der ikke ske noget ved at data blev afleveret det gale sted,’ skriver Version2-læseren.

Netop på grund af mangelfulde procedurer kommer det potentielt dybt alvorlige datalæk ikke bag på Nicolai Rasmussen, der også deltog i debatten.

‘Procedurerne er manglende, negligerede eller udarbejdet af folk uden indsigt i det, de administrerer. Hvis man vil have strammet op på håndteringen af vores private data, skal man først indse at de er værd at passe på,’ skriver han i en kommentar.

Tilliden er lav

Da SSI i februar 2015 blev gjort opmærksom på, at der var sket en fejl, tog de straks kontakt til det såkaldte Chinese Visa Application Centre og nærmere bestemt medarbejderen, der havde åbnet brevet i troen om, at det var afleveret korrekt.

Medarbejderen skrev under på et dokument, der erklærer, at dataen ikke er blevet set, før CD’erne endeligt havnede hos Danmarks Statistik. Det er således altså i høj grad et spørgsmål om tillid til medarbejderen - og her er flere debattører på Version2 skeptiske.

Læs også: To mænd tiltalt for at lække 91 politikeres CPR-numre

‘Forskerservice og Datatilsynet går ud fra, at hvis der var lavet en kopiering, så ville den, der har gjort det, fortælle om sin strafbare handling,’ skriver Henrik Morell.

Pierre A. Larsen påpeger, at en efterretningstjeneste kan være nødt til at antage det værst mulige - at dataen er faldet i forkerte hænder.

‘Jeg vil også antage, det ville være en simpel øvelse at krydse cpr-numre med navn, adresse og stillinger. Ikke kun det offentlige; men snesevis af danske virksomheder har disse oplysninger,’ skriver han i debatten.

Burde informere de berørte

Som Version2 idag har kunne afsløre tilbød Skat.dk - indtil i dag - en tjeneste, som gav både telefonnummer og mail i bytte for et CPR-nummer. Herfra er det en kort vej via Google til en komplet personprofil.

Flere læsere udtrykker skuffelse over, at Datatilsynet ikke går hårdere til SSI. Mikkel Jev skriver i debatten:

‘Uacceptabelt håndtering af personlig data har jo aldrig fået konsekvenser når det er staten, som er "hovedpersonen" - og i dette tilfælde får det jo heller ingen konsekvenser.’

Læs også: Fra CPR til identitet: Skat.dk udleverer mail og telefonnummer i bytte for CPR

Datatilsynet har accepteret SSi’s forklaring om, at ingen uvedkommende har set på data, og der derfor ikke er behov for den eller lovpligtige orientering. Alligevel mener Christian Schmidt, at det ville klæde Statens Serum Institut at sende et brev til de berørte borgere, der forklarede og beklagede hændelsen.

‘I lyset af omstændighederne kan det være, at Post Danmark vil påtage sig at bringe brevet ud uden beregning :-),’ skriver Version2-læseren i sin kommentar.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Michael Cederberg

Nu kravler Danmarks Statistik op på den høje hest og fortæller om hvor gode de er til at beskytte data der går ud af huset. Jeg gætter på at det ikke er så meget rådata der ryger ud af huset – DS er i højere grad modtageren, så ud-af-huset er det nemme.

I stedet kan man spørge DS om hvad de gør for at gøre det nemt for leverandører af data at aflevere data på en sikker måde? Vigtigere, når nu DS sidder i midten af det hele og samler data fra næsten alle landets myndigheder, hvad gør de så for at passe på data? For hvorfor hacke en masse myndigheder hvis man kan få det hele fra et sted – Danmarks Statistik.

Hvad er proceduren for at få adgang til personhenførbart data hos DS? Hvordan er data beskyttet rent teknisk? Er der audit trail på al tilgang til data (sådan som der skal være der hvor data kommer fra)? Når rådata sendes ud af huset, hvad gør DS så for at sikre at modtageren har styr på sikkerheden? Det er ikke fordi jeg ønsker at DS offentliggør en hacker-manual, men når nu DS er et af stederne hvor personhenførbart data koncentreres, så må man forvente at de er ekstra sikkerhedsbeviste.

(Jeg kender ikke svarene på ovenstående. Jeg håber at der er styr på tingene, men da DS er underlagt de samme svage regler fra Datatilsynet som SSI/Sundhedsdatastyrelsen så er jeg bange for at det står slemt til)

  • 6
  • 0
#3 Emil Melgaard

De burde kun sendes af sted med en fysisk eskorte med mindst en og helst to betroede medarbejdere. Alt andet er det rene galmatias - som det jo tydeligt er blevet bevist

Det citat viser on total afkobling mellem hvad (nogle) borgere forventer af beskyttelse af persondata og hvad virkeligheden er. Jeg har selv tidligere arbejdet for SSI Forskerservice (den gang det var en del af Sundhedsstyrelsen) og at sende data ukrypteret med anbefalet post var helt efter reglerne fra Datatilsynet. Der blev nok sendt 10-20 breve med tilsvarende mængder data til forskere rundt omkring i landet, og at skulle afleveret alt personligt ville have mangedoblet udgifterne.

Og i betragtning af at jeg som studentermedhjælp uden nogen form for baggrundstjek fik ubegrænset adgang til alt data fra sygehusvæsnet, CPR-registret og mange andre registre (se en liste her), ville der efter min mening være mange andre steder hvor sikkerheden burde forbedres først.

Jeg forstår godt at der er mange der er utilfredse med at der ikke er bedre sikkerhed for de persondata vi ikke selv kan bestemme over og ikke kan undgå bliver indsamlet (og der er bestemt mange steder hvor sikkerheden bør forbedres), men det danske registersystem (med CPR-nummer) er et uvurderligt værktøj for sundhedsforskningen, og det er til vores alle sammens gavn at forskere har adgang til de data uden alt for mange forhindringer.

  • 5
  • 8
#4 Peter Stricker

det er til vores alle sammens gavn at forskere har adgang til de data uden alt for mange forhindringer

Den påstand fremføres også af så godt som alle politikere og interessenter fra medicoindustrien. Hvis den blot gentages ofte nok, så ender den sikkert med at være sand.

Men jeg er endnu ikke overbevist, og derfor vil jeg meget gerne spørges før sundhedsdata om mig indsamles og videregives.

  • 11
  • 1
#5 Tommy Lindegaard

Nej, nej nej. Medicinindustrien skal ikke have mine data. De adskiller sig ikke på nogen måde fra hverken et bolchekogeri eller tobaksindustrien. Deres interesse er økonomi. Det er ikke at gøre dig eller mig raske. deres interesse er at holde dig og mig i live længst muligt, sammen med den størst mulige afhængighed af deres produkter. Så nej, mine sundhedsdata skal ikke kastes i grams.

  • 13
  • 2
#6 Niels Danielsen

Et af problemerne er at data er sammen kædet med CPR nummeret som aldrig skiftes ud, og bruges direkte af mange instanser. Det betyder at navnene bag lækkede sundheds data kan afkodes af én der arbejder på et bibliotek, eller i et teleselskab.

Jeg vil gerne have at sundheds data, data relateret til skat, teleselskaber etc. har hvert sit alias. ID kort skal igen have sit eget alias, således at tabte kort kan udskiftes med nyt alias. (Stopper ID tyveri)

De enkelte firmaer der ligger inde med person data skal så kun have adgang til slå navn etc. op on a need to know basis. DS vil så få f.eks. få lov til at sammenknytte sundheds og skatte alias til socialøkonomiske analyser.

  • 9
  • 0
#7 Jesper Jepsen

Hvad det koster at sende en person kontro et brev er jo totalt ligegyldigt for borgeren her handler det om at beskytte kritisk data og hvis forskerne ikke har råd til at få leveret eller selv fysisk hente deres data så må de finde noget andet at lave. At der ikke er styr på hvem der har adgang til data internt kommer som ingen overraskelse det er nok mere en mentalitet i DK end det er specifikt for SSI. F.eks har jeg været medlemsansvarlig i en frivillig forening hvor man ikke så meget som skriver under på en tro og love erklæring om ikke at videre give personfølsom data, f.eks adresser til en forældre der har polititilhold, sygdomme og lign. Så ser det mere som et udslag af klassisk dansk dovenskab.

  • 4
  • 0
#8 Michael Cederberg

Og i betragtning af at jeg som studentermedhjælp uden nogen form for baggrundstjek fik ubegrænset adgang til alt data fra sygehusvæsnet, CPR-registret og mange andre registre (se en liste her), ville der efter min mening være mange andre steder hvor sikkerheden burde forbedres først.

Det er jeg fuldstændig enig i. Selvfølgeligt skal myndighederne udveksle data på forsvarlig vis. Men problemet omkring den personhenførbare information ligger i højere grad i alle de der har uindskrænket adgang, uden at der er et audit trail og uden ordentlig kontrol med hvor data gemmes og hvor længe.

Derfor er jeg også sikker på at kinesere, russere, amerikanere, israelere, tyskere, etc. allerede har strålende kopier af diverse registre.

Nej, nej nej. Medicinindustrien skal ikke have mine data. De adskiller sig ikke på nogen måde fra hverken et bolchekogeri eller tobaksindustrien.

Ingen data -> Ingen "bolcher". Sammenligningen med et bolchekogeri eller tobak er rent nonsens. Samfundets formål med medicin er at påvirke brugeren i positiv retning. Medicoindustriens mål er at udvikle ny medicin som folk vil købe. Hvis medicinen ikke virker vil ingen købe den. Stort set sammenfaldende interesser. Forskning og medicin er en af grundene til den støt stigende levealder i verden.

I mine øjne er der ingen problemer med at medicinindustrien (eller forskere i øvrigt) har adgang til data. Jeg har bare svært ved at se hvorfor de skal have udleveret alt data. Såfremt en forsker har en hypotese, så kan han passende aflevere en ”query” til Danmarks Statistik. De kan så give ham resultatet og det behøver ikke indeholde personhenførbart data.

Deres interesse er økonomi. Det er ikke at gøre dig eller mig raske. deres interesse er at holde dig og mig i live længst muligt, sammen med den størst mulige afhængighed af deres produkter.

Du går vel også på arbejde for at tjene penge? Det samme gør blikkenslageren, landmanden og lokomotivføreren. Og vi er alle afhængige af at samfundet udvikler sig på basis af viden, sådan at ressourcerne bruges fornuftigt. Der er ikke noget odiøst ved at tænke på økonomi – hvis man ikke gør det ender det hele i kaos.

Det kan godt være at medicoindustrien har en større interesse i at holde os i live på medicin end at kurere sygdomme. Men det er ikke et enten eller. Vi kan godt få begge dele og uden viden får vi ingenting. Jeg ville for eksempel nødig være foruden moderne penicillin, insulin, epilepsimedicin, HIV medicin, etc. Intet af det er kommet uden forskning og uden en medicoindustri.

  • 3
  • 1
Log ind eller Opret konto for at kommentere