5 millioner CPR-numre lækket – SSI krypterede ikke data

Statens Serum Institut sendte CD’er med personfølsomme sundhedsdata med CPR-numre til Danmarks Statistik. Pakken blev afleveret forkert og data var ikke krypteret.
Nu er der kommet endnu et læk med CPR-numre. Denne gang er der lækket over 5 millioner danske CPR-numre til kineserne. Udover CPR-numrene blev fortrolige sundhedsdata også lækket.
Det skete i forbindelse med at Statens Serum Institut (SSI) skulle sende en pakke til Danmarks Statistik. Statens Serum Institut administrerer en del af de store sundhedsdatabaser der anvendes til bl.a. statistik og forskning i Danmark. Disse data sender de jævnligt til Danmarks Statistik. Denne gang foregik det med Post Nord til Danmarks Statistiks adresse som anbefalet brev.
Problemet var bare, at brevet blev ikke afleveret til Danmarks Statistik. De blev først afleveret til Chinese Visa Application Centre – og da brevet så ankom til Danmarks Statistik var brevet åbnet. CD’erne som brevet indeholdte, kunne på den måde ses, kopieres og videredistribueres. Data på CD’erne var ikke krypteret.
Det er et stort problem når sundhedsmyndigheder ikke krypterer fortrolige data inden de sender dem med posten. At et brev kan afleveres til en forkert adresse, må man forvente. Netop derfor bør data altid krypteres, så kun den rette afsender og modtager kan læse det.
Statens Serum Institut har da også efter henvendelse fra Datatilsynet i denne sag valgt at ændre proceduren så data der sendes med posten altid krypteres.
Læs mere om sagen hos Datatilsynet.

0 0 votes
Article Rating

Andreas Andersen

Forfatter og grundlægger af IT-blogger.dk, der har blogget om IT-emner siden 2012. Findes på Mastodon på @aphandersen@ansico.dk

Abonner
Giv besked ved
guest

2 Comments
mest stemt på
nyeste ældste
Inline Feedbacks
View all comments
Stegemüller siger:

Det er sjældent, jeg farer med på det populistiske og enøjede “Det er en skandale”, men det synes jeg faktisk, der er tale om her. Det undrer mig lidt, at presseomtalen er sparsom.

Jeg er helt enig med dig – det er en skandale der ikke måtte ske. Jeg forstår faktisk ikke hvordan nogen kunne tænke på at sende 5 millioner CPR-numre med en CD der er ukrypteret. Og så bagefter skyde skylden på posten der har leveret pakken forkert. Sagen her må føre til en oprydning i den manglende kryptering i det offentlige.

2
0
Would love your thoughts, please comment.x
()
x