Danske cpr-numre udleveret til kinesere ved en fejl
Et brev indeholdende to cd'er med ukrypterede sundhedsoplysninger blev leveret til kinesisk virksomhed.
En kinesisk virksomhed, der behandler visumansøgninger, fik ved en fejl leveret godt fem millioner danske personnumre.
En kinesisk virksomhed, der behandler visumansøgninger, fik ved en fejl leveret godt fem millioner danske personnumre. Foto: Colourbox/Free


Godt fem millioner danske cpr-numre og helbredsoplysninger er ved en fejl blevet leveret til en virksomhed, der hjælper danskere med at skrive og sende visumansøgninger til Kina.

Det fremgår af en afgørelse fra Datatilsynet. I afgørelsen kritiseres det samtidig, at oplysningerne ikke var krypteret.

Det var Statens Serum Institut (SSI), der egentlig havde sendt oplysningerne i et anbefalet brev til Danmarks Statistik.

Men ved en fejl endte brevet hos Chinese Visa Application Centre, som ifølge sin egen hjemmeside er en kommerciel virksomhed, der uafhængigt og uden at være formelt knyttet til de kinesiske myndigheder håndterer flere rutineopgaver forbundet med visumansøgninger.

Da Danmarks Statistik siden modtog brevet, var det åbnet.

I brevet lå to ukrypterede cd'er med personfølsomme oplysninger. Mere præcist drejede det sig om personnumre og data på 5,28 millioner personer, der var bosat i danske kommuner mellem 2010 og 2012. Navn og adresse fremgik dog ikke.

SSI medgiver, at der var tale om "følsomme personoplysninger af meget omfattende karakter". Instituttet mener dog ikke, at oplysningerne nåede at komme i de forkerte hænder.

Det har SSI skrevet i et svar til Datatilsynet med henvisning til Forskerservice, der i dag er en enhed under den nyoprettede Sundhedsdatastyrelse:

- Det er imidlertid Forskerservices opfattelse, at de oplysninger, der fejlagtigt blev afleveret til Chinese Visa Application Centre, hverken kom andre personer i hænde eller blev set af andre personer.

Instituttet forklarer i sit svar, at det har talt med medarbejderen fra Chinese Visa Application Centre, som fortæller, at hun modtog brevet og åbnede det ved en fejl.

Da medarbejderen opdagede, at den rette modtager var Danmarks Statistik, afleverede hun brevet til dem. Ifølge SSI's oplysninger havde kineseren ikke set indholdet.

Det er ikke første gang, at Datatilsynet har kritiseret SSI. Tilsynet har tidligere anbefalet myndigheden, at datamedier skal krypteres, når de sendes med post.

Datatilsynet noterer, at SSI nu vil ændre retningslinjer og fremover altid kryptere data, der sendes med post.

Sundhedsminister Sophie Løhde (V) har ingen kommentarer til sagen, da hun er på ferie.

Statens Serum Institut henviser til Sundhedsdatastyrelsen, som har overtaget en del af Seruminstituttets tidligere opgaver.

/ritzau/

Følg os på Facebook

Så får du nyheder direkte leveret, og kan deltage i debatten på vores artikler.