It sikkerhed og kryptering

PROSA kritiserer datapraksis hos Statens Serum Institut

Den potentielle datalæk ved transporten af fortrolige sundhedsdata for mere end fem millioner danskere fra Statens Serum Institut til Danmarks Statistik udløser kritik fra PROSA.

Datatilsynet udtrykker mild kritik i en offentliggjort afgørelse af Statens Serum Institut (SSI). Kritikken drejer sig om, at SSI ukrypteret har sendt helbredsoplysninger på mere end 5 millioner danskere inklusive personnummeroplysninger til Danmarks Statistik tilbage i 2015. I det konkrete tilfælde skete afsendelsen som et anbefalet brev indeholdende to cd’er, beretter tilsynet i afgørelsen.

De rå data blev ved en fejltagelse afleveret til det kinesiske visa-ansøgningscenter i København, som angiveligt både sørgede for at videresende materialet til den korrekte modtager, Danmarks Statistik og samtidigt kunne oplyse, at man ikke havde læst indholdet af det omfattende datamateriale. 

Hos it-fagforeningen PROSA er der hovedrysten over hændelsen. ifølge Ole Tange, it-politisk rådgiver, viser den med tydelighed, at man selv med Postvæsenet som bindeled mellem to offentlige danske myndigheder risikerer datalæk.

- PROSA har længe ment, at SSI's forskerservice er kritisabel, idet borgerne ikke er blevet spurgt, om de ønsker at deltage og ønsker at blive udsat for risikoen for datalæk, siger han. 

Ole Tange peger på to løsninger, som kunne have forhindret den sløsede omgang med de fortrolige oplysninger:

- Man burde have benyttet en Privacy-by-design-løsning. Det gør, at data ved et datalæk er ufarlige, og formentlig ville kunne benyttes i denne situation. Den anden løsning er aktivt at spørge borgerne, om de ønsker at deres data stilles til rådighed for forskning - med den risiko for datalæk, som der er forbundet med det.

Han understreger, at PROSA er fortaler for, at borgerne selv får mulighed for at styre hvordan data om borgerne må deles. 

- Det kan eksempelvis gøres med en service, hvor man - ligesom på Facebook - indstiller hvilke privatlivsindstillinger, som man ønsker at have for de forskellige data, der er registrerede om en. Det er i dag teknisk muligt, at lave et sådant system, siger Ole Tange.