Godt fem millioner danske cpr-numre og helbredsoplysninger er ved en fejl blevet leveret til en virksomhed, der hjælper danskere med at skrive og sende visumansøgninger til Kina.
Det fremgår af en afgørelse fra Datatilsynet. I afgørelsen kritiseres det samtidig, at oplysningerne ikke var krypteret.
Det var Statens Serum Institut (SSI), der egentlig havde sendt oplysningerne i et anbefalet brev til Danmarks Statistik.
Men ved en fejl endte brevet hos Chinese Visa Application Centre, som ifølge sin egen hjemmeside er en kommerciel virksomhed, der uafhængigt og uden at være formelt knyttet til de kinesiske myndigheder håndterer flere rutineopgaver forbundet med visumansøgninger.
Da Danmarks Statistik siden modtog brevet, var det åbnet.
I brevet lå to ukrypterede cd’er med personfølsomme oplysninger. Mere præcist drejede det sig om personnumre og data på 5,28 millioner personer, der var bosat i danske kommuner mellem 2010 og 2012. Navn og adresse fremgik dog ikke.
SSI medgiver, at der var tale om “følsomme personoplysninger af meget omfattende karakter”. Instituttet mener dog ikke, at oplysningerne nåede at komme i de forkerte hænder.
Det har SSI skrevet i et svar til Datatilsynet med henvisning til Forskerservice, der i dag er en enhed under den nyoprettede Sundhedsdatastyrelse:
– Det er imidlertid Forskerservices opfattelse, at de oplysninger, der fejlagtigt blev afleveret til Chinese Visa Application Centre, hverken kom andre personer i hænde eller blev set af andre personer.
Instituttet forklarer i sit svar, at det har talt med medarbejderen fra Chinese Visa Application Centre, som fortæller, at hun modtog brevet og åbnede det ved en fejl.
Da medarbejderen opdagede, at den rette modtager var Danmarks Statistik, afleverede hun brevet til dem. Ifølge SSI’s oplysninger havde kineseren ikke set indholdet.
Det er ikke første gang, at Datatilsynet har kritiseret SSI. Tilsynet har tidligere anbefalet myndigheden, at datamedier skal krypteres, når de sendes med post.
Datatilsynet noterer, at SSI nu vil ændre retningslinjer og fremover altid kryptere data, der sendes med post.
Sundhedsminister Sophie Løhde (V) har ingen kommentarer til sagen, da hun er på ferie.
Statens Serum Institut henviser til Sundhedsdatastyrelsen, som har overtaget en del af Seruminstituttets tidligere opgaver.
/ritzau/