Sundhedsdatastyrelsen.dk bruger cookies for at forbedre brugeroplevelsen på hjemmesiden.  Læs mere om cookies

06.09.2016

Redegørelse om anbefalet brev afleveret til forkert modtager

I dag offentliggør Sundhedsdatastyrelsen en redegørelse, der belyser, hvad der skete i 2015, da der blev afleveret et brev indeholdende personoplysninger til en forkert modtager.

Kontakt

Sundhedsdatastyrelsen kaster lys over sagen i en redegørelse, der udover en beskrivelse af det konkrete hændelsesforløb også indeholder en beskrivelse af, hvad styrelsen har gjort for at forhindre, at hændelser som denne vil gentage sig.

Forløbet kort

I februar 2015 blev et brev fra Forskerservice - der dengang hørte under Statens Serum Institut og i dag hører under Sundhedsdatastyrelsen - sendt anbefalet til Danmarks Statistik. Brevet blev dog beklageligvis afleveret på forkert adresse.

Brevet indeholdt CPR-numre på 5.282.616 borgere bosat i Danmark mellem 2010-2102, og for ca. 1.150.300 borgeres vedkommende også helbredsoplysninger fra Cancerregisteret, Diabetesregisteret og/eller Det Centrale Psykiatriregister. Men da disse data skulle indgå i et stort forskningsprojekt sammen med data fra andre kilder, var de ikke anonymiseret inden afsendelse.

Modtageren nåede at åbne brevet, men leverede det straks efter videre til Danmarks Statistik. Statens Serum institut modtog efterfølgende en skriftlig bekræftelse på dette forløb og konkluderede på den baggrund, at der ikke var tale om et ’læk’, som kunne få konsekvenser for de borgere, hvis data var i brevet.

Øget fokus på datasikkerhed

Datasikkerhed er et væsentligt område for Sundhedsdatastyrelsens daglige arbejde, og derfor har sagen om de fejlafleverede persondata også givet anledning til at gennemgå procedurer, arbejdsgange m.m.

Som konsekvens af sagen har Sundhedsdatastyrelsen efterfølgende ændret på nogle af de tidligere procedurer og har bl.a.:

  • Kommunikationen med Danmarks Statistik er omlagt, så data nu overføres via en direkte, lukket og krypteret dataforbindelse
  • Antallet af fysiske dataforsendelser er reduceret ved at forskere nu kan søge om adgang til data via Sundhedsdatastyrelsens Forskermaskine
  • Alle dataleverancer med CPR-oplysninger, som fordrer, at data sendes fysisk, bliver sendt anbefalet og i krypteret form

Derudover har Sundhedsdatastyrelsen i øvrigt etableret en ny funktion med juridisk og teknisk ekspertise på området, som bl.a. bistår med risikovurderinger og stiller krav til sikkerhedsforanstaltninger.

Læs den samlede redegørelse (PDF)