Ansvaret for danskernes sundhedsdata holdt flyttedag i slutningen af 2015 og blev fjernet fra Statens Serum Institut (SSI) for i stedet at blive placeret i en nyoprettet, selvstændig enhed – Sundhedsdatastyrelsen.
Baggrunden var bl.a. at øge sikkerheden.
15. februar 2015 sender Statens Serum Institut (SSI) to cd’er med anbefalet brev til Danmarks Statistik, som ligger Sejrøgade 11 i København. Cd’erne indeholdt data, der ikke var krypterede.
Brevet bliver ved en fejl afleveret til Chinese Visa Application Service Center, en privat virksomhed med adresse på Lyngbyvej 28 – ca. tre minutters gang fra Danmarks Statistik.
En medarbejder tager mod brevet, åbner det og opdager, at det er afleveret det forkerte sted. Hun går derefter hen til Danmarks Statistik med det.
Danmarks Statistik melder sagen til Datastyrelsen, som beder om en redegørelse fra SSI. SSI ændrer sine procedurer, så dataforsendelser fremover sendes krypteret, men mener ikke, at der er sket noget misbrug af de følsomme oplysninger.
15. november 2015 etableres Sundhedsdatastyrelsen, som overtager de dataopgaver, der tidligere lå hos SSI.
Sagen kommer til offentlighedens kendskab, da Datastyrelsen lægger en redegørelse for forløbet på sin hjemmeside.
15. februar 2015 sender Statens Serum Institut (SSI) to cd’er med anbefalet brev til Danmarks Statistik, som ligger Sejrøgade 11 i København. Cd’erne indeholdt data, der ikke var krypterede.
Brevet bliver ved en fejl afleveret til Chinese Visa Application Service Center, en privat virksomhed med adresse på Lyngbyvej 28 – ca. tre minutters gang fra Danmarks Statistik.
En medarbejder tager mod brevet, åbner det og opdager, at det er afleveret det forkerte sted. Hun går derefter hen til Danmarks Statistik med det.
Danmarks Statistik melder sagen til Datastyrelsen, som beder om en redegørelse fra SSI. SSI ændrer sine procedurer, så dataforsendelser fremover sendes krypteret, men mener ikke, at der er sket noget misbrug af de følsomme oplysninger.
15. november 2015 etableres Sundhedsdatastyrelsen, som overtager de dataopgaver, der tidligere lå hos SSI.
Sagen kommer til offentlighedens kendskab, da Datastyrelsen lægger en redegørelse for forløbet på sin hjemmeside.
”Der er en grund til, at man oprettede Sundhedsdatastyrelsen. CPR-sagen er fra før, vi blev dannet og er et symptom på, at der var brug for en selvstændig enhed”, Sundhedsdatastyrelsens direktør Lisbeth Nielsen.
”Og så fik vi også koblingen til sundheds-it delen. Det er der, kompetencen ligger omkring digitalisering af data”.
Hvad har I gjort for sikkerheden, så?
”Vi har siden oprettelsen – faktisk forberedte vi det i foråret (2015, red.) – haft en task force i gang med at gennemgå vores datasikkerhed generelt og har strammet op på processer og procedurer. Vi har også arbejdet med at øge kompetencerne i huset i forhold til datasikkerhed”.
Kan det samme ske i dag?
”Nej”.
Helgardere sig kan man vel aldrig – f.eks. mod hacking?”
”Nej, og derfor har vi også skruet op på den løbende risikovurdering. Vi ser hele tiden på, hvilke teknologiske muligheder, vi har. Og vi har f.eks. forskermaskinerne, hvor vi giver forskere adgang til pseudonymiserede data, som ikke kommer ud af huset”.
Nogle forskere har jo i enkelte tilfælde brug for cpr-numre?
”Så er det krypterede data, vi sender, som de får en nøgle til at afkryptere med. Det laver vi stramme aftaler med dem om. Datasikkerhed ligger os rigtig meget på sinde – det er vores raison d’être at sikre, at disse oplysninger sikres bedst muligt”.
Læs også: Henrik Ullum om cpr-skandale: Tid til klare udmeldinger om datasikkerhed
<p>CPR-skandalen stammer fra før, Sundhedsdatastyrelsen blev oprettet, og kunne ikke ske i dag, siger styrelsens direktør.</p>