Sundheds- og Ældreudvalget 2015-16
SUU Alm.del
Offentligt
1661527_0001.png
Til Sundheds- og Ældreministeriet
Sundhedsdatastyrelsen
Ørestads Boulevard 5
2300 København S
www.sundhedsdata.dk
[email protected]
+45 7221 6800
Dato: 01. september 2016
Redegørelse om fejlaflevering af anbefalet brev indeholdende personoplysninger.
Sundhedsdatastyrelsen er blevet bedt om en redegørelse for sagen vedrørende et
fejlafleveret anbefalet brev indeholdende persondata. Brevet blev afsendt fra Statens
Serum Instituts Forskerservice. Brevet var adresseret til Danmarks Statistik, men blev i
februar 2015 afleveret af Post Danmark til Chinese Visa Application Centre, en privat
virksomhed der formidler visumansøgninger til Kina.
Redegørelsen skal bl.a. indeholde følgende:
A. Beskrivelse af sagsforløbet (kronologisk fremstilling)
B. Information om baggrunden for SSI’s fremsendelse af personnumre og
helbredsoplysninger til Danmarks Statistik
C. Redegørelse om, hvilke tiltag Sundhedsdatastyrelsen har taget som led i
håndteringen af sagen og i øvrigt med henblik på at sikre en mere professionel
sagsbehandlingspraksis
D. Information om, hvorledes sagsbehandlingen og udlevering af data foregår i
dag (til Danmarks Statistik såvel som til andre)
Nedenfor følger Sundhedsdatastyrelsens redegørelse for den konkrete sag.
Sundhedsdatastyrelsen udarbejder redegørelsen, da Forskerservice blev overført fra
Statens Serum Institut til Sundhedsdatastyrelsen ved etableringen af
Sundhedsdatastyrelsen i november 2015. Indtil 2012 var Forskerservice en del af
Sundhedsstyrelsen.
Redegørelse
Sundhedsdatastyrelsen skal indledningsvis beklage, at personfølsomme data blev
fremsendt ukrypteret til Danmarks Statistik og dermed potentielt kunne være kommet
til uvedkommendes kendskab. Der var tale om en utilstrækkelig praksis, som burde
have været ændret før denne hændelse.
SUU, Alm.del - 2015-16 - Endeligt svar på spørgsmål 770: Spm. om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003 , til sundheds- og ældreministeren
1661527_0002.png
A. Beskrivelse af sagsforløbet
I den konkrete sag fra februar 2015 skulle en forsker fra Statens Institut for
Folkesundhed efter aftale med Sundhedsstyrelsen koble data fra en række datakilder,
herunder sundhedsregistre, på en Forskermaskine hos Danmarks Statistik til brug for
forskningsprojektet ”Sygdomsbyrden i Danmark – udvalgte risikofaktorer og
sygdomme med fokus på social ulighed”
1
. Forskningsprojektet skulle gennemføres på
Danmarks Statistiks forskermaskiner, hvor forskeren har adgang til pseudonymiserede
data til brug for projektet.
Efter at have behandlet forskerens ansøgning, sendte Forskerservice på Statens Serum
Institut derfor et datasæt indeholdende CPR-numre og helbredsdata til Danmarks
Statistik. I forbindelse med modtagelsen hos Danmarks Statistik skulle datasættet
pseudonymiseres af Danmarks Statistik.
Forskerservice kunne ikke pseudonymisere data på forhånd, da alle data forskeren
skulle have adgang til, dvs. også data fra andre end Statens Serum Institut, skulle være
krypteret efter samme nøgle hos Danmarks Statistik.
Den 16. februar 2015 afsendte Forskerservice på Statens Serum Institut derfor et
rekommanderet brev adresseret til Danmarks Statistik, Sejrøgade 11, 2100 København
Ø. Brevet indeholdt et følgebrev samt to CD’er med data til brug for ovennævnte
projekt. Jf. den daværende praksis var CD’erne ikke krypterede.
De to CD’er indeholdt CPR-data om 5.282.616 personer bosat i danske kommuner
mellem 2010 og 2012. CD’erne indeholdt CPR-numre for personer, der opfyldte
bestemte bopælskriterier, men ikke navn og adresse. For så vidt angår ca. 1.150.300
borgere indeholdt datasættet endvidere helbredsoplysninger fra cancerregisteret,
diabetesregisteret og/eller det centrale psykiatriregister.
Den 17. og 18. februar 2015 blev Statens Serum Institut kontaktet henholdsvis
telefonisk og skriftligt af Danmarks Statistik, der havde fået overbragt brevet fra en
medarbejder på Chinese Visa Application Centre, som fejlagtigt havde modtaget - og
åbnet - brevet. Chinese Visa Application Centre er beliggende på Lyngbyvej 28, 2100
København Ø og er en dansk registreret virksomhed med kinesiske ejere, der bistår
privatpersoner med at indhente visum til Kina.
1
https://sundhedsstyrelsen.dk/da/sygdom-og-
behandling/~/media/00C6825B11BD46F9B064536C6E7DFBA0.ashx
2/7
SUU, Alm.del - 2015-16 - Endeligt svar på spørgsmål 770: Spm. om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003 , til sundheds- og ældreministeren
1661527_0003.png
Statens Serum Institut tog kontakt til Chinese Visa Application Centre, der imidlertid
var ferielukket, hvilket den 23. februar 2015 blev fulgt op at et besøg hos
virksomheden, hvor ledende medarbejdere fra Statens Serum Institut modtog en
mundtlig redegørelse for forløbet. Statens Serum Institut orienterede herefter
Datatilsynet telefonisk og skriftligt om hændelsen.
Medarbejderen fra Chinese Visa Application Centre, der havde modtaget brevet,
oplyste ved denne lejlighed, at det først var efter åbningen, at hun konstaterede, at
brevet var fejlafleveret. Hun gik derefter straks de 250 m. til Danmarks Statistik, hvor
hun afleverede brevet i receptionen.
Statens Serum institut modtog den 4. marts 2015 en skriftlig bekræftelse på dette
sagsforløb og har ikke fundet grund til at betvivle forklaringen. Som sagen er oplyst er
der således ikke tale om, at data er ”lækket”, men alene at forsendelseskæden har
været brudt, men ikke kompromitteret.
Forskerservice kontaktede endvidere den 3. marts 2015 Post Danmark (nu: Post Nord)
med henblik på at få oplyst, hvordan en sådan fejlaflevering kunne ske, samt hvad de
ville gøre for, at undgå tilsvarende hændelser opstod igen. Efter gentagne rykkere har
Post Nord i september 2015 oplyst, at der var tale om en menneskelig fejl, at det ikke
er muligt nærmere at forklare fejlen, da den pågældende medarbejder er fratrådt, og
at man på det pågældende omdelingskontor har indskærpet vigtigheden af, at
(rekommanderede) breve afleveres til rette modtager.
Da den fejlleverede dataleverance fulgte den gældende politik i Forskerservice,
undersøgte Statens Serum Institut baggrunden for den risikovurdering, der lå til grund
for ikke at kryptere forsendelser. I 2013 anbefalede Datatilsynet – på baggrund af en
inspektion af Sundhedsstyrelsen i 2011 – Statens Serum Institut, at datamedier
krypteres ved forsendelse med almindelig postforsendelse. Statens Serum Institut
hæftede sig dengang ved, at Datatilsynets anbefaling henviste til spørgsmålet om,
hvorvidt almindelig post var tilstrækkelig, hvorimod Statens Serum Institut anvendte
rekommanderet post. Det var Statens Serum Instituts vurdering, at risikoen for
ødelæggelse, bortkomst, tyveri eller fejlaflevering var væsentligt lavere ved
rekommanderet post end ved almindelig post.
Som følge af hændelsen i februar 2015 foretog Statens Serum institut en fornyet
risikovurdering og introducerede kryptering uanset om data fremsendes med
almindelig eller rekommanderet post. I praksis sender Forskerservice dog aldrig
personhenførbare helbredsoplysninger med almindelig post. Derudover blev
udveksling af data med Danmarks Statistik ændret fra rekommanderet post til en
direkte dataforbindelse.
3/7
SUU, Alm.del - 2015-16 - Endeligt svar på spørgsmål 770: Spm. om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003 , til sundheds- og ældreministeren
1661527_0004.png
Da der efter Statens Serum Instituts vurdering ikke var tale om, at data var
kompromitteret, fandt man ikke grundlag for at orientere de potentielt berørte
borgere, jf. nedenstående dialog med Datatilsynet om sagen.
Dialogen med Datatilsynet og Datatilsynets udtalelse af 15. juli 2016
I sin henvendelse til Datatilsynet i februar 2015 redegjorde Statens Serum Institut for
sagens forløb, herunder at der ikke efter deres vurdering var tale om, at data var
kompromitteret. Forskerservice oplyste, at der derfor ikke var grundlag for at
orientere de potentielt berørte borgere om hændelsen.
Datatilsynet udbad sig på baggrund af sagen en række supplerende oplysninger,
herunder sagens forløb, oplysning om Post Danmarks (nu: Post Nords) udtalelse om
sagen og om tiltag og ændret praksis i Forskerservice på baggrund af sagen.
Datatilsynet har i sin udtalelse af 15. juli 2016 noteret sig det oplyste om, at Statens
Serum Institut foranlediget af den konkrete henvendelse ændrede sine retningslinjer
for fremsendelse af datamedier i breve, således at data fremover altid skal krypteres.
Datatilsynet udtaler således ikke i sin afgørelse bagudrettet kritik af den manglende
kryptering, ligesom Datatilsynet efter sin sagsbehandling ikke påtaler en
tilsidesættelse af persondatalovens regler.
Datatilsynet har endvidere noteret sig det oplyste om Statens Serum Instituts
overvejelser og kan efter omstændighederne tiltræde konklusionen om ikke at
fremsende individuel information til de berørte personer.
B. Information om baggrunden for Statens Serum Instituts fremsendelse af
personnumre og helbredsoplysninger til Danmarks Statistik
Forskerservice under Sundhedsdatastyrelsen (tidligere under Statens Serum Institut)
har til opgave at understøtte registerforskningen i Danmark på sundhedsområdet.
Forskere, der har brug for data i forbindelse med forskning, kan via Forskerservice
ansøge om registerdata på sundhedsområdet.
Forskerservice er endvidere databehandler for Social- og Indenrigsministeriet og
leverer udtræk fra CPR-registeret til forskere på vegne af Social- og
Indenrigsministeriet.
4/7
SUU, Alm.del - 2015-16 - Endeligt svar på spørgsmål 770: Spm. om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003 , til sundheds- og ældreministeren
1661527_0005.png
Forskerservice kan efter en konkret vurdering af ansøgningen give adgang til
sundhedsdata på to måder: Enten som dataudtræk sendt til forskeren (enten direkte
eller til indlæsning på forskermaskiner hos Danmarks Statistik) eller via
Sundhedsdatastyrelsens Forskermaskiner, hvor forskeren arbejder med
pseudonymiserede data hos Sundhedsdatastyrelsen.
Forsendelse af data til forskere er især relevant, hvor forskere enten har behov for at
koble data fra Sundhedsdatastyrelsen med andre data, fx uddannelsesmæssige eller
beskæftigelsesmæssige oplysninger, eller har behov for adgang til konkrete
lægejournaler, laboratorieresultater eller lignende.
Hjemlen til at videregive data til forskningsformål følger af persondatalovens § 10,
hvorefter personfølsomme data, jf. lovens §§ 7 og 8, kan anvendes til at udføre
statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning.
Lovens § 6, stk. 1, nr. 5, giver endvidere adgang til at behandle såkaldte almindelige,
ikke-følsomme oplysninger, hvis behandlingen er nødvendig af hensynet til udførelsen
af en opgave i samfundets interesse. Omfattet heraf er forsknings- og statistikformål.
I medfør af § 11, stk. 1, kan offentlige myndigheder behandle oplysninger om
personnummer (CPR-nummer) med henblik på en entydig identifikation mv., herunder
i forbindelse med forsknings- og statistikformål. I medfør af § 11, stk. 2, nr. 3, kan
private også behandle personnumre, hvis behandlingen alene finder sted til
videnskabelige eller statistiske formål.
Håndteringen af personoplysninger skal leve op til kravet om fornødne
sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3, hvorefter den
dataansvarlige skal træffe de fornødne tekniske og organisatoriske
sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres,
fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab,
misbruges eller i øvrigt behandles i strid med loven.
Det fremgår af forarbejderne til bestemmelsen, at det forudsættes, at
foranstaltningerne under hensyn til det aktuelle tekniske niveau og de omkostninger,
som er forbundet med deres iværksættelse, vil tilvejebringe et tilstrækkeligt
sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de
oplysninger, som skal beskyttes, jf. persondatadirektivets artikel 17, stk. 1, 2. afsnit.
C. Redegørelse om, hvilke tiltag Sundhedsdatastyrelsen har taget som led i
håndteringen af sagen og i øvrigt med henblik på at sikre en mere
professionel sagsbehandlingspraksis
5/7
SUU, Alm.del - 2015-16 - Endeligt svar på spørgsmål 770: Spm. om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003 , til sundheds- og ældreministeren
1661527_0006.png
Umiddelbart efter hændelsen ændrede Forskerservice/Statens Serum Institut praksis
på to konkrete områder:
- Der blev indført kryptering på alle forsendelser indeholdende CPR-numre,
uanset om fremsendelsesbrevet er med almindeligt eller rekommanderet
post. I praksis sender Forskerservice dog aldrig personhenførbare
helbredsoplysninger med almindelig post.
- Kommunikationen med Danmarks Statistik er omlagt, således at
kommunikation nu sker uden brug af postvæsenet, men via en direkte, lukket
og krypteret dataforbindelse.
Etableringen af Sundhedsdatastyrelsen har blandt andet haft til hensigt at øge fokus
på informationssikkerhed. Styrelsen har derfor generelt gennemgået processer og
procedurer og skærpet sikkerhedsniveauet. Derudover har styrelsen etableret en
dedikeret afdeling for Compliance og Informationssikkerhed, der har juridisk og
teknisk ekspertise på området, bistår med risikovurderinger, stiller krav til
sikkerhedsforanstaltninger op på efterlevelsen af disse, bistået af ekstern
konsulentbistand hvor relevant.
Som bekendt pågår der i forbindelse med Forskerservice arbejde med at reducere
antallet af dataforsendelser og i stedet give adgang til pseudonymiserede
sundhedsdata på de såkaldte Forskermaskiner. En øget brug af Forskermaskiner vil
yderligere styrke procedurerne omkring videregivelse af helbredsoplysninger. Det vil
dog fortsat være nødvendigt at videregive data i en række situationer, herunder når
data skal kobles med andre data på Danmarks Statistiks Forskermaskiner.
Arbejdet med ibrugtagning af Forskermaskiner, hvor data ikke forlader
Sundhedsdatastyrelsens tekniske miljø, er efter sagen intensiveret med henblik på at
nedbringe antallet af dataforsendelser.
Det bemærkes, at uanset forskermaskiner hos Sundhedsdatastyrelsen vil det fortsat
være nødvendigt at sende data indeholdende CPR-numre til Danmarks Statistik, da
Danmarks Statistik ikke tillader, at mikrodata (data på individniveau) fra Danmarks
Statistiks registre forlader Danmarks Statistik.
I de tilfælde, hvor en forsker skal koble data fra Danmarks Statistik og
Sundhedsdatastyrelsen, vil data således skulle transporteres fra
Sundhedsdatastyrelsen til Danmarks Statistik via en direkte, lukket og krypteret
dataforbindelse – uanset fordelingen i tyngde eller følsomhed i data fra hhv.
Sundhedsdatastyrelsen og Danmarks Statistik.
6/7
SUU, Alm.del - 2015-16 - Endeligt svar på spørgsmål 770: Spm. om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003 , til sundheds- og ældreministeren
1661527_0007.png
D. Information om, hvorledes sagsbehandlingen og udlevering af data foregår i
dag
Sagsbehandlingen i Forskerservice foregår i dag således:
-
-
Forskerservice modtager en ansøgning om dataudtræk eller adgang via
Forskermaskinen
Forskerservice kontrollerer, at de formelle kriterier for ansøgningen er opfyldt:
at databehandlingen som led i projektet er anmeldt til Datatilsynet, som har
afgivet udtalelse
2
, at der er dansk dataansvarlig, og at projektet er af væsentlig
samfundsmæssig betydning mv.
Forskerservice går i dialog med forskeren omkring indholdet af dataudtræk for
at sikre, at der er den fornødne proportionalitet imellem forskningsprojektets
genstandsfelt og det ønskede dataudtræk,
Hvis forskeren ansøger om at modtage data med CPR-numre (fremfor
pseudonymiserede data) skal dette være begrundet og nødvendigt i forhold til
forskningsprojektet
Data stilles til rådighed for forskeren enten
o
på Sundhedsdatastyrelsens Forskermaskiner, eller
o
på Danmarks Statistiks Forskermaskiner (i så fald sendes CPR-nummer
baserede data via sikker FTP til Danmarks Statistik), eller
o
ved at data sendes på krypteret USB-stik med anbefalet post til
forskeren (uanset om data indeholder CPR-numre eller er
pseudonymiserede).
-
-
-
2
Eller meddelt tilladelse, hvis den dataansvarlige forsker er privat.
7/7