Sundheds- og Ældreudvalget 2016-17
SUU Alm.del Bilag 61
Offentligt
1684078_0001.png
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M [email protected]
W sum.dk
Dato: 04-11-2016
Enhed: Sundhedsøkonomi
Sagsbeh.: DEPSSHP
Sagsnr.: 1607575
Dok. nr.: 190610
Folketingets Sundheds- og Ældreudvalg
Folketingets Sundheds- og Ældreudvalg har den 27. juli 2016 stillet følgende spørgs-
mål nr. 769 (Alm. del) til sundheds- og ældreministeren.
Spørgsmål nr. 769:
”Finder ministeren det tilfredsstillende, at SSI ved ikke at sikre en kryptering af data,
dermed ikke har overholdt Datatilsynets anbefaling i udtalelse af 17. juni 2013 til SSI i
forbindelse med en inspektion (Datatilsynet j.nr. 2012-621-0004), hvoraf det fremgår:
”Datatilsynet er bekendt med, at USB-pinde med persondata er bortkommet i forbin-
delse med almindelig postforsendelse. Henset til at der er tale om følsomme person-
oplysninger, og at der kan være tale om store datamængder omfattende mange bor-
gere, vil tilsynet generelt anbefale, at sådanne data krypteres under forsendelse af
lagringsmedier.”?
Spørgsmålet bedes være besvaret senest 2 dage inden ministerens besvarelse af SUU
alm. del - samrådsspørgsmål AW og AX.”
./.
Opfølgning på svar:
Som opfølgning på besvarelse af SUU alm. del - spørgsmål 769, der blev afgivet den 6.
september 2016, oversender jeg hermed Datatilsynets udtalelse af den 21. septem-
ber på Sundheds- og Ældreministeriets henvendelse af den 18. august.
Som svar på spørgsmål 769 fremgår det, at Datatilsynets anbefalinger i udtalelse af
17. juni 2013 til SSI i forbindelse med en inspektion (Datatilsynet j.nr. 2012-621-0004)
ikke blev fulgt jf. Datatilsynets vurdering i medfølgende udtalelse.
Af Sundhedsdatastyrelsens ”Redegørelse om fejlaflevering af anbefalet brev indehol-
dende personoplysninger” af den 1. september fremgår, det at:
”Da den fejlleverede dataleverance fulgte den gældende politik i Forskerser-
vice, undersøgte Statens Serum Institut baggrunden for den risikovurdering,
der lå til grund for ikke at kryptere forsendelser. I 2013 anbefalede Datatil-
synet – på baggrund af en inspektion af Sundhedsstyrelsen i 2011 – Statens
Serum Institut, at datamedier krypteres ved forsendelse med almindelig
postforsendelse. Statens Serum Institut hæftede sig dengang ved, at Datatil-
synets anbefaling henviste til spørgsmålet om, hvorvidt almindelig post var
tilstrækkelig, hvorimod Statens Serum Institut anvendte rekommanderet
post. Det var Statens Serum Instituts vurdering, at risikoen for ødelæggelse,
bortkomst, tyveri eller fejlaflevering var væsentligt lavere ved rekommande-
ret post end ved almindelig post.”
Informationssikkerhed er helt afgørende for anvendelsen af helbredsoplysninger i det
danske sundhedsvæsen. Med Datatilsynets udtalelse er jeg blevet bekræftet i vigtig-
SUU, Alm.del - 2016-17 - Bilag 61: Opfølgning på SUU alm. del – svar på spm. 770 (2015-16) om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003, fra sundheds- og ældreministeren
heden af, at der er styr på procedurerne og arbejdsgangene omkring håndteringen af
personfølsomme oplysninger. Det er ikke tilfredsstillende, når der er tvivl om anbefa-
lingerne fra de tilsynsførende myndigheder, og når disse ikke bliver fulgt. Jeg er også
blevet bekræftet i, at det var relevant at igangsætte serviceeftersynet i Sundheds- og
Ældreministeriets koncern af blandt andet håndteringen af følsomme personoplys-
ninger ift. gældende sikkerhedskrav og generelt inden for lovgivningens rammer.
Datatilsynets udtalelse oversendes til Sundhedsdatastyrelsen under Sundheds- og
Ældreministeriet. Jeg forventer at kunne oplyse jer nærmere om styrelsens uddyben-
de kommentarer hertil ved det kommende samråd om sagen, der er berammet til
den 1. december 2016. De øvrige styrelser orienteres ligeledes om Datatilsynets ud-
talelse.
Jeg vil som lovet løbende holde udvalget orienteret om det videre forløb med ser-
viceeftersynet.
Med venlig hilsen
Sophie Løhde
/
Sandra Poulsen
Side 2
SUU, Alm.del - 2016-17 - Bilag 61: Opfølgning på SUU alm. del – svar på spm. 770 (2015-16) om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003, fra sundheds- og ældreministeren
1684078_0003.png
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M [email protected]
W sum.dk
Dato: 06-09-2016
Enhed: Sundhedsøkonomi
Sagsbeh.: DEPSSHP
Sagsnr.: 1607575
Dok. nr.: 151338
Folketingets Sundheds- og Ældreudvalg
Folketingets Sundheds- og Ældreudvalg har den 27. juli 2016 stillet følgende spørgs-
mål nr. 769 (Alm. del) til sundheds- og ældreministeren, som hermed besvares.
Spørgsmålet er stillet efter ønske fra Peder Hvelplund (EL).
Spørgsmål nr. 769:
”Finder ministeren det tilfredsstillende, at SSI ved ikke at sikre en kryptering af data,
dermed ikke har overholdt Datatilsynets anbefaling i udtalelse af 17. juni 2013 til SSI i
forbindelse med en inspektion (Datatilsynet j.nr. 2012-621-0004), hvoraf det fremgår:
”Datatilsynet er bekendt med, at USB-pinde med persondata er bortkommet i forbin-
delse med almindelig postforsendelse. Henset til at der er tale om følsomme person-
oplysninger, og at der kan være tale om store datamængder omfattende mange bor-
gere, vil tilsynet generelt anbefale, at sådanne data krypteres under forsendelse af
lagringsmedier.”?
Spørgsmålet bedes være besvaret senest 2 dage inden ministerens besvarelse af SUU
alm. del - samrådsspørgsmål AW og AX.”
Svar:
Mit ministerium har bedt Datatilsynet oplyse om, hvorvidt Statens Serum Institut, ved
ikke at sikre en kryptering af data på datamedierne (to CD´er), dermed ikke har over-
holdt Datatilsynets anbefaling i udtalelse af 17. juni 2013 til SSI i forbindelse med en
inspektion. (Datatilsynet j.nr. 2012-621-0004).
Endvidere er Datatilsynet blevet udbedt at oplyse om, til hvilke bortkomne lagrings-
medier, der henvises til i Datatilsynets udtalelse i forbindelse med ovennævnte in-
spektion af Statens Serum Institut.
Det fremgår af den til SUU 766 vedlagte redegørelse, at Statens Serum Institut som
følge af hændelsen i februar 2015, ændrede praksis.
Med venlig hilsen
Sophie Løhde
/
Sandra Poulsen
SUU, Alm.del - 2016-17 - Bilag 61: Opfølgning på SUU alm. del – svar på spm. 770 (2015-16) om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003, fra sundheds- og ældreministeren
1684078_0004.png
Holbergsgade 6
DK-1057 København K
T +45 7226 9000
F +45 7226 9001
M [email protected]
W sum.dk
Dato: 06-09-2016
Enhed: Sundhedsøkonomi
Sagsbeh.: DEPSSHP
Sagsnr.: 1607575
Dok. nr.: 151323
Folketingets Sundheds- og Ældreudvalg
Folketingets Sundheds- og Ældreudvalg har den 27. juli 2016 stillet følgende spørgs-
mål nr. 766 (Alm. del) til sundheds- og ældreministeren, som hermed besvares.
Spørgsmålet er stillet efter ønske fra Peder Hvelplund (EL).
Spørgsmål nr. 766:
”Mener ministeren, at det er tilfredsstillende, at der går 17 måneder, før lækagen af
5,28 mio. CPR-nr. til Chines Visa Application Center kommer til offentlighedens kend-
skab, og i forlængelse heraf bedes ministeren svare på, hvornår ministeren fik kend-
skab til lækagen?
Spørgsmålet bedes være besvaret senest 2 dage inden ministerens besvarelse af SUU
alm. del - samrådsspørgsmål AW og AX.”
Svar:
Jeg ser med stor alvor på denne sag og på datasikkerhed i sundhedsvæsnet. Jeg blev
derfor både overrasket og meget ærgerlig over sagen, da den kom til mit kendskab
den 20. juli i forbindelse med omtalen i pressen. Jeg fik således først kendskab til sa-
gen samtidig med offentligheden.
Som jeg netop også har orienteret udvalget om, er det kommet til mit kendskab, at
der er to andre sager om videregivelse af personfølsomme oplysninger, der er kom-
met uvedkommende i hænde. Det giver mig anledning til at sætte et arbejde i gang,
så vi fremadrettet minimerer risikoen for, at noget lignende kan ske igen. Jeg vil der-
for med inddragelse af eksterne konsulenter iværksætte et serviceeftersyn af hele
Sundheds- og Ældreministeriets koncern. Det skal blandt andet sikre, at styrelserne
håndterer personfølsomme oplysninger korrekt i alle arbejdsgange, så de ikke udle-
veres til uvedkommende.
Det er utroligt vigtigt, at vi gør alt, hvad vi kan for at minimere risikoen for at person-
oplysninger, som vi har ansvaret for, kommer uvedkommende i hænde. Det er på den
baggrund, at jeg nu iværksætter serviceeftersynet.
Datasikkerhed er helt afgørende, når man gerne vil anvende data til at gøre sund-
hedsvæsnet bedre.
./.
Med hensyn til den konkrete sag, der omtales i spørgsmålet, har mit ministerium
bedt Sundhedsdatastyrelsen om en redegørelse, som er vedlagt denne besvarelse.
Jeg kan desuden oplyse, at det daværende ministerium – Ministeriet for Sundhed og
Forebyggelse – blev orienteret om sagen af Statens Serum Institut samt om institut-
tets håndtering heraf den 23. februar 2015, herunder at Datatilsynet, den tilsynsfø-
rende myndighed, var blevet kontaktet med henblik på at foretage relevant opfølg-
ning på sagen.
SUU, Alm.del - 2016-17 - Bilag 61: Opfølgning på SUU alm. del – svar på spm. 770 (2015-16) om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003, fra sundheds- og ældreministeren
Jeg mener generelt, at åbenhed er helt afgørende, og at sagens fakta skal frem. Jeg vil
derfor bede Sundhedsdatastyrelsen om at fremlægge den vedhæftede redegørelse
på deres hjemmeside, således at den også er tilgængelig for offentligheden der.
Jeg kan i øvrigt henvise til min besvarelse af SUU 767.
Med venlig hilsen
Sophie Løhde
/
Sandra Poulsen
Side 2
SUU, Alm.del - 2016-17 - Bilag 61: Opfølgning på SUU alm. del – svar på spm. 770 (2015-16) om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003, fra sundheds- og ældreministeren
1684078_0006.png
Til Sundheds- og Ældreministeriet
Sundhedsdatastyrelsen
Ørestads Boulevard 5
2300 København S
www.sundhedsdata.dk
[email protected]
+45 7221 6800
Dato: 01. september 2016
Redegørelse om fejlaflevering af anbefalet brev indeholdende personoplysninger.
Sundhedsdatastyrelsen er blevet bedt om en redegørelse for sagen vedrørende et
fejlafleveret anbefalet brev indeholdende persondata. Brevet blev afsendt fra Statens
Serum Instituts Forskerservice. Brevet var adresseret til Danmarks Statistik, men blev i
februar 2015 afleveret af Post Danmark til Chinese Visa Application Centre, en privat
virksomhed der formidler visumansøgninger til Kina.
Redegørelsen skal bl.a. indeholde følgende:
A. Beskrivelse af sagsforløbet (kronologisk fremstilling)
B. Information om baggrunden for SSI’s fremsendelse af personnumre og
helbredsoplysninger til Danmarks Statistik
C. Redegørelse om, hvilke tiltag Sundhedsdatastyrelsen har taget som led i
håndteringen af sagen og i øvrigt med henblik på at sikre en mere professionel
sagsbehandlingspraksis
D. Information om, hvorledes sagsbehandlingen og udlevering af data foregår i
dag (til Danmarks Statistik såvel som til andre)
Nedenfor følger Sundhedsdatastyrelsens redegørelse for den konkrete sag.
Sundhedsdatastyrelsen udarbejder redegørelsen, da Forskerservice blev overført fra
Statens Serum Institut til Sundhedsdatastyrelsen ved etableringen af
Sundhedsdatastyrelsen i november 2015. Indtil 2012 var Forskerservice en del af
Sundhedsstyrelsen.
Redegørelse
Sundhedsdatastyrelsen skal indledningsvis beklage, at personfølsomme data blev
fremsendt ukrypteret til Danmarks Statistik og dermed potentielt kunne være kommet
til uvedkommendes kendskab. Der var tale om en utilstrækkelig praksis, som burde
have været ændret før denne hændelse.
SUU, Alm.del - 2016-17 - Bilag 61: Opfølgning på SUU alm. del – svar på spm. 770 (2015-16) om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003, fra sundheds- og ældreministeren
1684078_0007.png
A. Beskrivelse af sagsforløbet
I den konkrete sag fra februar 2015 skulle en forsker fra Statens Institut for
Folkesundhed efter aftale med Sundhedsstyrelsen koble data fra en række datakilder,
herunder sundhedsregistre, på en Forskermaskine hos Danmarks Statistik til brug for
forskningsprojektet ”Sygdomsbyrden i Danmark – udvalgte risikofaktorer og
sygdomme med fokus på social ulighed”
1
. Forskningsprojektet skulle gennemføres på
Danmarks Statistiks forskermaskiner, hvor forskeren har adgang til pseudonymiserede
data til brug for projektet.
Efter at have behandlet forskerens ansøgning, sendte Forskerservice på Statens Serum
Institut derfor et datasæt indeholdende CPR-numre og helbredsdata til Danmarks
Statistik. I forbindelse med modtagelsen hos Danmarks Statistik skulle datasættet
pseudonymiseres af Danmarks Statistik.
Forskerservice kunne ikke pseudonymisere data på forhånd, da alle data forskeren
skulle have adgang til, dvs. også data fra andre end Statens Serum Institut, skulle være
krypteret efter samme nøgle hos Danmarks Statistik.
Den 16. februar 2015 afsendte Forskerservice på Statens Serum Institut derfor et
rekommanderet brev adresseret til Danmarks Statistik, Sejrøgade 11, 2100 København
Ø. Brevet indeholdt et følgebrev samt to CD’er med data til brug for ovennævnte
projekt. Jf. den daværende praksis var CD’erne ikke krypterede.
De to CD’er indeholdt CPR-data om 5.282.616 personer bosat i danske kommuner
mellem 2010 og 2012. CD’erne indeholdt CPR-numre for personer, der opfyldte
bestemte bopælskriterier, men ikke navn og adresse. For så vidt angår ca. 1.150.300
borgere indeholdt datasættet endvidere helbredsoplysninger fra cancerregisteret,
diabetesregisteret og/eller det centrale psykiatriregister.
Den 17. og 18. februar 2015 blev Statens Serum Institut kontaktet henholdsvis
telefonisk og skriftligt af Danmarks Statistik, der havde fået overbragt brevet fra en
medarbejder på Chinese Visa Application Centre, som fejlagtigt havde modtaget - og
åbnet - brevet. Chinese Visa Application Centre er beliggende på Lyngbyvej 28, 2100
København Ø og er en dansk registreret virksomhed med kinesiske ejere, der bistår
privatpersoner med at indhente visum til Kina.
https://sundhedsstyrelsen.dk/da/sygdom-og-
behandling/~/media/00C6825B11BD46F9B064536C6E7DFBA0.ashx
1
2/7
SUU, Alm.del - 2016-17 - Bilag 61: Opfølgning på SUU alm. del – svar på spm. 770 (2015-16) om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003, fra sundheds- og ældreministeren
1684078_0008.png
Statens Serum Institut tog kontakt til Chinese Visa Application Centre, der imidlertid
var ferielukket, hvilket den 23. februar 2015 blev fulgt op at et besøg hos
virksomheden, hvor ledende medarbejdere fra Statens Serum Institut modtog en
mundtlig redegørelse for forløbet. Statens Serum Institut orienterede herefter
Datatilsynet telefonisk og skriftligt om hændelsen.
Medarbejderen fra Chinese Visa Application Centre, der havde modtaget brevet,
oplyste ved denne lejlighed, at det først var efter åbningen, at hun konstaterede, at
brevet var fejlafleveret. Hun gik derefter straks de 250 m. til Danmarks Statistik, hvor
hun afleverede brevet i receptionen.
Statens Serum institut modtog den 4. marts 2015 en skriftlig bekræftelse på dette
sagsforløb og har ikke fundet grund til at betvivle forklaringen. Som sagen er oplyst er
der således ikke tale om, at data er ”lækket”, men alene at forsendelseskæden har
været brudt, men ikke kompromitteret.
Forskerservice kontaktede endvidere den 3. marts 2015 Post Danmark (nu: Post Nord)
med henblik på at få oplyst, hvordan en sådan fejlaflevering kunne ske, samt hvad de
ville gøre for, at undgå tilsvarende hændelser opstod igen. Efter gentagne rykkere har
Post Nord i september 2015 oplyst, at der var tale om en menneskelig fejl, at det ikke
er muligt nærmere at forklare fejlen, da den pågældende medarbejder er fratrådt, og
at man på det pågældende omdelingskontor har indskærpet vigtigheden af, at
(rekommanderede) breve afleveres til rette modtager.
Da den fejlleverede dataleverance fulgte den gældende politik i Forskerservice,
undersøgte Statens Serum Institut baggrunden for den risikovurdering, der lå til grund
for ikke at kryptere forsendelser. I 2013 anbefalede Datatilsynet – på baggrund af en
inspektion af Sundhedsstyrelsen i 2011 – Statens Serum Institut, at datamedier
krypteres ved forsendelse med almindelig postforsendelse. Statens Serum Institut
hæftede sig dengang ved, at Datatilsynets anbefaling henviste til spørgsmålet om,
hvorvidt almindelig post var tilstrækkelig, hvorimod Statens Serum Institut anvendte
rekommanderet post. Det var Statens Serum Instituts vurdering, at risikoen for
ødelæggelse, bortkomst, tyveri eller fejlaflevering var væsentligt lavere ved
rekommanderet post end ved almindelig post.
Som følge af hændelsen i februar 2015 foretog Statens Serum institut en fornyet
risikovurdering og introducerede kryptering uanset om data fremsendes med
almindelig eller rekommanderet post. I praksis sender Forskerservice dog aldrig
personhenførbare helbredsoplysninger med almindelig post. Derudover blev
udveksling af data med Danmarks Statistik ændret fra rekommanderet post til en
direkte dataforbindelse.
3/7
SUU, Alm.del - 2016-17 - Bilag 61: Opfølgning på SUU alm. del – svar på spm. 770 (2015-16) om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003, fra sundheds- og ældreministeren
1684078_0009.png
Da der efter Statens Serum Instituts vurdering ikke var tale om, at data var
kompromitteret, fandt man ikke grundlag for at orientere de potentielt berørte
borgere, jf. nedenstående dialog med Datatilsynet om sagen.
Dialogen med Datatilsynet og Datatilsynets udtalelse af 15. juli 2016
I sin henvendelse til Datatilsynet i februar 2015 redegjorde Statens Serum Institut for
sagens forløb, herunder at der ikke efter deres vurdering var tale om, at data var
kompromitteret. Forskerservice oplyste, at der derfor ikke var grundlag for at
orientere de potentielt berørte borgere om hændelsen.
Datatilsynet udbad sig på baggrund af sagen en række supplerende oplysninger,
herunder sagens forløb, oplysning om Post Danmarks (nu: Post Nords) udtalelse om
sagen og om tiltag og ændret praksis i Forskerservice på baggrund af sagen.
Datatilsynet har i sin udtalelse af 15. juli 2016 noteret sig det oplyste om, at Statens
Serum Institut foranlediget af den konkrete henvendelse ændrede sine retningslinjer
for fremsendelse af datamedier i breve, således at data fremover altid skal krypteres.
Datatilsynet udtaler således ikke i sin afgørelse bagudrettet kritik af den manglende
kryptering, ligesom Datatilsynet efter sin sagsbehandling ikke påtaler en
tilsidesættelse af persondatalovens regler.
Datatilsynet har endvidere noteret sig det oplyste om Statens Serum Instituts
overvejelser og kan efter omstændighederne tiltræde konklusionen om ikke at
fremsende individuel information til de berørte personer.
B. Information om baggrunden for Statens Serum Instituts fremsendelse af
personnumre og helbredsoplysninger til Danmarks Statistik
Forskerservice under Sundhedsdatastyrelsen (tidligere under Statens Serum Institut)
har til opgave at understøtte registerforskningen i Danmark på sundhedsområdet.
Forskere, der har brug for data i forbindelse med forskning, kan via Forskerservice
ansøge om registerdata på sundhedsområdet.
Forskerservice er endvidere databehandler for Social- og Indenrigsministeriet og
leverer udtræk fra CPR-registeret til forskere på vegne af Social- og
Indenrigsministeriet.
4/7
SUU, Alm.del - 2016-17 - Bilag 61: Opfølgning på SUU alm. del – svar på spm. 770 (2015-16) om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003, fra sundheds- og ældreministeren
1684078_0010.png
Forskerservice kan efter en konkret vurdering af ansøgningen give adgang til
sundhedsdata på to måder: Enten som dataudtræk sendt til forskeren (enten direkte
eller til indlæsning på forskermaskiner hos Danmarks Statistik) eller via
Sundhedsdatastyrelsens Forskermaskiner, hvor forskeren arbejder med
pseudonymiserede data hos Sundhedsdatastyrelsen.
Forsendelse af data til forskere er især relevant, hvor forskere enten har behov for at
koble data fra Sundhedsdatastyrelsen med andre data, fx uddannelsesmæssige eller
beskæftigelsesmæssige oplysninger, eller har behov for adgang til konkrete
lægejournaler, laboratorieresultater eller lignende.
Hjemlen til at videregive data til forskningsformål følger af persondatalovens § 10,
hvorefter personfølsomme data, jf. lovens §§ 7 og 8, kan anvendes til at udføre
statistiske eller videnskabelige undersøgelser af væsentlig samfundsmæssig betydning.
Lovens § 6, stk. 1, nr. 5, giver endvidere adgang til at behandle såkaldte almindelige,
ikke-følsomme oplysninger, hvis behandlingen er nødvendig af hensynet til udførelsen
af en opgave i samfundets interesse. Omfattet heraf er forsknings- og statistikformål.
I medfør af § 11, stk. 1, kan offentlige myndigheder behandle oplysninger om
personnummer (CPR-nummer) med henblik på en entydig identifikation mv., herunder
i forbindelse med forsknings- og statistikformål. I medfør af § 11, stk. 2, nr. 3, kan
private også behandle personnumre, hvis behandlingen alene finder sted til
videnskabelige eller statistiske formål.
Håndteringen af personoplysninger skal leve op til kravet om fornødne
sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3, hvorefter den
dataansvarlige skal træffe de fornødne tekniske og organisatoriske
sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres,
fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab,
misbruges eller i øvrigt behandles i strid med loven.
Det fremgår af forarbejderne til bestemmelsen, at det forudsættes, at
foranstaltningerne under hensyn til det aktuelle tekniske niveau og de omkostninger,
som er forbundet med deres iværksættelse, vil tilvejebringe et tilstrækkeligt
sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de
oplysninger, som skal beskyttes, jf. persondatadirektivets artikel 17, stk. 1, 2. afsnit.
C. Redegørelse om, hvilke tiltag Sundhedsdatastyrelsen har taget som led i
håndteringen af sagen og i øvrigt med henblik på at sikre en mere
professionel sagsbehandlingspraksis
5/7
SUU, Alm.del - 2016-17 - Bilag 61: Opfølgning på SUU alm. del – svar på spm. 770 (2015-16) om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003, fra sundheds- og ældreministeren
1684078_0011.png
Umiddelbart efter hændelsen ændrede Forskerservice/Statens Serum Institut praksis
på to konkrete områder:
- Der blev indført kryptering på alle forsendelser indeholdende CPR-numre,
uanset om fremsendelsesbrevet er med almindeligt eller rekommanderet
post. I praksis sender Forskerservice dog aldrig personhenførbare
helbredsoplysninger med almindelig post.
- Kommunikationen med Danmarks Statistik er omlagt, således at
kommunikation nu sker uden brug af postvæsenet, men via en direkte, lukket
og krypteret dataforbindelse.
Etableringen af Sundhedsdatastyrelsen har blandt andet haft til hensigt at øge fokus
på informationssikkerhed. Styrelsen har derfor generelt gennemgået processer og
procedurer og skærpet sikkerhedsniveauet. Derudover har styrelsen etableret en
dedikeret afdeling for Compliance og Informationssikkerhed, der har juridisk og
teknisk ekspertise på området, bistår med risikovurderinger, stiller krav til
sikkerhedsforanstaltninger op på efterlevelsen af disse, bistået af ekstern
konsulentbistand hvor relevant.
Som bekendt pågår der i forbindelse med Forskerservice arbejde med at reducere
antallet af dataforsendelser og i stedet give adgang til pseudonymiserede
sundhedsdata på de såkaldte Forskermaskiner. En øget brug af Forskermaskiner vil
yderligere styrke procedurerne omkring videregivelse af helbredsoplysninger. Det vil
dog fortsat være nødvendigt at videregive data i en række situationer, herunder når
data skal kobles med andre data på Danmarks Statistiks Forskermaskiner.
Arbejdet med ibrugtagning af Forskermaskiner, hvor data ikke forlader
Sundhedsdatastyrelsens tekniske miljø, er efter sagen intensiveret med henblik på at
nedbringe antallet af dataforsendelser.
Det bemærkes, at uanset forskermaskiner hos Sundhedsdatastyrelsen vil det fortsat
være nødvendigt at sende data indeholdende CPR-numre til Danmarks Statistik, da
Danmarks Statistik ikke tillader, at mikrodata (data på individniveau) fra Danmarks
Statistiks registre forlader Danmarks Statistik.
I de tilfælde, hvor en forsker skal koble data fra Danmarks Statistik og
Sundhedsdatastyrelsen, vil data således skulle transporteres fra
Sundhedsdatastyrelsen til Danmarks Statistik via en direkte, lukket og krypteret
dataforbindelse – uanset fordelingen i tyngde eller følsomhed i data fra hhv.
Sundhedsdatastyrelsen og Danmarks Statistik.
6/7
SUU, Alm.del - 2016-17 - Bilag 61: Opfølgning på SUU alm. del – svar på spm. 770 (2015-16) om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003, fra sundheds- og ældreministeren
1684078_0012.png
D. Information om, hvorledes sagsbehandlingen og udlevering af data foregår i
dag
Sagsbehandlingen i Forskerservice foregår i dag således:
-
-
Forskerservice modtager en ansøgning om dataudtræk eller adgang via
Forskermaskinen
Forskerservice kontrollerer, at de formelle kriterier for ansøgningen er opfyldt:
at databehandlingen som led i projektet er anmeldt til Datatilsynet, som har
afgivet udtalelse
2
, at der er dansk dataansvarlig, og at projektet er af væsentlig
samfundsmæssig betydning mv.
Forskerservice går i dialog med forskeren omkring indholdet af dataudtræk for
at sikre, at der er den fornødne proportionalitet imellem forskningsprojektets
genstandsfelt og det ønskede dataudtræk,
Hvis forskeren ansøger om at modtage data med CPR-numre (fremfor
pseudonymiserede data) skal dette være begrundet og nødvendigt i forhold til
forskningsprojektet
Data stilles til rådighed for forskeren enten
o
på Sundhedsdatastyrelsens Forskermaskiner, eller
o
på Danmarks Statistiks Forskermaskiner (i så fald sendes CPR-nummer
baserede data via sikker FTP til Danmarks Statistik), eller
o
ved at data sendes på krypteret USB-stik med anbefalet post til
forskeren (uanset om data indeholder CPR-numre eller er
pseudonymiserede).
-
-
-
2
Eller meddelt tilladelse, hvis den dataansvarlige forsker er privat.
7/7
SUU, Alm.del - 2016-17 - Bilag 61: Opfølgning på SUU alm. del – svar på spm. 770 (2015-16) om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003, fra sundheds- og ældreministeren
1684078_0013.png
Sundheds- og Ældreministeriet
Holbergsgade 6
1057 København K
Sendt til: [email protected]
21. september 2016
Vedrørende Sundheds- og Ældreministeriets forespørgsel af 18. august
2016
Ved e-mail af 18. august 2016 har Sundheds- og Ældreministeriet rettet hen-
vendelse til Datatilsynet vedrørende sagen om et anbefalet brev, der blev afle-
veret til en forkert modtager.
1.
Sundheds- og Ældreministeriet har anmodet Datatilsynet om at oplyse, om
Statens Serum Institut ved ikke at sikre en kryptering af datamedierne (to
CD’er), dermed ikke har overholdt Datatilsynets anbefaling i udtalelse af 17.
juni 2013 til SSI i forbindelse med en inspektion.
I forbindelse med Datatilsynets inspektion i 2011 stillede SSI tilsynet et
spørgsmål om fremsendelse af datamedier med almindelig post. Datatilsynet
svarede, at tilsynet vil anbefale, at data krypteres under forsendelse af lag-
ringsmedier.
I sagen, hvor to CD’er i 2015 blev afleveret til en forkert modtager, havde SSI
ikke krypteret dataene og havde således ikke fulgt Datatilsynets anbefaling.
2.
Det kan uddybende oplyses, at persondatalovens
1
sikkerhedskrav
2
indebæ-
rer, at de dataansvarlige myndigheder, virksomheder mv. skal beskytte per-
sonoplysninger med de fornødne sikkerhedsforanstaltninger. Dette gælder
f.eks., når personoplysningerne overføres til diverse former for datamedier og
–udstyr, hvor oplysningerne lagres og opbevares.
Persondatalovens krav om datasikkerhed medfører således, at personoplys-
ninger, der behandles på bærbare datamedier mv., skal beskyttes ikke blot
under forsendelse, men også når datamedierne mv. opbevares hos afsender og
modtager.
Det kan tilføjes, at Datatilsynet i visse tilfælde har stillet egentlige krav til
lagringen af følsomme personoplysninger i form af vilkår. Ved behandling af
1
2
Datatilsynet
Borgergade 28, 5.
1300 København K
CVR-nr. 11-88-37-29
Telefon 3319 3200
Fax 3319 3218
E-mail
[email protected]
www.datatilsynet.dk
J.nr. 2016-321-0425
Sagsbehandler
Anders Petersen
Direkte 3319 3221
Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og orga-
nisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgø-
res, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbru-
ges eller i øvrigt behandles i strid med loven..
SUU, Alm.del - 2016-17 - Bilag 61: Opfølgning på SUU alm. del – svar på spm. 770 (2015-16) om, hvor mange mange lagringsmedier, herunder f.eks. USB-pinde og CDer, med personfølsomme helbredsoplysninger, som er bortkommet for SSI siden 2003, fra sundheds- og ældreministeren
1684078_0014.png
2
følsomme personoplysninger i privat forskning indeholder Datatilsynets stan-
dardvilkår således bl.a. følgende:
”Identifikationsoplysninger skal krypteres eller erstattes af et kodenummer el. lign. Al-
ternativt kan alle oplysninger lagres krypteret. Krypteringsnøgle, kodenøgle m.v. skal
opbevares forsvarligt og adskilt fra personoplysningerne.”
Datatilsynet har i sikkerhedsvejledningen
3
endvidere angivet, at personoplys-
ninger, der lagres lokalt (uden for det centrale system), bør krypteres i forbin-
delse med hjemmearbejdspladser.
3.
Sundheds- og Ældreministeriet har endvidere anmodet Datatilsynet om at
oplyse, hvilke bortkomne lagringsmedier der henvises til i Datatilsynets udta-
lelse af 17. juni 2013.
Det kan i den forbindelse oplyses, at Datatilsynet i mindst to tilfælde er blevet
orienteret af dataansvarlige myndigheder eller virksomheder om, at USB-
nøgler med persondata er bortkommet i forbindelse med almindelig postfor-
sendelse. Disse henvendelser har ikke omhandlet forskningsdata eller i øvrigt
data fra SSI.
4.
Det kan tilføjes, at tilsynet også har modtaget henvendelser, hvor lagrings-
medier mv. er bortkommet hos den dataansvarlige, efter at forsendelsen har
fundet sted; f.eks. hvor USB-nøgler efter modtagelsen er blevet opbevaret hos
modtageren og derefter stjålet. Eksempler herpå har også været omtalt i medi-
erne
4
. Dette understreger vigtigheden af, at persondatalovens krav om beskyt-
telse af personoplysninger på diverse former for datamedier altid iagttages.
Efter Datatilsynets opfattelse må lagring af fortrolige eller følsomme person-
oplysninger på bærbare datamedier samt pc’er og andet it-udstyr, der for-
holdsvis nemt kan bortkomme eller stjæles, give anledning til særlig opmærk-
somhed på beskyttelse af oplysningerne.
De dataansvarlige myndigheder og virksomheder mv. bør efter Datatilsynets
opfattelse have retningslinjer for beskyttelse af personoplysninger på såvel
bærbare datamedier som bærbare pc’er og andet it-udstyr. Afhængigt af om-
stædighederne vil kryptering eller pseudonymisering eventuelt være en nød-
vendig sikkerhedsforanstaltning.
Med venlig hilsen
Lena Andersen
Kontorchef
3
Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000
om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den
offentlige forvaltning. Se vejledningen til § 7, stk. 2, vedrørende hjemmearbejdspladser.
4
Se f.eks. http://politiken.dk/indland/ECE2387183/indbrudstyve-stjal-computer-og--usb-stik-
fra-skattesagskommission/