Sundheds- og Ældreudvalget 2016-17
SUU Alm.del
Offentligt
Sundheds‐ og Ældreministeriet 
 
 
Enhed: 
Sagsbeh.: 
Koordineret med: 
Sagsnr.: 
Dok. nr.: 
Dato: 
Sygehuspolitik og Sundhedsdata 
DEPHJH 
Sundhedsdatastyrelsen 
1607577 
235801 
21. november 2016 
TALEPAPIR
Det talte ord gælder 
[Samråd om det fejlelverede brev med udkrypterede personoplysninger, Folketingets 
Sundheds‐ og Ældreudvalg, den 1. december 2016 kl 15.00 ] 
 
 
Samrådsspørgsmål F 
Vil ministeren fremlægge en grundig redegørelse for sagen om lækket af 
helbredsoplysninger og cpr‐numre på mere end 5 mio. danskere, som ved 
en fejl er sendt til Chinese Visa Application Centre? Og vil ministeren i den 
forbindelse forholde sig til, om den anvendte metode til oversendelse af 
personfølsomme oplysninger er i strid med persondataloven og gældende 
bekendtgørelser om behandling af personfølsomme data, og vil ministeren 
placere ansvaret for fejlen? Samrådsspørgsmålet har tidligere været stillet i 
folketingsåret 2015‐16, jf. SUU alm. del ‐ samrådsspm. AW. 
 
 
Samrådsspørgsmål G 
Hvilke konkrete initiativer vil ministeren tage for, at en lignende fejl og læk 
af personfølsomme oplysninger ikke gentager sig? Samrådsspørgsmålet har 
tidligere været stillet i folketingsåret 2015‐16, jf. SUU alm. del ‐ 
samrådsspm. AX. 
 
 
 
 
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
 
Samrådsspørgsmål I 
Vil ministeren som anbefalet af Patientforeningen nedsætte en kommission 
til at gennemgå sundhedsområdets datasikkerhed og databrug. 
Samrådsspørgsmålet har tidligere været stillet i folketingsåret 2015‐16, jf. 
SUU alm. del ‐ samrådsspm. AÆ. 
 
Alle tre spørgsmål er stillet efter ønske fra Peder Hvelplund (EL) 
 
 
Side 2
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
*** 
 
Tak for de tre spørgsmål om sagen om fejlleveringen af det 
anbefalede brev med ukrypterede personoplysninger, som vi 
skal drøfte på samrådet i dag.  
 
Spørgeren har jo bedt om en grundig redegørelse, og derfor skal 
jeg beklage, hvis længden på min besvarelse er lidt længere end 
den normalt er, men det er faktisk for at imødekomme det 
ønske, der har været i forhold til grundighed.  
 
Vi har også medbragt en tidslinje over forløbet.Hvis det ønskes 
fra udvalgets side at kunne følge det tidslinjemæssigt, så kan vi 
udlevere det., så man visuelt kan se , i hvilken rækkefølge de 
forskellige ting er indtruffet.  
 
Lad mig indlede med at sige, at borgernes tillid til, at vi 
håndterer deres oplysninger forsvarligt, er helt afgørende for 
mig. Det er også helt afgørende for regeringen. 
 
Side 3
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
1703214_0004.png
 
Danskernes ret til privatliv og fortrolighed er en grundpille 
i vores samfund, som vi skal gøre alt for at leve op til – 
også som myndigheder.    
 
Danskerne har en helt berettiget forventning om, at vi 
passer særligt godt på deres helbredsoplysninger, som vi 
har indsamlet om dem.  
 
 
Vores sikkerhed og håndtering af borgernes oplysninger skal 
derfor være ordentlig og korrekt, hvis vi skal gøres os fortjent til 
danskernes tillid 
 
Det gælder både os som myndigheder. 
 
Og det gælder dem, som anvender danskernes 
sundhedsdata, for eksempel til forskning i nye 
behandlingsmetoder.  
 
Jeg kan også sige, at datasikkerhed er en central priorritering for 
regeringen 
 
Side 4
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
Derfor har vi med det nye regeringsgrundlag lagt op til at 
udarbejde en samlet strategi for beskyttelse af 
danskernes personoplysninger og en styrkelse af 
Datatilsynet. 
 
Derudover vil datasikkerheden generelt blive forbedret 
med den nye persondataforordning fra EU, som er på vej,  
 
o
Og som skal finde anvendelse fra maj 2018. 
 
Så der er ingen tvivl om, at når det handler om danskernes 
tillid, og også den måde vi håndterer data på, så har vi en 
meget stor opgave.  
 
Side 5
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
1703214_0006.png
 
Sagen om det fejlleverede brev, som er i fokus i dag, er i høj grad 
et slag mod den tillid, som danskerne skal kunne have til os.   
 
Sagen bunder i en utilstrækkelig praksis for forsendelse af 
personoplysninger.  
 
Og en praksis som i øvrigt blev ændret med det samme da 
sagen opstod.   
 
Derfor vil jeg også gerne slå fast, at:   
 
Jeg ser med meget stor alvor på sagen  
 
Den praksis, der lå til grund for sagen, var utilstrækkelig 
og i høj grad også ude af trit med vores forpligtigelser på 
området. 
 
Det er vores ansvar som myndigheder at sikre, at vores 
praksis og procedurer følger gældende lovkrav, 
standarder og anbefalinger.  
   
Side 6
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
Og derfor kan jeg også sige  ‐ ligesom min forgænger – at det 
bestemt ikke er godt nok! 
 
Det er også derfor, at jeg er glad for 
 
At min forgænger har lagt vægt på stor åbenhed omkring 
sagen – både for offentligheden og for jer i udvalget, efter 
at sagen kom til hendes viden. 
 
 
 
 
Side 7
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
 
Jeg vil også tillade mig kort at redegøre for organiseringen af 
sundhedsdataområdet i ministeriet  
 
Det er vigtigt for redegørelsen af sagen, da ansvaret for 
området skiftede med oprettelsen af 
Sundhedsdatastyrelsen. 
 
Da sagen med det fejlleverede brev opstod i februar 2015, 
havde Statens Serum Institut ansvaret for langt de fleste af de 
nationale sundhedsregistre og dermed for Forskerservice. 
 
Den 1. november 2015 blev Sundhedsdatastyrelsen oprettet. 
 
Og Sundhedsdatastyrelsen overtog ansvaret for 
sundhedsdata i form af registre og databaser – og 
dermed også ansvaret for Forskerservice. 
 
 
Side 8
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
 
I forhold til spørgsmål F konkret, så har  
I jo alle modtaget Sundhedsdatastyrelsens grundige redegørelse 
om sagsforløbet, som er tilsendt udvalget den 6. september.  
 
Og som min forgænger også har suppleret med besvarelse 
af en række spørgsmål.  
 
Men jeg vil også gerne gengive nogle af de centrale elementer 
fra redegørelsen. 
 
 
 
 
 
Side 9
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
Udgangspunktet for sagen var en ansøgning fra en forsker på 
Statens Institut for Folkesundhed om adgang til data fra en lang 
række sundhedsregistre til at undersøge sygdomsbyrden i 
Danmark.  
 
Forskningsprojektet skulle gennemføres på en 
forskermaskine i Danmarks Statistik. 
 
Derfor blev der ansøgt om, at data blev sendt til 
Danmarks Statistik, så de kunne kobles med en lang række 
andre registre der. 
 
Da Danmarks Statistik havde brug for at kunne koble 
oplysningerne på individniveau, var der behov for 
personhenførbare oplysninger fra Statens Serum Institut.   
 
 
Side 10
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
Efter at have behandlet og godkendt ansøgningen i 
forskerservice, sendte Statens Serum Institut den 16. februar 
2015 et anbefalet brev til Danmark Statistik. 
 
Brevet indeholdte 2 CD’er, som omfattede 
 
CPR‐data på cirka 5,2 millioner personer bosat i danske 
kommuner mellem 2010 og 2012. 
  
For over en million af de personers vedkommende var der 
ligeledes følsomme helbredsoplysninger fra 
cancerregisteret, diabetesregisteret eller det centrale 
psykiatriregister. 
 
Oplysningerne var ikke krypteret.   
 
 
 
Side 11
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
De følgende dage den 17. og 18. februar blev Statens Serum 
Institut kontaktet telefonisk og skriftligt af Danmarks Statistik. 
 
De havde fået overbragt brevet af en medarbejder fra 
Chinese Visa Application Centre, der fejlagtigt havde 
modtaget og åbnet brevet. 
 
Chinese Visa Application Centre er en dansk registreret 
virksomhed med kinesiske ejere, der bistår private 
personer med at søge visum til Kina.  
 
Statens Serum Institut tog umiddelbart derefter kontakt til 
Chinese Visa Application Centre, som imidlertid var ferielukket.  
 
På et møde den 23. februar fik en ledende medarbejder 
fra Statens Serum Institut en mundtlig redegørelse for 
forløbet fra den pågældende medarbejder, der havde 
åbnet brevet. 
 
Side 12
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
Medarbejderen fra Chinese Visa Application Centre 
oplyste, at hun havde modtaget, kvitteret og åbnet 
brevet. 
 
Hun oplyste endvidere, at da hun konstaterede, at brevet 
var fejlleveret, gik hun straks de 250 meter til Danmarks 
Statistik og afleverede brevet.  
 
Den 4. marts modtog Statens Serum Institut en skriftlig 
bekræftelse på forløbet fra Chinese Visa Application 
Centre.  
 
 
Side 13
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
På den baggrund og på baggrund af sagsforløbet fulgte Statens 
Serum Institut umiddelbart op.    
 
Statens Serum Institut tog d. 23. februar 2015 kontakt til 
Datatilsynet og oplyste om sagen og redegjorde for 
forløbet. 
 
Statens Serum Institut ændrede praksis for udlevering af 
personoplysninger, så alle post‐forsendelser af data sker 
krypteret. 
 
o
Og alle forsendelser til Danmarks Statistik sker via 
en sikker krypteret elektronisk forbindelse. 
 
 
Statens Serum Institut tog kontakt til Post Danmark den 3. 
marts og udbad sig en forklaring på fejludleveringen af 
brevet.  
 
Statens Serum Institut fandt ikke grund til at så tvivl om 
forklaringen fra Chinese Visa Application Centre.  
 
Side 14
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
1703214_0015.png
 
Derfor konkluderede Statens Serum Institut, at data ikke 
var blevet lækket. 
 
o
Som det fremgår af redegørelsen fandt Statens 
Serum Institut, at forsendelseskæden var blevet 
brudt, men ikke kompromitteret. 
 
Og Statens Serum Institut fandt ikke grundlag for at 
orientere de potentielt berørte borgere, da det var 
vurderingen, at data ikke var blevet lækket.  
 
o
Datatilsynet noterede sig konklusionen og tiltrådte 
beslutningen om ikke at orientere de berørte 
borgere.  
 
 
 
Side 15
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
Jeg vil gerne kort berøre Post Danmarks – nu PostNords – 
redegørelse. 
 
Post Nord oplyste efter gentagne rykkere den 4. september 
2015 følgende: 
  
At det ikke var muligt at tage fejl af adressen til Danmarks 
Statistik og Chinese Visa Application Centre. 
 
Og at fejludleveringen var en menneskelig fejl, som der 
ikke var en logisk forklaring på. 
 
Derudover oplyste Post Nord  
 
At de havde indskærpet vigtigheden af, at anbefalet post 
leveres til rette modtager.   
 
Og at den pågældende medarbejder, som havde begået 
fejlen, var fratrådt.  
 
Side 16
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
Mit ministerium har ‐ blandt andet som led i besvarelsen af 
udvalgsspørgsmål 768 om den konkrete sag ‐ bedt Post Nord 
redegøre yderligere for sagen. 
 
Post Nord oplyste her, at brevet til Danmarks Statistik blev 
afleveret til Chinese Visa Application Centre sammen med 
17 andre anbefalede breve. 
 
Der blev kvitteret samlet for alle brevene, og der blev 
således ikke kvitteret individuelt for det fejlleverede brev. 
 
Derudover oplyste Post Nord, at den pågældende medarbejder 
ikke var fratrådt, som først oplyst.  
 
Den pågældende medarbejder kan dog ikke huske, 
hvordan fejlen kan være sket.  
 
Samlet set, må man jo konkludere, at sagen består af et 
sammenfald af utilstrækkelig praksis og menneskelige fejl.  
   
 
 
 
Side 17
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
 
For så vidt angår næste del af Hr. Peder Hvelplunds spørgsmål F 
om, hvorvidt forsendelsesmetoden var i strid med relevant 
lovgivning, så oplyste  
Datatilsynet i deres udtalelse den 15. juli i år om sagen 
 
At Statens Serum Institut generelt skal leve op til 
persondatalovens krav.  
 
og at tilsynet noterede sig Statens Serum Instituts 
oplysninger om, at de ændrede praksis, og nu krypterer 
alle postforsendelser på baggrund af sagen.  
 
 
 
Datatilsynet forholdte sig imidlertid ikke til, om Statens Serum 
Institut havde brudt reglerne i den konkrete sag. 
 
Men tilsynet udtalte dog heller ikke kritik af Statens 
Serum Institut. 
 
Side 18
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
1703214_0019.png
 
Mit ministerium har efterfølgende bedt Datatilsynet om at 
forholde sig helt konkret til, om tilsynets anbefalinger er fulgt i 
sagen.  
 
Datatilsynet oplyser i deres svar fra den 21. september, at 
de mener, at anbefalingerne ikke er fulgt i den konkrete 
sag. 
 
Svaret på Hr. Peder Hvelplund spørgsmål er således, at Statens 
Serum Institut ikke levede op til Datatilsynets anbefalinger ved 
at sende ukrypterede data med anbefalet post.  
 
 
 
 
Min forgænger har bedt Sundhedsdatastyrelsen forholde sig til 
Datatilsynets seneste svar. 
 
Sundhedsdatastyrelsen oplyser, at den gamle praksis i 
Statens Serum Institut byggede på en fejllæsning af 
Datatilsynets anbefalinger. 
 
Side 19
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
1703214_0020.png
 
Og Statens Serum Institut var således af den opfattelse, at 
Datatilsynet kun anbefalede, at data, der bliver sendt med 
almindelig post, skulle krypteres.  
 
Sundhedsdatastyrelsen, som nu er den ansvarlige 
myndighed, beklager den misforståelse.  
 
Og Sundhedsdatastyrelsen understreger, at det ikke var 
bevidst, at anbefalingerne ikke blev overholdt.  
 
o
Statens Serum Institut havde basalt set misforstået 
Datatilsynets anbefalinger. 
 
Som jeg indledte med at sige, så skal der ikke herske tvivl om, at 
praksis ikke var tilstrækkelig, og den burde have været bedre. 
 
Og det vedkender Sundhedsdatastyrelsen sig også i deres 
redegørelse.  
 
Side 20
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
Det er dog også værd at notere sig, at Statens Serum Institut 
ændrede praksis med det samme, og nu krypterer alle data, der 
sendes med post. 
 
Det er rigtigt, og det er nødvendigt.  
 
Men det ændrer ikke ved, at den gamle praksis var 
utilstrækkelig og burde have været opdateret længe før.  
 
 
 
Side 21
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
 
Det næste jeg vil komme ind på er, om der skal placeres et 
ansvar for fejlen, som er den sidste del af spørgsmål F.   
 
Her vil jeg gerne slå fast, at personalesager ikke er noget, jeg 
drøfter med udvalget.  
 
Det er et anliggende for ministeriet. 
 
Og jeg derfor ønsker ikke at gå nærmere ind i de 
spørgsmål i dag.   
  
Jeg vil dog henlede opmærksomheden på, at siden sagen opstod 
i februar 2015, er der sket en del.  
 
Der har både været et regeringsskifte, og nu har der så 
været et regeringsskifte til. Og så er der ikke mindst sket 
det, at Sundhedsdatastyrelsen er blevet oprettet med en 
ny selvstændig ledelse. 
 
Side 22
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
Og styrelsen har også overtaget ansvaret for 
Forskerservice og ledelsen heraf. 
  
 
Det næste spørgsmål, jeg vil komme ind på, er spørgsmål I om, 
hvorvidt der skal nedsættes en kommission om databrug og 
datasikkerhed, som Patientforeningen har foreslået, og som 
spørgeren har spurgt til.  
 
Min forgænger har – som I også ved – besluttet at iværksætte et 
eksternt serviceeftersyn af Sundheds‐ og Ældreministeriets 
informationssikkerhed. 
 
Serviceeftersynet er et godt redskab til at vurdere og 
sikre, at vores procedurer og arbejdsgange er 
tilstrækkelige. 
 
Med serviceeftersynet kan vi hurtigt komme i gang.  
 
Derfor ønsker jeg ikke at nedsætte en kommission. 
 
Side 23
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
En kommission vil tage lang tid. 
 
Og en kommission vil derfor ikke være det rette værktøj 
til at se på, om Sundheds‐ og Ældreministeriet kan gøre 
noget bedre. 
 
Som jeg også nævnte indledningsvist, vil regeringen udarbejde 
en samlet strategi for beskyttelse af danskernes 
personoplysninger 
 
Derudover er den nye EU‐persondataforordning på vej – som jeg 
ligeledes sagde indledningsvist.  
Den vil fremadrettet sætte de oveordnede rammer for 
behandling af personoplysninger.  
  
Der pågår jo nu et arbejde, hvor vi gør os klar til at 
forordningen skal finde anvendelse.  
 
Så både konkret i ministeriet og generelt i regeringen er der et 
stærkt fokus på rammerne for behandling af personoplysninger.  
Side 24
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
1703214_0025.png
 
 
I spørgsmål G er der blevet spurgt, hvilke initiativer jeg vil 
iværksætte for at undgå, at lignende sager opstår igen. 
 
Jeg vil særligt fremhæve to initiativer – som min 
forgænger har sat i gang. 
 
Det første og mest primære initiativ er serviceeftersynet 
af informationssikkerhed. 
 
Det andet initiativ er øget brug af Forskermaskiner.   
 
 
 
 
Side 25
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
Det første, jeg dog vil komme ind på, er, at der desværre kom to 
nye sager, som min forgænger også har orienteret jer om, så 
snart de kom til ministeriets og ministerens viden. 
 
Den ene er sagen fra Styrelsens for Patientsikkerhed, hvor 
en sagkyndig sendte personoplysninger til sin egen private 
email‐adresse. 
 
o
Og hvor vedkommende tastede forkert og sendte 
oplysningerne til et domæne, som med stor 
sikkerhed kan være ejet af it‐kriminelle. 
 
Den anden sag er fra Sundhedsdatastyrelsen, hvor en 
medarbejder ved en fejl sendte én borgers e‐mail med 
følsomme personoplysninger til en anden borgers e‐boks.  
 
Begge sager selvsagt utilfredsstillende, og man må spørge sig 
selv om, hvordan det overhovedet kan ske?  
 
Begge sager bunder i menneskelige fejl, som ikke burde 
kunne forekomme. 
 
Side 26
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
1703214_0027.png
 
Inden jeg går videre til at tale om serviceeftersynet, vil jeg gerne 
understrege, at der umiddelbart blev fulgt op på de to nye 
sager. 
 
I begge sager er de berørte borgere blevet orienteret. 
  
Og reglerne er blevet indskærpet overfor medarbejderne.  
 
Sundhedsdatastyrelsen har desuden indført en ny 
arbejdsgang for afsendelse af sikker post, der minimerer 
risikoen for fejl. 
 
Og Styrelsen for Patientsikkerhed har indført en teknisk 
spærring, så det ikke er muligt at sende mails til eksterne 
domæner.  
 
Jeg kan øvrigt fortælle, at Datatilsynet i sagen fra Styrelsen fra 
Patientsikkerhed har noteret sig styrelsens tiltag, og ikke vil 
foretage sig yderligere i sagen. 
 
Side 27
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
1703214_0028.png
 
Det var også på baggrund af disse konkrete sager, at min 
forgænger besluttede at igangsætte serviceeftersynet af 
ministeriets informationssikkerhed.  
 
Jeg er enig med min forgænger i, at vi som myndigheder har 
behov for en gennemgang af, hvordan vi kan styrke vores 
sikkerhed og arbejdsgange, så for eksempel menneskelige fejl 
forebygges bedre.  
 
Det bygger på en grundlæggende erkendelse af, at vi har 
brug for et eksternt blik på, hvordan vi kan gøre det 
bedre. 
 
Målet er at få hjælp til at styrke ministeriets 
informationssikkerhed og håndtering af oplysninger om 
borgerne, så vi forebygger, at der kommer nye sager.  
 
Og ikke mindst så borgerne kan have tillid til, at vi 
håndterer deres oplysninger forsvarligt.  
 
Side 28
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
Når det kommer til vores informationssikkerhed, er der ikke 
nogen nemme løsninger, og der er både behov for en grundig og 
hurtig løsning. 
 
Derfor skal serviceeftersynet gennemføres som 
konsulentopgave.  
 
Det vil både sikre en grundig løsning baseret på den rette 
faglige indsigt.  
 
Og sikre, at opgaven bliver løst med den nødvendige 
fremdrift. 
 
 
Side 29
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
 
Serviceeftersynet bliver delt op i to opgaver, der gennemføres 
parallelt.   
 
Den ene opgave omfatter en gennemgang af vores samlede 
informationssikkerhed i forhold til datasikkerhed, it‐systemer, 
procedurer og arbejdsgange.  
 
Det skal munde ud i konkrete anbefalinger til, hvordan vi 
kan styrke sikkerheden inden for hvert af disse områder 
fremadrettet. 
 
Det vil for eksempel sige anbefalinger til, hvordan vores 
arbejdsgange kan tilrettelægges, så risikoen for 
menneskelige fejl forebygges bedre.  
 
Eller for eksempel, hvordan vi kan forbedre vores it‐
systemer, så datasikkerheden bliver højere  
 
o
Og at menneskelige fejl bliver teknisk fanget af 
systemerne, inden de når at ske.   
 
Side 30
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
Den anden opgave har fokus på det juridiske grundlag for 
ministeriets håndtering af personoplysninger i de nationale 
sundhedsregistre og it‐systemer.  
 
Det består af en efterprøvning af ministeriets vurdering og 
fortolkning af hjemmelsgrundlaget for håndtering af data i 
de nationale sundhedsregistre og it‐systemer. 
 
På den måde får vi uafhængige øjne til at gennemgå vores 
egne juridiske vurderinger, således vi ikke blot er i dialog 
med os selv og kontrollerer os selv. 
 
  
 
 
 
Side 31
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
Som I ved, er vi på nuværende tidspunkt ved at finde de 
leverandører, der skal gennemføre de to opgaver. 
 
Og december vil gå med at gennemføre processen for at 
finde de to leverandører.  
 
Vi forventer, at selve arbejdet med serviceeftersynet vil 
starte i januar.  
 
Og vi forventer, at serviceeftersynet vil være færdiggjort 
senest den 1. oktober 2017.  
 
 
 
Side 32
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
Det andet tiltag, jeg gerne vil fremhæve oven på sagerne, er 
Forskermaskiner.  
 
Forskermaskiner er en teknisk løsning, hvor forskeren får adgang 
til at arbejde med pseudonymiserede data i et sikkert og lukket 
it‐miljø i fx Sundhedsdatastyrelsen.  
 
Det erstatter, at vi fysisk videregiver data til forskeren – 
for eksempel på et USB‐stik. 
 
Det skal sikre, at vi i mindre grad har fysiske kopier af data 
liggende flere steder.  
 
Ministeriet har bedt Sundhedsdatastyrelsen udarbejde en plan 
for, hvordan vi fremadrettet kan øge anvendelsen af 
Forskermaskinerne. 
 
 
 
 
 
Side 33
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
 
 
 
Som I ved, er der blevet oprettet en Sundhedsdatastyrelse  
 
Med Sundhedsdatastyrelsen har vi fået en styrelse med et 
mere entydigt ledelsesmæssigt fokus på 
informationssikkerhed og anvendelse af data. 
 
Der er blandt andet etableret en afdeling i styrelsen med 
et koordinerende ansvar for informationssikkerhed i 
ministeriets koncern.   
Samtidig arbejder vi systematisk med informationssikkerhed på 
tværs af hele Sundheds‐ og Ældreministeriets koncern. 
 
Vi har en tværgående 
informationssikkerhedsorganisation.  
 
Vi følger løbende med i risici og trusler og igangsætter 
tiltag, hvis det er påkrævet.  
 
Side 34
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
Vi gennemfører sikkerhedstest, hvor vi tester, om vores 
systemer kan modstå angreb. 
 
Vi gennemfører interne informationskampagner med 
fokus på god adfærd i forhold til informationssikkerhed. 
 
Og ministeriet har – som I også ved – en intern data task 
force med særligt fokus på regler for indsamling og 
håndtering af personoplysninger.   
 
 
Side 35
 SUU, Alm.del - 2016-17 - Endeligt svar på spørgsmål 245: Spm. om oversendelse af talepapir fra samrådet den 1/12-16 om sagen om læk af helbredsoplysninger og cpr-numre, til sundhedsministeren
 
Jeg vil gerne slutte af med at sige, at informationssikkerhed er 
og skal være en topprioritet i Sundheds‐ og Ældreministeriet.  
 
Det er borgernes tillid, vi taler om, og derfor skal vi også 
håndtere deres oplysninger på en ordentlig og korrekt måde.  
 
Og jeg ser også frem til, at serviceeftersynet kan bidrage 
til at forbedre vores arbejde på området . 
  
Tak for ordet.  
Side 36