Forældet offentlig datadisciplin

Det skete på en sommervarm dag i juli, at Datatilsynet besluttede sig for at offentliggøre en afgørelse på en hændelse, som Statens Serum Institut (SSI) indrapporterede 18. februar 2015. I årets største sommerferieuge skabte det ikke det store ståhej. Afgørelsen er knastør læsning og proppet med embedsmandssprog og lange knudrede sætninger. Alligevel faldt min kæbe ned af ren og skær forbløffelse. 

Afgørelsen fra Datatilsynet var nemlig i korthed en forbløffende mild kritik af følgende afsindige forløb. På opfordring sender SSI data om sygdomsforhold inklusive knap 5,3 millioner CPR-numre (men ikke navne) baseret på Psykiatri-, Cancerpatient- og Diabetesregisteret til Danmarks Statistik. 

Det foregår via Post Danmark som en anbefalet forsendelse i form af en kuvert foret med bobleplast og indeholdende to cd-rommer. Men forsendelsen bliver afleveret hos den kinesiske ambassades center for visum-ansøgninger på Lyngbyvej i København Ø i stedet for hos Danmarks Statistik i Sejrøgade. Efterfølgende kan ingen i Post Danmark forklare, hvordan fejltagelsen opstod, og det ansvarlige bud er ikke længere ansat. Personen, der har kvitteret for modtagelse i det kinesiske visum-center, erklærer på tro og love, at hun har åbnet brevet, men ikke læst indholdet. Hun afleverer selv materialet til Danmarks Statistik. Det vil givetvis være benzin på konspirationernes bål.

Selv er jeg temmelig overbevist om, at det ikke er en tilfældighed, at data havnede, hvor de gjorde, når man sammenligner med kinesisk interesse i at få fat i persondata om offentligt ansatte i USA.

Men faktum er, at personfølsomme oplysninger indeholdende millioner af CPR-numre for en række sygdomsforløb i ukrypteret form har været i hænderne på et helt uvedkommende kinesisk visum-ansøgningscenter. 

Når offentlige myndigheder håndterer dataudveksling af borgernes meget private oplysninger som i dette forløb, er det komplet skandaløst. Hvordan kan den foretrukne dataudvekslingsform i dagens digitaliserede Danmark basere sig på cd-rommer uden nogen form for databeskyttelse med tilhørende papirbaserede følgedokumenter? Så må enhver snak om Danmark som digitalt foregangsland forstumme.

Hvorfor baserer den offentlige dataudvekling sig ikke i praksis på anerkendte sikkerhedsbegreber som autenticitet, integritet, uafviselighed og fortrolighed? Eller sagt på en anden måde: Kryptér dog indholdet, og lad kommunikationen og dataudvekslingen mellem de to offentlige myndigheder flyde gennem sikrede kanaler med gensidig autentificering og logning.  

Men mest grundlæggende: Se at få bygget systemer, som både er fleksible og transparente, om de oplysninger, borgerne afgiver - eller ønsker at afgive - og som samtidig er udformet, så man kan adskille de statistisk interessante data fra personhenførbare data, som ikke er nødvendige eller relevante for dataanalyser.


Læs også...

Der er tilfredshed i PROSA, efter at PET-lovændring er udskudt. IT-fagforeningen sendte forleden et åbent brev til justitsministeren, som påpegede…

Vi har hørt det uendelig mange gange: Der mangler kvinder i tech. Og vi får gang på gang at vide, at det er et problem, at piger ikke er interesserede…

Big tech er ved at kvæle rigtige fællesskaber med zombie-scrolling. Den faglige kamp har brug for, at de unge møder op og giver en injektion af…

Behandling eller undersøgelser mod barnløshed sidestilles med almindeligt sygefravær, og som funktionær har du derfor også ret til fri med løn for at…

Arbejdsmiljøet hos den danske IT-gigant er så problematisk, at de IT-professionelles fagforening nu advarer unge mod ansættelse. ”Det er prestige over…

Den danske IT-branche omsatte for knap 330 milliarder kroner sidste år, hvilket er rekord. Fremgangen sker til trods for, at det samlede antal ansatte…

Det seneste halve år har PROSA oplevet, at antallet af henvendelser om opsigelser overstiger antallet af ansættelseskontrakter. ”Det er nyt og uvant,…

Kommissionens udspil omkring at gøre EU førende inden for AI-udvikling blev offentliggjort 9. april. Der skal blandt andet oprettes AI-gigafabrikker…

I 2026 åbner SDU et nyt campus i Vejle, som skal have fokus på IT- og STEM-uddannelser. Nu har uddannelses- og forskningsministeren godkendt de første…