Forældet offentlig datadisciplin

Det skete på en sommervarm dag i juli, at Datatilsynet besluttede sig for at offentliggøre en afgørelse på en hændelse, som Statens Serum Institut (SSI) indrapporterede 18. februar 2015. I årets største sommerferieuge skabte det ikke det store ståhej. Afgørelsen er knastør læsning og proppet med embedsmandssprog og lange knudrede sætninger. Alligevel faldt min kæbe ned af ren og skær forbløffelse. 

Afgørelsen fra Datatilsynet var nemlig i korthed en forbløffende mild kritik af følgende afsindige forløb. På opfordring sender SSI data om sygdomsforhold inklusive knap 5,3 millioner CPR-numre (men ikke navne) baseret på Psykiatri-, Cancerpatient- og Diabetesregisteret til Danmarks Statistik. 

Det foregår via Post Danmark som en anbefalet forsendelse i form af en kuvert foret med bobleplast og indeholdende to cd-rommer. Men forsendelsen bliver afleveret hos den kinesiske ambassades center for visum-ansøgninger på Lyngbyvej i København Ø i stedet for hos Danmarks Statistik i Sejrøgade. Efterfølgende kan ingen i Post Danmark forklare, hvordan fejltagelsen opstod, og det ansvarlige bud er ikke længere ansat. Personen, der har kvitteret for modtagelse i det kinesiske visum-center, erklærer på tro og love, at hun har åbnet brevet, men ikke læst indholdet. Hun afleverer selv materialet til Danmarks Statistik. Det vil givetvis være benzin på konspirationernes bål.

Selv er jeg temmelig overbevist om, at det ikke er en tilfældighed, at data havnede, hvor de gjorde, når man sammenligner med kinesisk interesse i at få fat i persondata om offentligt ansatte i USA.

Men faktum er, at personfølsomme oplysninger indeholdende millioner af CPR-numre for en række sygdomsforløb i ukrypteret form har været i hænderne på et helt uvedkommende kinesisk visum-ansøgningscenter. 

Når offentlige myndigheder håndterer dataudveksling af borgernes meget private oplysninger som i dette forløb, er det komplet skandaløst. Hvordan kan den foretrukne dataudvekslingsform i dagens digitaliserede Danmark basere sig på cd-rommer uden nogen form for databeskyttelse med tilhørende papirbaserede følgedokumenter? Så må enhver snak om Danmark som digitalt foregangsland forstumme.

Hvorfor baserer den offentlige dataudvekling sig ikke i praksis på anerkendte sikkerhedsbegreber som autenticitet, integritet, uafviselighed og fortrolighed? Eller sagt på en anden måde: Kryptér dog indholdet, og lad kommunikationen og dataudvekslingen mellem de to offentlige myndigheder flyde gennem sikrede kanaler med gensidig autentificering og logning.  

Men mest grundlæggende: Se at få bygget systemer, som både er fleksible og transparente, om de oplysninger, borgerne afgiver - eller ønsker at afgive - og som samtidig er udformet, så man kan adskille de statistisk interessante data fra personhenførbare data, som ikke er nødvendige eller relevante for dataanalyser.


Læs også...

Hos nonprofit-organisationen Hackyourfuture, HYF, oplever man et fald i forhold til at få webudviklere fra de seneste seks uddannelseshold i…

IT-uddannelsen hos HackYourFuture, HYF, er indvandreres og flygtninges mulighed for rigtigt at få fodfæste på arbejdsmarkedet og gøre karriere. En af…

Ledelsesretten er arbejdsgivers ret til at lede og fordele arbejdet på en arbejdsplads. Retten er ikke uindskrænket, men reguleres af en række love…

PROSAs IT-politiske rådgiver Ole Tange, klagede i foråret til Datatilsynet over DRs ”tvangslogin”, som efter hans mening var i strid med…

Som fleksjobber har du krav på, at din arbejdsgiver oplyser dig om, hvilken sammenlignelig overenskomst, der kunne gælde for din ansættelse, også selv…

I England steg antallet af downloads af VPN tusindfold, da landet 26. juli indførte alderskontrol for at tilgå pornografisk indhold. Briterne ville…

Årets fjerde udgave af PROSAbladet er i trykken, men kan allerede læses som PDF. Læs om Blockchain, gaming, hvordan udlændinge hacker fremtiden,…

Den danske regering vil forsøge at få chatkontrol stemt igennem i EU som en del af sit formandskab. I de IT-ansattes fagforening skræmmer det den…

Det var en helt ny fornemmelse, da Søren tidligere på året blev ramt af stress, for han havde aldrig oplevet stresssymptomer før. Søren har arbejdet i…

I 1999 havnede Berit Søgaard mere eller mindre tilfældigt i IT-branchen, og hun har arbejdet her lige siden. I dag er hun compliancedirektør i Visma,…