Sjusk på sjusk: 5,2 millioner CPR-numre lækket

Grafik: geralt / Pixabay
5.282.616 cpr-numre er blevet udleveret til et kinesisk firma – helt ukrypteret.

Man skal passe godt på sit CPR-nummer, så det ikke falder uvedkommende i hænde. Men det kan være svært, når myndighederne ikke gør noget særligt for at passe på borgernes personfølsomme oplysninger og tilsyneladende er ude af stand til at håndtere cpr-numre på betryggende vis.

Da Forskerservice hos Statens Serum Institut (SSI) skulle sende et brev med to cd’er med data til Danmarks Statistik gik det helt galt.

Postdanmark, der stod for forsendelsen afleverede det anbefalede brev forkert og ikke til Danmarks Statistik men til Chinese Visa Application Centre.

Her blev det anbefalede brev kvitteret for og åbnet.

Personfølsomme oplysninger
De to CD’er i brevet indeholdt efter Forskerservices opfattelse følsomme personoplysninger af meget omfattende karakter. Forskerservice oplyser til Datatilsynet, at det “ikke ville kunne udelukkes, at det kunne have haft konkrete konsekvenser for de berørte personer, såfremt oplysningerne rent faktisk var kommet til uvedkommendes kendskab”. Men Forskerservice mener ikke, at oplysningerne blevet set af andre personer. Det fremgår af en afgørelse fra Datatilsynet om sagen.

Ifølge afgørelsen rettede Forskerservice henvendelse til Chinese Visa Application Centre da man blev opmærksom på fejlafleveringen og medarbejderen hos Chinese Visa Application Centre fortalte, at hun havde modtaget brevet, kvitteret for dette og åbnet det ved en fejl. Idet hun konstaterede, at brevets rette modtager var Danmarks Statistik, gik hun over til Danmarks Statistik og afleverede brevet.

Var ikke krypteret
De to cd’er indeholdt data om 5.282.616 personer bosat i danske kommuner mellem 2010 og 2012. Cd’erne indeholdt oplysninger om personnumre og helbredsoplysninger, men ikke navn og adresse.

CD’erne var ikke krypteret.