Ekspert: Svært at sige om CPR-forsendelser var lovlige
CPR-SAG: Bløde bestemmelser betyder, at det er vanskeligt at vurdere, om Statens Serums Institut overholdte loven, da de sendte ukrypterede CD'er med personfølsomme oplysninger.
Det er svært at afgøre, om Statens Serums Institut fulgte loven, da de sendte over fem millioner danskeres CPR-numre og helbredsoplysninger på to ukrypterede CD'er, som ved en fejl endte hos et kinesisk visumbureau.
Det siger jurist Sten Bønsing, der forsker i persondataret ved Aalborg Universitet.
Han peger på, at den gældende sikkerhedsbestemmelse er meget uklar omkring, hvornår oplysninger bør krypteres.
”Derfor kan man ikke med sikkerhed sige, at Staten Serums Institut har overtrådt loven. Men det er så følsomme oplysninger, at jeg vil heller ikke umiddelbart sige, at det er lovligt,” siger han og tilføjer:
”Man kunne godt forstille sig, at man kunne blive dømt på det her i sig selv.”
Følsomme oplysninger skal beskyttes
Usikkerheden skyldes de bløde bestemmelser på området. Bestemmelserne er meget klare, når det kommer til at sende følsomme oplysninger over nettet. De skal krypteres. Men der er ikke taget stilling til, hvad der gøres, når man sender dem i et fysisk brev, forklarer Sten Bønsing.
”Der er kun nogle ret uklare bestemmelser med, at man skal foretage nogle hensigtsmæssige sikkerhedsforanstaltninger eller sådan noget, som man ikke bliver voldsomt meget klogere af,” siger han.
Læs også: Overblik: Sådan endte fem millioner danske CPR-numre hos kinesere
Men samtidig påpeger Sten Bønsing, at jo mere følsomme oplysningerne er, jo mere skal man gøre for at beskytte dem. Og netop CPR-numre og helbredsoplysninger ligger i den forholdsvis tunge kategori, når det kommer til følsomhed.
”Derfor kunne man godt have en fornemmelse af, at Datatilsynet og domstolene ville kunne komme frem til, at når man sender så mange følsomme oplysninger, skal man sikre sig yderlige end bare at sende dem i et anbefalet brev,” siger han.
Behov for flere domstolsafgørelser
Datatilsynet fortæller i sin afgørelse, at man ikke vil foretage sig mere i sagen. Men ifølge Sten Bønsing bør tilsynet lade flere af denne slags sager komme for domstolene og lade dem vurdere, om det er en overtrædelse af loven.
”Det er en af de måder, hvor man kan få en mere klar retstilstand,” siger han og tilføjer, at der også kan være en pointe i at se på at stramme lovgivningen på området.
Bør denne sag komme for en dommer?
”Jeg vil meget nødigt tage stilling til om den konkrete sag. Men jeg synes, at vi har for få domstolsafgørelser i denne type sager.”
Kammeradvokaten har stadig et de facto-monopol
Året der gik på sundhedsområdet
