Det var noget af en brøler, da to ukrypterede cd'er blev afleveret med anbefalet brev til et kinesisk visa-ansøgningskontor i København frem for hos Danmarks Statistik.
De to ukrypterede cd'er sendt fra Statens Serum Instituts Forskerservice indeholdt CPR-numre på knap 5,3 millioner danskere og helbredsoplysninger med udtræk fra Diabetesregisteret, Det Psykiatriske Centrale Forskningsregister, Cancerregisteret og Landspatientregisteret.
Det kan du læse mere om her: Ukrypterede cd'er med 5,3 millioner danskeres CPR-numre afleveret til kinesere ved en fejl
Miseren skete den 17. februar 2015, og siden den noget uheldige episode er Sundhedsdatastyrelsen blevet oprettet den 1. november 2015, hvor Lisbeth Nielsen ved samme lejlighed tiltrådte som direktør for den nye styrelse.
Usandsynlig data-kopiering
Godt halvandet år efter fejlleveringen af brevet med de ukrypterede cd'er er hun i dag rigtig ærgerlig over hændelsen, som i går onsdag var igennem hele mediemøllen.
"I den konkrete sag er det meget uheldigt, at Post Danmark har afleveret et anbefalet brev til en forkert modtager, men selvfølgelig er det også vores ansvar, når vi sender ukrypterede data. Vores risikovurdering har i sagen ikke været tilstrækkelig," siger Lisbeth Nielsen til Computerworld.
Hun forklarer samtidig, at sundhedsmyndigheden efterfølgende har været ude at besøge den fejlagtige modtager, Chinese Visa Application Centre, for at måle tidsforløbet fra modtagetidspunktet i Post Danmarks system, til brevet blev afleveret hos Danmarks Statistik.
"I sagens natur er det dybt beklageligt, at data har været steder, hvor de slet ikke burde være. Samtidig kan vi ud fra det tidsmæssige forløb også konstatere, at det er meget usandsynligt, at der skulle være kopieret data hos den forkerte modtager," lyder det fra Lisbeth Nielsen.
Tre opstramninger af sikkerhed
Hun understreger samtidig, at oprettelsen af Sundhedsdatastyrelsen i slutningen af 2015 netop er sket, fordi det offentlige Danmark gerne vil beskytte borgernes data mod nysgerrige øjne.
Helt konkret har Sundhedsdatastyrelsen indført tre stramninger omkring datasikkerheden, som i dag er gældende praksis.
"Når vi i dag i få tilfælde sender store datamængder med post til eksempelvis enkelte forskere, sker det på krypterede USB-nøgler,"fortæller Lisbeth Nielsen om den første konkrete praksisændring, som er sket efter anbefaling fra Datatilsynet.
Dernæst fortæller hun, at faste modtagere som eksempelvis Danmarks Statistik ikke længere får data tilsendt på lagermedier.
"Vi er gået over til krypterede FTP-servere til vores faste modtagere af sundhedsdata, da det er mere sikkert," forklarer Lisbeth Nielsen.
Den tredje opstramningsskrue på datasikkerheden er sat ind i selve Datasundhedsstyrelsens servermiljø.
"I stedet for at udlevere data, får forskere, der har fået godkendt deres ansøgning via VPN-adgang, adgang til afgrænsede pseudonomiserede datasæt i et dedikeret miljø, hvor de kan arbejde med data og trække færdige, aggregerede resultater ud," siger hun og fortsætter:
"Det betyder samtidig, at personfølsomme oplysninger som eksempelvis CPR-numre ikke forlader vores servermiljø," fortæller Lisbeth Nielsen.
Kryptering af data på pc'en
Sikkerhedsekspert Jens Christian Høy Monrad fra it-sikkerhedsselskabet FireEye nikker godkendende til den ændrede praksis i styrelsen.
Samtidig har han et par forslag til yderligere skærpelse i både Sundhedsdatastyrelsen og generelt i den offentlige datahåndtering.
"Hvis man benytter FTP-adgange, skal man huske at kryptere disse, for ellers er de lige så usikre som ukrypterede filer sendt med posten. Det skyldes, at fremmede øjne kan kigge med i data-transporten fra A til B i netværket," lyder det fra Jens Christian Høy Monrad.
Han påpeger også et behov for at kryptere data så ofte, som det er muligt. Også når data bare ligger på den enkelte sundhedsmedarbejder eller offentlige ansattes computer og skal kunne deles med andre.
"Det må aldrig være op til den enkelte modtager af data at vurdere, hvad der er sensitive data. Det må afsenderen stå for ud fra givne sikkerhedspolitiker om, hvad fortrolige data indeholder," siger han og fortsætter:
"Vi har tidligere set sager, hvor andre typer af data er sendt forkert, og her ville der jo ikke være nogen sager, hvis data var blevet krypteret i forsendelsen. Den praksis bør jo egentlig gælde i hele den offentlige sektor," foreslår sikkerhedseksperten.
Hvem har adgang til hvad?
Slutteligt nævner han, at det også bør være normal praksis at kortlægge, hvem der hos en myndighed kan tilgå data, og at denne datatilgang som standard skal logges.
Denne praksis ville med stor sandsynlighed eksempelvis kunnet have udpeget den person, der i sin tid tilgik den senere statsminister Helle Thorning-Schmidts skattepapirer
"Der bør derfor udarbejdes en politik fra offentlig side, som sikrer hvilke personer, der kan tilgå hvilke typer data. Databrugere som eksempelvis forskere skal ikke oveni deres arbejde sidde og træffe sikkerhedsvalg. Den slags bør være gjort for dem på forhånd," siger sikkerhedseksperten.
Han understreger, at disse tiltag ikke må blive til papirtigre, der ser sikre ud i anvisninger, men som aldrig bliver fulgt til dørs i praksis.
Giv din mening til kende i debatfeltet: Hvad mener du? Hvordan sikrer vi offentlige data bedst muligt?
Læs også:
Hovsa: Ukrypterede cd'er med 5,3 millioner danskeres CPR-numre afleveret til kinesere ved en fejl
Ny undersøgelse: Danske virksomheder sløser med nye skrappe EU-persondataregler
It-chefer 'glemmer' at fortælle topledelsen om sikkerhedsbrud