Er du blevet testet positiv for corona i en af de 14 kviktestcentre i landet, hvor podningen er udført af en medarbejder fra Medicals Nordic?

Så er der formentlig en del mennesker, der sidder inde med dine personlige helbredsoplysninger, som de aldrig burde have haft adgang til. Oplysninger de har på deres private telefon.

Det kan B.T. nu afsløre.

B.T. har talt med en tidligere poder fra et testcenter i Charlottenlund, der hører under Medicals Nordic. Kilden fortæller, at dybt personlige oplysninger om danskere, der testes positive, behandles stærkt uansvarligt. B.T. er i besiddelse af dokumentation, der understøtter den påstand.

»Det er ulovligt. Det opfylder ikke databeskyttelsesforordningens artikel 32 om, at sikkerheden skal passe til den type data, man behandler. Behandlingen af følsomme personoplysninger kræver ekstra sikkerhed. Både for at holde oplysningerne fortrolige og forhindre, at for mange får adgang til dem. Hos Medicals Nordic lyder det som, at medarbejderne har adgang til oplysninger både før og efter ansættelse,« siger Birgitte Kofod Olsen, der er forperson i tænketanken Data Ethics, tidligere formand i Rådet for Digital Sikkerhed og ekspert i databeskyttelse, til B.T.

Lad os først se nærmere på, hvad der sker, når du er testet positiv for corona af Medicals Nordic:

Dine personlige oplysninger. En fremmeds telefon

Når du bliver testet, skriver du under på en samtykkeerklæring, hvor du giver tilladelse til, at virksomheden må sende dine oplysninger til sundhedsmyndighederne ved et positivt svar. I den samtykkeerklæring oplyser du dit fulde navn, telefonnummer og CPR-nummer.

Er du testet positiv, tager poderen, der har foretaget din test, et billede af dine oplysninger og sender det derefter til en fælles Whatsapp-gruppe for det givne teststed. I stedet for at sende dine oplysninger ind i et lukket system, får nuværende podere, tidligere podere og ledere af testcentret fri adgang til dine personlige oplysninger i Whatsapp-gruppen.

Ifølge B.T.s kilde bliver oplysningerne delt på denne måde, fordi Medicals Nordic på den måde kan sende de personlige oplysninger fra testcentrets kontor til sundhedsmyndighederne.

Samtykkeerklæringer der er lagt op i Whatsapp-gruppen med 182 medlemmer. B.T.s kilde er medlem af gruppen. Foto: Privat Vis mere Samtykkeerklæringer der er lagt op i Whatsapp-gruppen med 182 medlemmer. B.T.s kilde er medlem af gruppen. Foto: Privat

Whatsapp minder i grove træk om Facebooks beskedstjeneste Messenger. Mulighederne er stort set de samme. Du kan sende billeder, videoer, lave gruppesamtaler og udføre telefonopkald. Alle beskeder mellem afsender A og modtager B er nemlig krypteret hele vejen. Såkaldt 'end-to-end encrypted'. Nok er samtalerne 'hemmelige', men brugerne kan fortsat tage screenshots og sende disse videre på andre ukrypterede tjenester.

Og nu bliver det for alvor problematisk.

For ikke nok med, at dine oplysninger er delt i en gruppesamtale, så har Whatsapp en automatisk funktion, der gør, at alle billeder, der bliver delt på Whatsapp, automatisk bliver overført til din fotorulle på din telefon.

Det vil sige, at indimellem podernes private billeder, kan der også ligge billeder af flere danskeres private oplysninger.

Billede af samtykkeerklæringer, der er lagt op i Whatsapp-gruppen, som B.T.s kilde er en del af. Den har 182 medlemmer. Foto: Privat Vis mere Billede af samtykkeerklæringer, der er lagt op i Whatsapp-gruppen, som B.T.s kilde er en del af. Den har 182 medlemmer. Foto: Privat

»Kan få store konsekvenser«

»Det skal lukkes ned med det samme. Deres måde at håndtere samtykkeerklæringer og svar på test skal ændres. Det er en meget usikker måde at håndtere følsomme data og CPR-nummer på. Alt for mange har adgang til de her oplysninger. Whatsapp er ikke en sikker løsning, og oplysningerne bliver liggende på private telefoner. På grund af oplysningernes karakter, skal de opbevares et langt mere sikkert sted. Jeg vil kategorisere det som et sikkerhedsbrud, der kan have store konsekvenser for de testede personer« siger ekspert Birgitte Kofod Olsen og fortsætter.

»Jeg forstår slet ikke, at de bruger Whatsapp. Appen er ejet af Facebook og deler data med dem, så sandsynligvis analyserer de data med henblik på videresalg. Der er ikke tænkt sikkerhed i det her, men mere hvad der har været hurtigst og lettest.«

I en SMS fra testcentret i Charlottenlund skriver ledelsen til poderne, at de skal lægge et billede af de personlige oplysninger op i Whatsapp.

»Du skal ALTID lægge et billede op af samtykkeerklæringen på den positive patient i Whatsapp-gruppen,« står der blandt andet i SMSen.

SMS fra ledelsen på det givne Medicals Nordic testcenter, hvori poderne bliver instrueret i at lægge billeder af oplysningerne ind i Whatsapp-gruppen. Nedenunder er invitationslinks til et par af grupperne sløret. Foto: Privat Vis mere SMS fra ledelsen på det givne Medicals Nordic testcenter, hvori poderne bliver instrueret i at lægge billeder af oplysningerne ind i Whatsapp-gruppen. Nedenunder er invitationslinks til et par af grupperne sløret. Foto: Privat

Modtager fortsat personlige oplysninger hver dag

B.T.s kilde blev medlem af den ene gruppe i slutningen af december 2020. Siden da er der i skrivende stund lagt 541 billeder op af forskellige personoplysninger på forskellige danskere, testet i det ene tetscenter, og gruppen har 182 medlemmer.

Det fremgår også af det materiale, B.T. er i besiddelse af. Men kilden oplyser, at han kan se, at der før, han blev medlem, har været mange flere billeder og altså private oplysninger frit tilgængelige i Whatsapp-gruppen.

B.T.s kilde er ikke længere poder for Medicals Nordic, men modtager stadig beskeder med personfølsomme oplysninger fra Whatsapp-gruppen. Han oplyser, at han ikke er den eneste, der hver dag fortsat modtager private oplysninger.

B.T.s kilde, der er medlem af to grupper, som begge er placeret i Charlottenlund, fortæller, at man sådan set bare kan sende linket til gruppesamtalerne til hvem som helst, og så vil de få adgang til samtlige personoplysninger, der bliver lagt op, fra den dag personen er medlem. Der er ingen beskyttelse.

På billedet kan man se, at folk bliver tilføjet i gruppen gennem et invitationslink. Et link, som B.T. også er i besiddelse af. Foto: Privat Vis mere På billedet kan man se, at folk bliver tilføjet i gruppen gennem et invitationslink. Et link, som B.T. også er i besiddelse af. Foto: Privat

Om det er denne metode, som virksomheden bruger i samtlige af sine testcentre, har B.T. ikke fået bekræftet.

I det materiale, B.T. er i besiddelse af, kan man se i gruppesamtalen, at der formentlig er andre lignende 'grupper'.

I en besked i Charlottenlund-gruppen står der:

»Slet denne besked og send i Holte-gruppen.«

En besked i Whatsapp-gruppen viser, at der formentlig er andre lignende grupper. Vis mere En besked i Whatsapp-gruppen viser, at der formentlig er andre lignende grupper.

»Det handler mere om penge«

Hvorfor deler Medicals Nordic overhovedet danskernes private oplysninger på Whatsapp i stedet for at opbevare dem i lukkede rum?

Ifølge B.T.s kilde har poderne internt fået forklaret, at systemet, der skulle tage sig af databehandling, har været nede i flere måneder. B.T.s kilde siger, at et sådant system aldrig er blevet præsenteret for poderne.

B.T.s kilde ønsker at være anonym, men står frem, fordi SOS-international, der har Medicals Nordic som underleverandør, netop har vundet udbudsrunden om, at hurtigteste i fire ud af fem regioner i Danmark. Kilden er bange for, at den form for database, som Medicals Nordic har via Whatsapp, vil sprede sig yderligere.

»Jeg føler, at jeg skylder de her patienter, at de ved, hvad der foregår. Det hele handler mere om penge, ikke sikkerhed. Hvis folk vidste, at deres oplysninger florerede på den her måde, så tror jeg ikke, de havde taget testen,« siger B.T.s kilde.

B.T. har bedt om en kommentar fra Medicals Nordic, men i en mail til B.T. skriver de, at de ikke kan vende tilbage med et svar søndag. Medicals Nordic skriver derudover, at de ikke ser historien som værende af 'hastende karakter'. De vil dog kontakte B.T. senest klokken 11.00 mandag.

B.T. har haft kontakt til SOS International, der ikke ønsker at kommentere på sagen.

Medicals Nordic har fire testcentre i København, et på Frederiksberg, tre i Aarhus, et i Holte, et i Charlottenlund, et i Hørsholm, et i Helsingør, et i Aalborg Lufthavn og et i Esbjerg Lufthavn.