Er du blevet testet positiv for corona i et af de 14 kviktestcentre i landet, hvor podningen er udført af en medarbejder fra Medicals Nordic?

Så er der formentlig en del mennesker, der sidder inde med dine personlige helbredsoplysninger, som de aldrig burde have haft adgang til. Oplysninger, de har på deres private telefon.

Det kan B.T. nu afsløre.

B.T. har talt med en tidligere poder fra et testcenter i Charlottenlund, der hører under Medicals Nordic. Kilden fortæller, at dybt personlige oplysninger om danskere, der testes positive, behandles stærkt uansvarligt. B.T. er i besiddelse af dokumentation, der understøtter den påstand.

»Det er ulovligt. Det opfylder ikke databeskyttelsesforordningens artikel 32 om, at sikkerheden skal passe til den type data, man behandler. Behandlingen af følsomme personoplysninger kræver ekstra sikkerhed. Både for at holde oplysningerne fortrolige og for at forhindre, at for mange får adgang til dem. Hos Medicals Nordic lyder det, som om medarbejderne har adgang til oplysninger både før og efter ansættelse,« siger Birgitte Kofod Olsen, der er forperson i tænketanken DataEthics, tidligere formand i Rådet for Digital Sikkerhed og ekspert i databeskyttelse, til B.T.

(TIP OS: Er du, eller har du været, poder hos Medicals Nordic, så vil vi meget gerne høre fra dig. Skriv til journalist Andreas Stenshøj på akst@bt.dk)

Lad os først se nærmere på, hvad der sker, når du er testet positiv for corona af Medicals Nordic:

Når du bliver testet, skriver du under på en samtykkeerklæring, hvor du giver tilladelse til, at virksomheden må sende dine oplysninger til sundhedsmyndighederne ved et positivt svar. I den samtykkeerklæring oplyser du dit fulde navn, telefonnummer og cpr-nummer.

Er du testet positiv, tager poderen, der har foretaget din test, et billede af dine oplysninger og sender det derefter til en fælles WhatsApp-gruppe for det givne teststed. I stedet for at dine oplysninger bliver sendt ind i et lukket system, får nuværende podere, tidligere podere og ledere af testcentret fri adgang til dine personlige oplysninger i WhatsApp-gruppen.

Ifølge B.T.s kilde bliver oplysningerne delt på denne måde, fordi Medicals Nordic på den måde kan sende de personlige oplysninger fra testcentrets kontor til sundhedsmyndighederne.

Samtykkeerklæringer, der er lagt op i WhatsApp-gruppen med 182 medlemmer. B.T.s kilde er medlem af gruppen.
Samtykkeerklæringer, der er lagt op i WhatsApp-gruppen med 182 medlemmer. B.T.s kilde er medlem af gruppen. Foto: Privat
Vis mere

WhatsApp minder i grove træk om Facebooks beskedtjeneste Messenger. Mulighederne er stort set de samme. Du kan sende billeder, videoer, lave gruppesamtaler og udføre telefonopkald. Alle beskeder mellem afsender A og modtager B er nemlig krypteret hele vejen. Såkaldt end-to-end encrypted. Nok er samtalerne 'hemmelige', men brugerne kan fortsat tage screenshot og sende disse videre på andre, ukrypterede tjenester.

Og nu bliver det for alvor problematisk.

For ikke nok med at dine oplysninger er delt i en gruppesamtale, så har WhatsApp en automatisk funktion, der gør, at alle billeder, der bliver delt på WhatsApp, automatisk bliver overført til din fotorulle på din telefon.

Det vil sige, at der mellem podernes private billeder også kan ligge billeder af flere danskeres private oplysninger.

Billede af samtykkeerklæringer, der er lagt op i Whatsapp-gruppen, som B.T.s kilde er en del af. Den har 182 medlemmer.
Billede af samtykkeerklæringer, der er lagt op i Whatsapp-gruppen, som B.T.s kilde er en del af. Den har 182 medlemmer. Foto: Privat
Vis mere

»Det skal lukkes ned med det samme. Deres måde at håndtere samtykkeerklæringer og svar på test skal ændres. Det er en meget usikker måde at håndtere følsomme data og cpr-numre på. Alt for mange har adgang til de her oplysninger. WhatsApp er ikke en sikker løsning, og oplysningerne bliver liggende på private telefoner. På grund af oplysningernes karakter skal de opbevares et langt mere sikkert sted. Jeg vil kategorisere det som et sikkerhedsbrud, der kan have store konsekvenser for de testede personer« siger ekspert Birgitte Kofod Olsen og fortsætter.

»Jeg forstår slet ikke, at de bruger WhatsApp. Appen er ejet af Facebook og deler data med dem, så sandsynligvis analyserer de data med henblik på videresalg. Der er ikke tænkt sikkerhed i det her, men mere, hvad der har været hurtigst og lettest.«

I en sms fra testcentret i Charlottenlund skriver ledelsen til poderne, at de skal lægge et billede af de personlige oplysninger op i WhatsApp.

»Du skal ALTID lægge et billede op af samtykkeerklæringen på den positive patient i WhatsApp-gruppen,« står der blandt andet i sms'en.

Sms fra ledelsen på det givne Medicals Nordic-testcenter, hvor poderne bliver instrueret i at lægge billeder af oplysningerne ind i WhatsApp-gruppen. Nedenunder er invitationslink til et par af grupperne sløret.
Sms fra ledelsen på det givne Medicals Nordic-testcenter, hvor poderne bliver instrueret i at lægge billeder af oplysningerne ind i WhatsApp-gruppen. Nedenunder er invitationslink til et par af grupperne sløret. Foto: Privat
Vis mere

B.T.s kilde blev medlem af den ene gruppe i slutningen af december 2020. Siden da er der i skrivende stund lagt 541 billeder op af forskellige personoplysninger på forskellige danskere, der er testet i det ene testcenter, og gruppen har 182 medlemmer.

Det fremgår også af det materiale, B.T. er i besiddelse af. Men kilden oplyser, at han kan se, at der, før han blev medlem, har været mange flere billeder og altså private oplysninger frit tilgængelige i WhatsApp-gruppen.

B.T.s kilde er ikke længere poder for Medicals Nordic, men modtager stadig beskeder med personfølsomme oplysninger fra WhatsApp-gruppen. Han oplyser, at han ikke er den eneste, der hver dag fortsat modtager private oplysninger.

B.T.s kilde, der er medlem af to grupper, som begge er placeret i Charlottenlund, fortæller, at man sådan set bare kan sende linket til gruppesamtalerne til hvem som helst, og så vil de få adgang til samtlige personoplysninger, der bliver lagt op, fra den dag, personen er medlem. Der er ingen beskyttelse.

På billedet kan man se, at folk bliver tilføjet i gruppen gennem et invitationslink. Et link, som B.T. også er i besiddelse af.
På billedet kan man se, at folk bliver tilføjet i gruppen gennem et invitationslink. Et link, som B.T. også er i besiddelse af. Foto: Privat
Vis mere

Om det er denne metode, som virksomheden bruger i samtlige af sine testcentre, har B.T. ikke fået bekræftet.

I det materiale, B.T. er i besiddelse af, kan man se i gruppesamtalen, at der formentlig er andre lignende 'grupper'.

I en besked i Charlottenlund-gruppen står der:

»Slet denne besked og send i Holte-gruppen.«

En besked i WhatsApp-gruppen viser, at der formentlig er andre lignende grupper.
En besked i WhatsApp-gruppen viser, at der formentlig er andre lignende grupper.
Vis mere

Hvorfor deler Medicals Nordic overhovedet danskernes private oplysninger på WhatsApp i stedet for at opbevare dem i lukkede rum?

Ifølge B.T.s kilde har poderne internt fået forklaret, at systemet, der skulle tage sig af databehandling, har været nede i flere måneder. B.T.s kilde siger, at et sådant system aldrig er blevet præsenteret for poderne.

B.T.s kilde ønsker at være anonym, men står frem, fordi SOS International, der har Medicals Nordic som underleverandør, netop har vundet udbudsrunden om at hurtigteste i fire ud af fem regioner i Danmark. Kilden er bange for, at den form for database, som Medicals Nordic har via WhatsApp, vil sprede sig yderligere.

»Jeg føler, at jeg skylder de her patienter, at de ved, hvad der foregår. Det hele handler mere om penge, ikke sikkerhed. Hvis folk vidste, at deres oplysninger florerede på den her måde, så tror jeg ikke, de havde taget testen,« siger B.T.s kilde.

B.T. har bedt om en kommentar fra Medicals Nordic, men i en mail til B.T. skriver virksomheden, at den ikke kan vende tilbage med et svar søndag. Medicals Nordic skriver derudover, at virksomheden ikke ser historien som værende af 'hastende karakter'. Den vil dog kontakte B.T. senest klokken 11.00 mandag.

B.T. har haft kontakt til SOS International, der ikke ønsker at kommentere sagen.

Medicals Nordic har fire testcentre i København, et på Frederiksberg, tre i Aarhus, et i Holte, et i Charlottenlund, et i Hørsholm, et i Helsingør, et i Aalborg Lufthavn og et i Esbjerg Lufthavn.