»Man føler sig trådt på, når man lader dem stikke i det aller dyrebareste, man har, og så kan de ikke engang passe ordentligt på ens data. Det er åbenbart takken for at hjælpe dem.«

Sådan fortæller Monica, der for få dage siden blev ringet op af en medarbejder fra Region Hovedstaden. Vedkommende fortalte hende, de havde tabt et USB-stik fra en taske med hendes og sønnens cpr-nummer, navn og prøvedata.

»Jeg synes, det var helt vildt ubehageligt. Hvor er mine data henne, hvordan kan det ske?«

Og hun er langt fra den eneste, som lige nu skal holde øje med, at deres oplysninger ikke bliver misbrugt. 1301 patienters oplysninger lå nemlig på den ukrypterede USB-nøgle.

Monica fik foretaget prøver på Rigshospitalet. De prøvesvar er nu væk.
Monica fik foretaget prøver på Rigshospitalet. De prøvesvar er nu væk. Foto: Ida Guldbæk Arentsen
Vis mere

Netop fordi Monicas oplysninger lige nu er frit tilgængelig på USB-nøglen, har hun ikke ønsket at få efternavn eller billede frem i medierne, men B.T. er bekendt med hendes fulde navn.

Hun og sønnen deltog frivilligt i et MFR-projekt i Region Hovedstaden, hvor de tester, om børn skal have vaccinen mod mæslinger, fåresyge og røde hunde tidligere, end de gør nu. Derfor har de løbende været på Rigshospitalet for at få foretaget prøver.

Svarerne på prøverne blev så lagt på et USB-stik sammen med Monicas cpr-nummer og adresse.

»Grunden til, at mine oplysninger ligger på et USB-stik, var netop på grund af datasikkerhed. De mente, at det ikke var sikkert nok at sende oplysninger, fordi de var bange for datalæk,« fortæller Monica efter at have talt med Region Hovedstaden om situationen.

»Man (red. Region Hovedstaden) mente altså, at det var mere sikkert at kryptere et USB-stik og transportere det fysisk mellem afdelingerne.«

Og det er normalt, at man opbevarer oplysninger på den måde, oplyser Region Hovedstaden i et mailsvar til B.T.

»Man må godt opbevare den slags oplysningerne på et USB-stik. Det var dog en fejl, at det ikke var et krypteret USB-stik.«

»Region Hovedstaden har klare og præcise retningslinjer for, hvordan man skal opbevare personfølsomme oplysninger. Bruger man personfølsomme oplysninger på en USB-nøgle i et projekt, skal USB-nøglen altid være krypteret.«

Og det er ifølge Monica også let nok at skrive, men:

»Det kan alle sige. Når man mister et USB-stik, som man ikke har krypteret, som retningslinjerne ellers siger, så er det ret tomme ord,« fortæller Monica og forsætter:

»Jeg har det rimelig skidt med at vide, at mine data ligger tilgængeligt et eller andet sted, hvor nogen kan finde dem.«

USB-stikket blev tabt ud af en taske, og at det kunne ske samtidigt med, at det ikke var krypteret, har sat tankerne i gang hos Monica:

»Var det et uheld, hvor nogen ‘bare’ har tabt det, eller var det planlagt, fordi nogen vil stjæle og udnytte mine oplysninger?«

»Det værste ved det er, at man ikke kan forudse konsekvenserne, og at man føler sig magtesløs.«

Region Hovedstaden konstaterede 26 april at USB-stikket var væk, og siden har de igangsat faste procedurer ved mistanke om datausikkerhed.

Kun to har fået nyt cpr-nummer efter identitetstyveriFor et år siden blev det muligt for ofre for identitetstyveri at få nyt cpr-nummer. Men kun to har fået det.Se RB
Kun to har fået nyt cpr-nummer efter identitetstyveriFor et år siden blev det muligt for ofre for identitetstyveri at få nyt cpr-nummer. Men kun to har fået det.Se RB Foto: Jonas Skovbjerg Fogh
Vis mere

»Alle relevante myndigheder informeres, og sagen undersøges og beskrives. Der formuleres e-Boks-breve til de berørte borgere. Desuden ringer medarbejdere til de berørte borgere for at undskylde, forklare og svare på spørgsmål,«  oplyser Region Hovedstaden.

Og selvom Monica var tilfreds med samtalen med medarbejderen hos Region Hovedstaden og opkaldet hun fik, så har situationen ændret hendes tilgang til forskningsprojekter i fremtiden.

Ville du takke ja til at deltage i et projekt igen?

»Nej, det vil jeg ikke. Egentlig har jeg altid ment, at man skal sige ja til forskning og undervisning osv., men det vil jeg ikke mere.«

Til spørgsmålet om fremtidig tillid til forskning og opbevaring af data i regionen, svarer Region Hovedstaden:

»Region Hovedstaden og alle de involverede medarbejdere tager sagen meget alvorligt med henblik på at undgå lignende fejl i fremtiden. Regler om datasikkerhed er igen gennemgået med de involverede medarbejdere. Der er desuden lavet en plan for et nyt kursus samt anden undervisning i datasikkerhed til medarbejderne.«

Udover de 1301 cpr-numre, navne og prøvedata, så er 72 personers cpr-numre også væk grundet USB-stikket.