I sidste måned udløste en IT-skandale regeringskrise i Sverige. Foreløbig har to ministre måttet trække sig efter at de kom frem, at personer i Østeuropa, der ikke er sikkerhedsgodkendte, kan have haft adgang til svenske dataregistre med fortrolige oplysninger om såvel borgere som politi, militær og infrastruktur.

Siden da har spørgsmålet været rejst, om noget lignende kunne ske i Danmark. Ser man på de sidste fem år, må svaret være et rungende ja. For gang på gang har vi kunnet læse om, hvordan sjusk fra myndighedernes side har resulteret i, at borgeres personfølsomme oplysninger er havnet de forkerte steder.

Enten fordi oplysninger ikke har været godt nok sikret mod hackerangreb, eller fordi myndighederne ligefrem selv har gjort fortrolige data tilgængelige for personer, der ikke burde have haft adgang. Men modsat Sverige, så har ingen af de mange danske skandaler fået nævneværdige konsekvenser.

Netavisen Pio har samlet ti eksempler på IT-skandaler i Danmark:

1. Politikere fik kodeord lækket
I april 2017 kom det frem, at hvert fjerde medlem af Folketinget har fået lækket deres e-mail adresser og kodeord til internettjenester som eksempelvis Dropbox og LinkedIn. Oplysningerne er angiveligt blevet stjålet af hackere for flere år siden. Dermed kan fremmede altså logge ind og læse private korrespondancer og finde private dokumenter. Også ansatte i Forsvarets Efterretningstjeneste var ramt. Ifølge Jyllands-Posten, så havde Folketingets IT-afdeling, der skulle stå for sikkerheden, ikke orienteret politikerne om lækagen, før deres oplysninger var at finde på internettet.

2. SKAT lækker borgeres skatteoplysninger
SKAT har haft sin store del af IT-skandaler. Og også når det kommer til datasikkerhed, kan SKAT være med. I marts 2017 kunne SKAT i en pressemeddelelse fortælle, at en fejl i SKATS TastSelv-system har betydet, at 140 danskeres skatteoplysninger har været tilgængelige for andre. SKAT måtte efterfølgende lukke ned for adgangen til TastSelv, mens de ansvarlige for fejlen, IT-leverandøren CSC, arbejde på at rette den.

3. Rejsekortet lækkede hemmelige adresser
Rejsekortet har også nået at få sin lækageskandale. I august 2016 måtte selskabet bag rejsekortet erkende, at der i forbindelse med en softwareopdatering var sket en fejl, så blandt andet navn og adresse på kunderne lå frit tilgængeligt på internettet. Det gjaldt også kunder med hemmelig adresse. Der gik næsten halvanden måned før fejlen blev rettet.

4. Fem millioner danskeres sundhedsdata til Kina
I juli 2016 blev havnede et brev med sundhedsdata på over fem millioner danskere hos det kinesiske firma Chinese Visa Application Centre. Brevet var afsendt af Statens Serum Institut til Danmarks Statistik, men blev ved en fejl afleveret hos det kinesiske firma. Det behøvede ikke at være nogen katastrofe, hvis det altså ikke lige var fordi, at Statens Serum Institut havde sendt oplysningerne i ukrypteret form på to CD-Rom. Alligevel lagde direktøren for Sundhedsdatastyrelsen, Lisbeth Nielsen, efterfølgende ansvaret for lækagen over på Post Danmark. Det var jo dem, der havde afleveret brevet det forkerte sted…..

5. Åben adgang til fortrolige patientjournaler
I marts 2016 kom det frem, at Region Hovedstaden ved en fejl har givet omkring 20.000 brugere adgang til patientjournaler med fortrolige oplysninger. Blandt andet havde tidligere ansatte, der ikke længere arbejdede i regionen, fortsat adgang til de fortrolige journaler. Desuden havde ansatte såsom portører, receptionister og lægesekretærer fået adgang til journalerne, ligesom læger og sygeplejersker havde adgang til samtlige journaler på sygehuset, og ikke kun til de patienter, de behandlede.

6. Læk på Copenhagen Buisiness School
I januar 2016 var det Copenhagen Buisiness School, der blev ramt af en IT-skandale. Personlige oplysninger om 1.100 af skolens elever var over en periode på ti timer tilgængelig på skolens hjemmeside. Ifølge Ekstra Bladet drejede det sig blandt andet om cpr-numre, pasoplysninger, karakterblade og sprogtest. Elever, der ønskede at komme på studieophold i udlandet, skulle indtaste de personlige oplysninger i en skabelon udarbejdet af det tyske IT-firma MoveOn, og det var oplysninger herfra, som pludselig var tilgængelige for en bred offentlighed.

7. Ministerium offentliggør 900.000 CPR-numre
Få uger senere var det så 900.000 danskeres tur til at få deres CPR-numre offentliggjort. Og denne gang var det ikke hackere, der stod bag offentliggørelsen, det var såmænd Økonomi- og Indenrigsministeriet. Ministeriet udsender en såkaldt Robinson-liste til virksomheder over danskere, der har valgt markedsføringsbeskyttelse og derfor ikke ønsker reklamer. Ved en fejl havde ministeriet ikke kun oplyst navne og adresser, men også CPR-numre på cirka 900.000 danskere. 18 virksomheder nåede at downloade listen, inden bristet blev opdaget. Fejlen lå hos IT-firmet CSC, der leverede filen med data. Ministeriet kunne dog have tjekket den, inden den blev lagt på hjemmesiden…..

8. 91 folketingspolitikeres CPR-numre lækket
Lige godt hver anden folketingspolitiker kunne i juni 2014 se sit CPR-nummer offentliggjort på internettet. Hackere påtog sig efterfølgende skylden for angrebet og erklærede, at lækket var en reaktion på, at Folketinget kort forinden havde vedtaget loven om Center for Cybersikkerhed, som ifølge hackerne udgjorde et på borgernes ret til privatliv. Derfor skulle politikerne heller ikke have ret til privatliv, lød logikken. Angrebet understregede dog snarere, at der var behov for at optrappe kampen mod cyberkriminalitet.

9. Kræftpatienters CPR-numre lagt på internettet
69 kræftpatienter fra Sygehus Lillebælt fik i 2014 deres CPR-numre offentliggjort på internettet. De 69 patienter var en del af et forskningsprojekt, og undervejs i projektet blev deres navne og CPR-numre ved en fejl lagt på internettet. Sygehuset måtte efterfølgende beklage håndteringen af de personfølsomme oplysninger over for patienterne og deres pårørende.

10. Personfølsomme oplysninger stjålet fra Rigspolitiet
I 2012 blev Rigspolitiet udsat for det, der er blevet kaldt Danmarkshistoriens værste hackerangreb. Hackere fik adgang til millioner af personfølsomme oplysninger gennem blandet andet Schengen-registret, kørekortregistret og CPR-registret. Hackerne havde ikke blot adgang til at læse data, men også til at ændre og slette dem. IT-firmaet CSC, der stod for sikkerheden (for tredje gang på den liste!), havde angiveligt valgt at opbevare de følsomme data på en webserver, der slet ikke var tilstrækkeligt sikret mod hackerangreb. Datatilsynet offentliggjorde i 2015 en redegørelse, der rettede uhørt hård kritik af Rigspolitiet for ”ikke at leve op til simple principper for it-sikkerhed.”