Det startede med en knæskade og en sag hos forsikringen om erstatning. Men det endte for Carina Christensen fra Vindblæs med, at hendes dybt personlige oplysninger havnede i de forkerte hænder.

- Mit CPR-nummer er jo klistret på alle de her papirer, og der er både for- og bagside, siger hun, mens hun bladrer gennem sin fem år gamle forsikringssag.

Den unge nordjyde fik en slem meniskskade efter en løbetur i 2016. Hendes forsikringsselskab afviste at dække skaden, fordi hun otte år tidligere fik et ømt knæ efter at have spillet fodbold.

Efter afslaget beder Carina forsikringsselskabet om at få sine sagsakter udleveret. Der går to måneder uden svar - indtil hun får en ubehagelig besked:

- Mit forsikringsselskab fortæller mig, at de har sendt mine oplysninger til en adresse, hvor vi boede for over tre år siden og til en vildt fremmed mand, som jeg ingen forbindelse har til, fortæller Carina Christensen.

- De har altså sendt mine journaler i et almindeligt brev, og det har jeg svært ved at forstå. Det er ikke særligt rart at opdage, siger hun.

Oplysninger skal beskyttes

Ifølge Datatilsynet skal sundhedsoplysninger i særlig grad beskyttes, fordi de kan blive misbrugt:

Sundhedsoplysninger er utroligt vigtige oplysninger, og det vi kalder følsomme oplysninger - altså oplysninger om helbredsforhold, som er undergivet særlig beskyttelse, forklarer kommitteret Birgit Kleis fra Datatilsynet.

Oplysningerne kan, siger hun, misbruges kommercielt af for eksempel medicinalindustrien. I de forkerte hænder kan sådanne oplysninger også resultere i, at forsikringsforhold kan ændre sig:

- I værste tilfælde kunne det misbruges til noget direkte kriminelt i forbindelse med afpresning eller lignende, siger Birgit Kleis.

I en sag som Carina Christensens er vi i den mere alvorlige ende, fordi forsikringsselskabet har sendt personfølsomme oplysninger i et almindeligt brev - og altså til en forkert person.

- Jeg håber, det er noget, forsikringsselskabet har meldt til Datatilsynet, efter at de er bekendt med sikkerhedsbruddet. For der er tale om et groft brud på reglerne, vurderer Birgit Kleis.

Se et udsnit af interviewet med Birgit Kleis, hvor hun taler om vigtigheden af sikkerhed omkring sundhedsoplysninger:

Skal melde lovbrud

Forsikringsselskabet har pligt til at anmelde deres brud på datasikkerheden indenfor 72 timer, efter at de er bekendt med deres fejl. Carina Christensen hørte dog ikke mere til sagen, før hun selv henvendte sig til forsikringsselskabet og rykkede for et svar. 

Det beklager forsikringsselskabernes brancheorganisation, Forsikring og Pension:

- Der kan jo ske fejl, og sker den type fejl, skal man jo indberette til Datatilsynet, at man er kommet til at sende personfølsomme oplysninger, siger Karina Ransby, der ikke kendte til sagen, da hun blev interviewet af TV2 Nord.

Havnet i det uvisse

Desuden indeholdt Carina Christensens forsikringssag flere journaloplysninger, som ikke var relevante for vurderingen af hendes meniskskade. Nu frygter hun, at hendes data er spredt for alle vinde:

- Det er jo ikke bare mit CPR-nummer. Der er jo også mange journaloplysninger fra læge og sygehus og udtalelser om mig – helt private oplysninger, som jeg nu ikke ved, hvor er havnet, siger Carina Christensen.

Carina Christensen har nu selv meldt sagen til Datatilsynet. Hendes forsikringsselskab har også meldt deres fejl - tre dage efter, at TV2 Nord bad dem om en forklaring.

Se hele indslaget om sagen herunder.