Det er et noget andet billede af virkeligheden, som direktør i Kræftens Bekæmpelse Jesper Fisker onsdag tegner i Københavns Byret, end det, som Datatilsynet tegnede i efteråret 2021, da det politianmeldte foreningen.

For hvor tilsynet i sin tid talte om, at kræftsyge borgeres følsomme oplysninger blev tilgængelige for uvedkommende, så er forklaringen fra Jesper Fisker, at der mestendels var tale om mailadresser på ansatte i foreningen, personnumre og nogle allerede publicerede artikler. 

Kræftens Bekæmpelse er i sagen under anklage for brud på EU’s databeskyttelsesforordning, også kendt som gdpr. Og står det til Datatilsynet bør foreningen idømmes en bøde på 800.000 kroner. 

Sagen drejer sig om en periode på to år fra sommeren 2018 og frem. Her var datasikkerheden – eller mangel på samme – i Kræftens Bekæmpelse på et niveau, som ifølge myndighederne var under al kritik. 

I perioden lykkedes det flere gange for hackere at få adgang til ansattes brugerkonti og på den måde få adgang til forskellige oplysninger. Samtidig blev foreningen offer for to indbrud, hvor 11 bærbare computere blev stjålet. 

Jesper Fisker fortæller, at han allerede da han i juni 2018 satte sig i direktørstolen blev opmærksom på, at it-sikkerheden ikke just var i top. De ansattes computere var gamle, it-afdelingen var lille, og der var ikke megen fokus på datasikkerhed. 

Men det kom der fra august 2018 og frem, da organisationen blev ramt af tre hackerangreb og to tyverier af i alt 11 bærbare computere. 

”Jeg synes ikke, at vi sad på hænderne. Vi tog det alvorligt,” lyder det fra Jesper Fisker. 

Der skulle dog gå mere end et år, før foreningen besluttede at indføre en række tiltag, herunder såkaldt multifaktorgodkendelse, også kaldet MFA. Det skete i januar 2020. 

Men inden man nåede at indføre det, blev Kræftens Bekæmpelse ramt af to hackerangreb. 

Kræftens Bekæmpelse har indberettet alle hændelser til Datatilsynet, og ironisk nok er det på baggrund af indberetningerne, at sagen er opstået. Og da Datatilsynet politianmeldte foreningen i september 2021, var kritikken hård. 

”Når kræftsyge borgere betror deres helbredsoplysninger til andre, skal de kunne være trygge ved, at der bliver passet ordentligt på dem. I dette tilfælde har vi ikke kun set enkeltstående smuttere, men flere alvorlige brud, der faktisk kunne være undgået gennem ret basale tiltag,” lød det dengang fra Allan Frank, der er it-sikkerhedsspecialist og jurist i Datatilsynet. 

Pia Voldmester, som er advokat for Kræftens Bekæmpelse, dokumenterer i retten, at tilsynet i et udkast direkte havde nævnt, at det blandt andet var oplysninger som patientjournaler. Den passus udgik imidlertid i den endelige pressemeddelelse. 

Og den tiltale, der er rejst af anklagemyndigheden, nævner intet om, at netop sådanne oplysninger skulle være blevet kompromitteret – og det er også det, som Jesper Fisker forklarer. 

”Vi fører jo ikke journaler, som man gør hos den praktiserende læge og på sygehusene. Vi er slet ikke den type organisation,” siger han fra rettens vidneskranke. 

Hvorvidt Kræftens Bekæmpelse har handlet i strid med loven, og hvorvidt det skal straffes, og hvorvidt en eventuel bøde skal være på 800.000 kroner, bliver først afgjort til efteråret. 

Retten skal bruge endnu en dag i september til at behandle sagen, hvorefter den bliver optaget til dom.