DOGE-ansat forlod Social Security med 300 mio. borgeres data på USB
En DOGE-medarbejder kopierede hele den amerikanske Social Security-database til et USB-drev og planlagde at dele den med sin private arbejdsgiver. Sagen afslører et massivt datasikkerhedssvigt.
En medarbejder fra Elon Musks DOGE-organisation kopierede angiveligt hele den amerikanske Social Security-database – med personnumre på over 300 millioner borgere – til et USB-drev og planlagde at dele den med sin private arbejdsgiver. Det afslører Washington Post i en ny rapport, der tegner billedet af hvad der kan blive historiens største datalæk fra en offentlig myndighed.
Hvad skete der hos Social Security?
I februar 2025 ankom et hold af unge DOGE-ansatte til Social Security Administration (SSA) i USA. Holdet blev ledet af hedgefund-manageren Scott Coulter og inkluderede blandt andre den 21-årige programmør Akash Bobba og den 24-årige Cole Killian. De fik ekspederet sikkerhedsgodkendelser og adgang til nogle af de mest følsomme databaser i den amerikanske stat.
Det gik hurtigt galt. Ifølge retsdokumenter og whistleblower-udsagn fra SSAs Chief Data Officer Chuck Borges skete følgende:
Marts 2025: En krypteret fil med 1.000 borgeres navne og adresser blev sendt til Department of Homeland Security uden tilladelse. DOGE-ansatte begyndte at dele data via ikke-godkendte tredjepartsservere.
Marts 24: En ansat søgte i hoveddatabasen med alle SSN-numre – på trods af at en føderal dommer syv dage forinden havde blokeret DOGE's adgang. To ansatte kommunikerede med en politisk advocacy-gruppe om at krydsreferere vælgerregistreringer med statsborgerskabsdata for at "finde bevis for valgsvindel."
Marts 2026: Washington Post afslører at en DOGE-medarbejder kopierede den såkaldte Numident-database (alle SSN-numre) og Master Death File til et USB-drev med planer om at dele det med sin private arbejdsgiver.
Hvem er personerne bag?
Akash Bobba, 21 år, skabte en dataanalyse der hævdede at over 12 millioner mennesker over 120 år stadig modtog ydelser fra SSA. Elon Musk tweetede analysen som "bevis for vampyr-svindel" i systemet. Problemet? Analysen var fejlagtig – den forvekslede døde borgere der stadig stod i registret med aktive modtagere.
Antonio Gracias, en private equity-investor tilknyttet DOGE, brugte adgangen til SSA-data til at fremføre påstande om valgsvindel. Og Aram Moghaddassi, en DOGE-ingeniør, blev senere udnævnt til co-CIO for hele SSA – uden traditionel sikkerhedsgodkendelse.
Chuck Borges, SSAs Chief Data Officer, forsøgte at stoppe overtrædelserne indefra. Han blev senere tvunget til at trække sig – ifølge ham selv som gengældelse for sine whistleblower-indberetninger. Department of Justice har siden bekræftet at DOGE-ansatte håndterede data ulovligt.
Konsekvenserne er allerede mærkbare
Ca. 5.500 erfarne SSA-medarbejdere er blevet fyret eller har forladt organisationen. Hundredtusinder af amerikanere har søgt om førtidspension af frygt for at miste deres ydelser. Moderniseringsprojekter hos SSA er stoppet. Og domstolene har pålagt sletning af ulovligt tilgåede data – men det er uklart om det faktisk er sket.
Derfor kunne det ikke ske i Danmark
For danske læsere er det værd at stille spørgsmålet: Kunne det ske her? Det korte svar er nej – i hvert fald ikke lovligt.
GDPR giver EU-borgere en beskyttelse der simpelthen ikke eksisterer i USA. Specifikt:
Formålsbegrænsning: Data indsamlet til ét formål (udbetaling af pension) må ikke bruges til et andet (eftersøgning af valgsvindel). DOGE ville have overtrådt artikel 5(1)(b) før de overhovedet begyndte.
Dataminimering: At kopiere en hel database med 300 millioner borgeres personnumre til et USB-drev ville udløse øjeblikkelig sanktion. GDPR kræver at du kun tilgår de data der er nødvendige for den specifikke opgave.
Ansvarlighed og logning: Enhver adgang til følsomme persondata i danske offentlige systemer logges og auditeres. En 21-årig uden sikkerhedsgodkendelse ville aldrig få direkte adgang til CPR-registret.
Bøder: Op til 4% af global omsætning eller 20 millioner euro. For en organisation som DOGE ville det betyde alvorlige konsekvenser.
Danmark har desuden en stærk whistleblower-lovgivning der beskytter folk som Chuck Borges. Den danske whistleblowerlov fra 2021 forbyder gengældelse og kræver at virksomheder og myndigheder har interne kanaler til indberetning.
Hvad danske virksomheder kan lære
Selvom DOGE-sagen er ekstrem, indeholder den lektioner for enhver organisation der håndterer persondata:
Adgangskontrol er ikke valgfrit. Ekspederede sikkerhedsgodkendelser og bred databaseadgang til udefrakommende er opskriften på et datalæk. Zero trust-principper eksisterer af en grund.
USB-drev er stadig en trussel. I en tid med cloud-fokuseret sikkerhed glemmer mange organisationer de fysiske angrebsvektorer. SSA-sagen viser at et simpelt USB-drev kan kompromittere 300 millioner borgeres data.
Whistleblowers er din bedste forsvarslinje. Chuck Borges opdagede overtrædelserne og rapporterede dem. Uden ham ville omfanget muligvis aldrig være kommet frem. Organisationer der straffer whistleblowers mister deres vigtigste sikkerhedsmekanisme.
Reddit-reaktionen
Historien eksploderede på Reddit's r/technology med tusindvis af upvotes. Kommentarerne afspejler en dyb frustration: "Det er ikke et datalæk – det er tyveri," skriver en bruger. Andre påpeger ironien i at DOGE, som blev skabt for at finde offentligt spild, selv er ansvarlig for hvad der kan blive det dyreste sikkerhedsbrud i amerikansk historie.
Flere Reddit-brugere med baggrund i IT-sikkerhed påpeger at der i enhver normal virksomhed ville falde fyresedler og retssager for langt mindre. "Hvis jeg kopierede min virksomheds kundedatabase til et USB-drev, ville jeg blive anholdt," bemærker en kommentar med over tusind upvotes.
Hvad sker der nu?
To DOGE-ansatte er henvist til federal tilsynsmyndighed for potentielle overtrædelser af Hatch Act (forbud mod at bruge en offentlig stilling til politisk aktivitet). Retssager om datadeling er stadig i gang. Og kongressen overvejer ny lovgivning om databeskyttelse – inspireret af netop denne sag.
For Europa er sagen endnu et argument for den reguleringsmodel vi allerede har valgt. GDPR er ikke perfekt, og det er besværligt at implementere. Men alternativet – at lade 21-årige kopiere 300 millioner borgeres data til USB-drev uden konsekvenser – er objektivt værre.
Kilder
- Washington Post – DOGE member took Social Security data on a thumb drive
Oprindelig afsløring af USB-drev hændelsen.
washingtonpost.com/politics/2026/03/10/social-security-data-breach-doge-2/ - Government Executive – The untold saga of DOGE at Social Security
Komplet tidslinje over DOGE's aktiviteter hos SSA.
govexec.com/management/2025/09/untold-saga-what-happened-when-doge-stormed-social-security/407948/ - NPR – How DOGE improperly accessed and shared Social Security data
DOJ's bekræftelse af ulovlig datahåndtering.
npr.org/2026/01/23/nx-s1-5684185/doge-data-social-security-privacy - PBS NewsHour – Whistleblower responds after DOJ confirms DOGE mishandled data
Chuck Borges' whistleblower-perspektiv.
pbs.org/newshour/show/whistleblower-responds-after-doj-confirms-doge-mishandled-social-security-data - Reddit r/technology – Diskussionstråd
Community-reaktioner og IT-faglige perspektiver.
reddit.com/r/technology/comments/1rsflpu/a_doge_bro_allegedly_walked_out_of_social/
Kilde: Reddit r/technology
Sidst opdateret: 13. marts 2026 kl. 11.58