Alvorligt persondatabrud: Datalæk afslører alle medlemmer af Tandlægeforeningen

1. juni 2018 kl. 10:485
Alvorligt persondatabrud: Datalæk afslører alle medlemmer af Tandlægeforeningen
Illustration: studiostoks/Bigstock.
Udover at lække følsomme persondata i form af tilhørsforhold til fagforeningen kan de mange private informationer om medlemmerne give tandlægerne problemer med utilfredse kunder, erkender foreningen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Netop som de nye persondataregler er trådt i kraft står Tandlægeforeningen midt i en alvorlig sag om læk af følsomme persondata.

Hullet er lukket efter Version2s henvendelse til Tandlægeforeningen, og kursustilmeldingen flyttet til en lukket side med login. Men sådan her så det ud indtil lækket blev lukket.

I fem år har det været muligt for udefrakommende at hive personlige informationer ud om samtlige 5.700 medlemmer af Tandlægeforeningen. Uden at logge ind og uden at kende til tandlægernes fulde navn.

Søgefeltet på foreningens kursus-side var lovligt gavmildt, når man indtastede dele af et navn, efternavn, mobilnummer eller en emailadrese.

Artiklen fortsætter efter annoncen

Med et tryk på enter, listede den alle de personer, der passede på navnebidderne sammen med deres informationer.

På den måde kunne enhver med ganske få tastetryk få adgang til privatadresser, private telefonnumre, mailadresser, postnumre og sidst men ikke mindst; den indlysende information at de mange data tilhører en person, der er medlem af Tandlægeforeningen.

Medlemsskab af en fagforening er ikke alene almindelige persondata men såkaldt følsomme, som medfører skærpede krav til håndteringen:

»Det er jo følsomme personoplysninger! Ej come on guys. Det er simpelthen skuffende, det der,« udbryder den GDPR-specialiserede advokat Jacob Naur fra Hejm Advokater og fortsætter:

Artiklen fortsætter efter annoncen

»Altså...fy for søren for deres vedkommende, hvis de ikke er sikre på, de har samtykke fra tandlægerne,« siger Jacob Naur og forklarer, at der er tale om en klokkeklar overtrædelse af Persondataloven og GDPR.

Og Tandlægeforeningen har ikke samtykke til offentliggørelse af informationerne.

Kæmpe fejl

Det var overhovedet ikke meningen, at alle kunne bruge, hvad foreningen selv beskriver som ‘en nem løsning’ til at søge informationer om alle foreningens medlemmer.

»Vi lægger os fladt ned her. Der er sket noget, der ikke er ok, og nu retter vi så ind,« siger Ole Marker, der som chef for foreningens efteruddannelser er glad for, at Version2 ringede og gjorde opmærksom på, at der er problemer.

Artiklen fortsætter efter annoncen

Man kunne også bruge databasen til at krydse informationer og eksempelvis finde navne til telefonnumre eller mails.

Ifølge Version2’s oplysninger er foreningen blevet gjort opmærksom på problemerne for flere måneder siden.

»Jeg er ikke blevet informeret om det her tidligere,« lyder det dog fra Ole Marker.

Tandlægeforeningen er i skrivende stund ved at lave en anmeldelse til Datatilsynet. Og det er da også på sin plads, siger Jacob Naur.

»Det skal anmeldes, stoppes og alle dem, der kan være blevet berørt, skal informeres.«

Hullet lukket

Datalækket er nu lukket, men det skete først efter flere samtaler med Version2.

Den eneste direkte form for sikkerhed var, at hvis man indtastede noget, der gav mere end ti resultater, fik man dem ikke vist. En scriptet bot ville derfor ikke få noget ud af ‘Hansen’, men ville være nødsaget til at skrive ‘s Hansen’, ‘m hansen’ eller lignende for at indsamle informationerne.

Det ville imidlertid ikke være noget problem for botten, for den kunne prøve så mange gange, den havde lyst.

For søgefeltet på foreningens kursus-side var lovligt gavmildt, når man indtastede dele af et navn, efternavn, mobilnummer eller en emailadresse. Når man trykkede enter, listede den alle de personer, der passede på navnebidderne sammen med deres informationer.

»Vi har for at danne os et overblik hevet en log ud for de seneste dage, og der er websitet der har mulighed for at læse ned i databasen blevet brugt 104 gange fra 35 unikke ip-adresser,« siger Martin Reinholdt fra It Relations, der hoster foreningens løsninger. Dermed tyder det ikke på, at det er blevet misbrugt i den periode.

Når det er sagt har man ikke set på foreningens logs over de fem år, hvor løsningen har fungeret som i dag. Tandlægeforeningen har kun bedt It Relations om at gennemgå logs for tilgangen til websitet fra GDPR trådte i kraft den 25. maj til 30. maj.

Men Datalækket var også i strid med Persondataloven, der trådte i kraft tilbage i 2001, hvorfor der er sket ulovlige læk meget længere end de få dage siden GDPR trådte i kraft.

»Der er stor sandsynlighed for, at vi kommer til at kigge resten af logsne igennem. Jeg tror ikke, det er ikke slut her,« siger Martin Reinholdt.

Den overordentlig hjælpsomme søgefunktion var oprettet for nemheds skyld. Medlemmerne har selv efterspurgt muligheden for at tilmelde hinanden og hele klinikker på én gang, og medlemmerne har været glade for løsningen, understreger Ole Marker.

Kan give problemer for den enkelte tandlæge

De mange data kan ifølge Jacob Naur bruges til til at finpudse de mange dataregistre, der er om de fleste af os på databørserne.

Brud på persondatasikkerheden kan også medføre bøder helt op til 4 procent af den årlige omsætning eller 20 mio. euro.

Og i værste fald kan det også give problemer for den enkelte tandlæge, erkender Ole Marker

»Psykisk syge går også til tandlæge og vi har da tidligere haft medlemmer, der har oplevet problemer på deres privatadresser,« fortæller Ole Marker.

Blandt andet derfor har medlemmer tidligere frabedt sig at optræde på listerne, fortæller han.

Arbejdsgruppe skulle have løst problemerne

En arbejdsgruppe har i seks-syv måneder arbejdet med en række punkter, der ‘kunne være kritiske’ i forhold til GDPR, fortæller Ole Marker. Herunder netop kursustilmeldings-området, som nu potentielt har lækket data i årevis.

Men GDPR er for længst trådt i kraft - og problemerne er altså ikke løst endnu.

»Jeg ved at arbejdsgruppen har sikret mange forhold i relation til GDPR , men det lader til, at der er sket misforståelser i forhold til det her, som er overset, og det er selvfølgelig rigtig dumt,« siger Ole Marker.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
4. juni 2018 kl. 11:36

Det er jo tandlægernes egne data der evt. er blevet lækket.

Mjoh, men det er jo også en principiel sag. Hvis det var sket for en fagforening ville man jo også kunne sige "Det er jo medlemmernes egne data der evt. er blevet lækket", selvom det kunne være flere hundrede tusinde medlemmer (eller hvor mange medlemmer den slags organisationer nu har).

Selvfølgelig kunne vi jo bare have sagt at enhver læk af data kan udløse erstatning til den berørte og lade det hele være op til civilt søgsmål, men det er ikke sådan man laver adfærdsregulerende lovgivning. GDPR er jo netop indført for at give folk lidt bedre incitament til at beskytte data, ikke for at kompensere folk der er blevet ramt af en læk.

4
2. juni 2018 kl. 08:44

Eller menes der måske IT Relation?

3
1. juni 2018 kl. 21:40

Det er jo tandlægernes egne data der evt. er blevet lækket. Så de kan de bare sagsøge deres egen forening og så selv hoste op med erstatning til dem selv. Det er da helt hul i hovedet hvis folk oven i det skal betale bøder for at lække deres egne data. For mig lyder det som noget man kan klare internt blandt tandlægerne.

2
1. juni 2018 kl. 12:07

... anlægge erstatningssag?

IANAL, men svjv. så er der kun tale om bøder.

Hvis du mener, at du kan opgøre et tab, så det kan holde i byretten, så må du selv anlægge erstatningssag.

1
1. juni 2018 kl. 11:28

Så vidt jeg har forstået, koster denne slags forseelser nu store bøder og erstatninger til de berørte.

Går systemet i gang af sig selv, når Tandlægeforeningen indrapporterer hændelsen til Datatilsynet, eller skal de skadelidte selv anmelde forholdet til myndighederne og/eller anlægge erstatningssag?