Alvorligt persondatabrud: Datalæk afslører alle medlemmer af Tandlægeforeningen

Illustration: studiostoks/Bigstock
Udover at lække følsomme persondata i form af tilhørsforhold til fagforeningen kan de mange private informationer om medlemmerne give tandlægerne problemer med utilfredse kunder, erkender foreningen.

Netop som de nye persondataregler er trådt i kraft står Tandlægeforeningen midt i en alvorlig sag om læk af følsomme persondata.

Hullet er lukket efter Version2s henvendelse til Tandlægeforeningen, og kursustilmeldingen flyttet til en lukket side med login. Men sådan her så det ud indtil lækket blev lukket. Illustration: Screendump

I fem år har det været muligt for udefrakommende at hive personlige informationer ud om samtlige 5.700 medlemmer af Tandlægeforeningen. Uden at logge ind og uden at kende til tandlægernes fulde navn.

Søgefeltet på foreningens kursus-side var lovligt gavmildt, når man indtastede dele af et navn, efternavn, mobilnummer eller en emailadrese.

Med et tryk på enter, listede den alle de personer, der passede på navnebidderne sammen med deres informationer.

På den måde kunne enhver med ganske få tastetryk få adgang til privatadresser, private telefonnumre, mailadresser, postnumre og sidst men ikke mindst; den indlysende information at de mange data tilhører en person, der er medlem af Tandlægeforeningen.

Medlemsskab af en fagforening er ikke alene almindelige persondata men såkaldt følsomme, som medfører skærpede krav til håndteringen:

»Det er jo følsomme personoplysninger! Ej come on guys. Det er simpelthen skuffende, det der,« udbryder den GDPR-specialiserede advokat Jacob Naur fra Hejm Advokater og fortsætter:

»Altså...fy for søren for deres vedkommende, hvis de ikke er sikre på, de har samtykke fra tandlægerne,« siger Jacob Naur og forklarer, at der er tale om en klokkeklar overtrædelse af Persondataloven og GDPR.

Og Tandlægeforeningen har ikke samtykke til offentliggørelse af informationerne.

Kæmpe fejl

Det var overhovedet ikke meningen, at alle kunne bruge, hvad foreningen selv beskriver som ‘en nem løsning’ til at søge informationer om alle foreningens medlemmer.

»Vi lægger os fladt ned her. Der er sket noget, der ikke er ok, og nu retter vi så ind,« siger Ole Marker, der som chef for foreningens efteruddannelser er glad for, at Version2 ringede og gjorde opmærksom på, at der er problemer.

Man kunne også bruge databasen til at krydse informationer og eksempelvis finde navne til telefonnumre eller mails.

Ifølge Version2’s oplysninger er foreningen blevet gjort opmærksom på problemerne for flere måneder siden.

»Jeg er ikke blevet informeret om det her tidligere,« lyder det dog fra Ole Marker.

Tandlægeforeningen er i skrivende stund ved at lave en anmeldelse til Datatilsynet. Og det er da også på sin plads, siger Jacob Naur.

»Det skal anmeldes, stoppes og alle dem, der kan være blevet berørt, skal informeres.«

Hullet lukket

Datalækket er nu lukket, men det skete først efter flere samtaler med Version2.

Den eneste direkte form for sikkerhed var, at hvis man indtastede noget, der gav mere end ti resultater, fik man dem ikke vist. En scriptet bot ville derfor ikke få noget ud af ‘Hansen’, men ville være nødsaget til at skrive ‘s Hansen’, ‘m hansen’ eller lignende for at indsamle informationerne.

Det ville imidlertid ikke være noget problem for botten, for den kunne prøve så mange gange, den havde lyst.

For søgefeltet på foreningens kursus-side var lovligt gavmildt, når man indtastede dele af et navn, efternavn, mobilnummer eller en emailadresse. Når man trykkede enter, listede den alle de personer, der passede på navnebidderne sammen med deres informationer.

»Vi har for at danne os et overblik hevet en log ud for de seneste dage, og der er websitet der har mulighed for at læse ned i databasen blevet brugt 104 gange fra 35 unikke ip-adresser,« siger Martin Reinholdt fra It Relations, der hoster foreningens løsninger. Dermed tyder det ikke på, at det er blevet misbrugt i den periode.

Når det er sagt har man ikke set på foreningens logs over de fem år, hvor løsningen har fungeret som i dag. Tandlægeforeningen har kun bedt It Relations om at gennemgå logs for tilgangen til websitet fra GDPR trådte i kraft den 25. maj til 30. maj.

Men Datalækket var også i strid med Persondataloven, der trådte i kraft tilbage i 2001, hvorfor der er sket ulovlige læk meget længere end de få dage siden GDPR trådte i kraft.

»Der er stor sandsynlighed for, at vi kommer til at kigge resten af logsne igennem. Jeg tror ikke, det er ikke slut her,« siger Martin Reinholdt.

Den overordentlig hjælpsomme søgefunktion var oprettet for nemheds skyld. Medlemmerne har selv efterspurgt muligheden for at tilmelde hinanden og hele klinikker på én gang, og medlemmerne har været glade for løsningen, understreger Ole Marker.

Kan give problemer for den enkelte tandlæge

De mange data kan ifølge Jacob Naur bruges til til at finpudse de mange dataregistre, der er om de fleste af os på databørserne.

Brud på persondatasikkerheden kan også medføre bøder helt op til 4 procent af den årlige omsætning eller 20 mio. euro.

Og i værste fald kan det også give problemer for den enkelte tandlæge, erkender Ole Marker

»Psykisk syge går også til tandlæge og vi har da tidligere haft medlemmer, der har oplevet problemer på deres privatadresser,« fortæller Ole Marker.

Blandt andet derfor har medlemmer tidligere frabedt sig at optræde på listerne, fortæller han.

Arbejdsgruppe skulle have løst problemerne

En arbejdsgruppe har i seks-syv måneder arbejdet med en række punkter, der ‘kunne være kritiske’ i forhold til GDPR, fortæller Ole Marker. Herunder netop kursustilmeldings-området, som nu potentielt har lækket data i årevis.

Men GDPR er for længst trådt i kraft - og problemerne er altså ikke løst endnu.

»Jeg ved at arbejdsgruppen har sikret mange forhold i relation til GDPR , men det lader til, at der er sket misforståelser i forhold til det her, som er overset, og det er selvfølgelig rigtig dumt,« siger Ole Marker.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Schmidt

Så vidt jeg har forstået, koster denne slags forseelser nu store bøder og erstatninger til de berørte.

Går systemet i gang af sig selv, når Tandlægeforeningen indrapporterer hændelsen til Datatilsynet, eller skal de skadelidte selv anmelde forholdet til myndighederne og/eller anlægge erstatningssag?

Martin Hoffmann

Det er jo tandlægernes egne data der evt. er blevet lækket.

Mjoh, men det er jo også en principiel sag.
Hvis det var sket for en fagforening ville man jo også kunne sige "Det er jo medlemmernes egne data der evt. er blevet lækket", selvom det kunne være flere hundrede tusinde medlemmer (eller hvor mange medlemmer den slags organisationer nu har).

Selvfølgelig kunne vi jo bare have sagt at enhver læk af data kan udløse erstatning til den berørte og lade det hele være op til civilt søgsmål, men det er ikke sådan man laver adfærdsregulerende lovgivning.
GDPR er jo netop indført for at give folk lidt bedre incitament til at beskytte data, ikke for at kompensere folk der er blevet ramt af en læk.

Log ind eller Opret konto for at kommentere