Cpr-numre på flere rettighedshavere indenfor musik har ligget i DR's systemer på en måde, så enhver via internettet har kunnet tilgå personoplysningerne.
Det afslører Google-søgninger, som Version2 har foretaget.
»Det er desværre korrekt, at der er cpr-numre blandt data i de filer, som du har fundet. Vi har fundet navn, adresse og cpr-numre på i alt 6 personer i filerne,« oplyser underdirektør for DR Teknologi Mikkel Müller i en mail sendt via DR's presseafdeling til Version2.
»Det er vi rigtigt kede af, og vi har straks efter, at vi blev opmærksomme på problemet sørget for at fjerne filerne og undersøge, hvordan det kan være gået til.«
Personoplysningerne har ikke har kunnet søges frem direkte af besøgende via DR's hjemmeside, understreger Mikkel Müller. For at finde oplysningerne har det krævet »en scanning på tværs af sitet«, som han formulerer det.
Version2 opdagede de blotlagte personoplysninger i forbindelse med Google-søgninger, der oprindeligt ikke var rettet specifikt mod DR.
Har ikke været i drift siden 2006
Mikkel Müller forklarer, at filerne med personoplysningerne stammer fra et gammelt system, som DR har anvendt til at rapportere til rettighedshaverne af musik, hvilke titler og kunstnere der er afspillet i DR.
»Systemet har ikke været i drift siden ca. 2006, og de pågældende filer er dannet tilbage i 1999-2000, så vidt vi kan se. Vi må konstatere, af filerne ikke har været beskyttet ordentligt, og de er ikke blevet fjernet i forbindelse med nedlukning af systemet, formentlig på grund af en menneskelig fejl,« står der i det skriftlige svar fra Mikkel Müller.
Han fortæller, at det ikke er muligt at komme yderligere til bunds i sagen, da det er så længe siden, og at DR ikke længere har medarbejdere, som kender det pågældende system.
En længere periode
Det er uvist, hvor længe filerne har været tilgængelige fra internettet. Eksempelvis om der har været adgang til dem siden årtusindskiftet.
»Vi kan desværre ikke sige noget sikkert om, hvor længe de har været tilgængelige. Filerne er dannet i 1999-2000, og det gamle system til rettighedsrapportering er lukket omkring 2006. Vi kan ikke afdække, hvilken adgangskontrol der har været dengang. Filerne burde under alle omstændigheder være blevet fjernet, da systemet blev lukket,« fremgår det af det skriftlige svar fra Mikkel Müller.
Han konkluderer på den baggrund selv, at filerne har ligget tilgængelige fra internettet i en lang periode. Mikkel Müller gætter på, at filerne er blevet indekseret af Google, mens koda-gramex-systemet var aktivt, altså op til omkring 2006. Og derfor har personoplysningerne kunnet søges frem via Google.
Hos DR vil man nu se på, hvad der kan gøres for at undgå, at personoplysninger på den måde bliver blotlagte. Mikkel Müller fortæller, at det blandt andet indebærer en generel scanning af DR-servere tilgængelige fra internettet at sikre, at der ikke skulle være andre forekomster af problemet.
»Vi er meget kede af, at de pågældendes persondata har været at finde i de gamle filer, og vi tager straks kontakt med de berørte for at forklare dem om baggrunden og undskylde denne hændelse,« oplyser Mikkel Müller.
DR er i øvrigt gået over til et rettighedsrapporteringssystem kaldet RAP version 2. Systemet rapporterer til Koda og Gramex med en XML-rapport. Denne rapport indeholder ikke cpr-numre, og den er beskyttet med login, og overførsel er krypteret, oplyser Mikkel Müller.