En helt tilfældig person ved navn Anders modtager ufrivilligt adskillige følsomme mails fra folk, der fejlagtigt kommer til at sende deres mails til hans domæne (@)anders.dk i stedet for, eksempelvis, (@)randers.dk. Og det skaber en lind strøm af datalæk fra en lang række kilder.
Historien om domænet anders.dk starter helt tilbage i halvfemserne, da de danske domæner frigives. Anders Lorensen sidder klar, og køber domænet anders.dk få sekunder efter det sættes til salg.
Herefter opretter han en catch-all mailserver, der sørger for, at alle mails sendt til N.N@anders.dk, ender i Anders' indbakke. Det første stykke tid får Anders de mails, han skal have og ikke flere. Men så begynder de første hovsa-mails at tikke ind.
»Jeg har fået SÅ mange mails, der kunne bruges kriminelt på en eller anden måde. For eksempel har jeg fået en kvittering for et lejet sommerhus med kode til huset, samt detaljerede beskrivelser af, hvornår det står tomt,« fortæller 39-årige Anders Lorensen, der har været it-konsulent i en mindre it-virksomhed i 18 år.
»Jeg modtager også helt tilbage i 1999 en mail fra nogle, der er kommet i problemer på deres ferie til Hawaii, og som forsøger at kontakte nogle i Danmark for at gøre opmærksom på, at nogle af rejseledsagerne er på vej hjem før tid.«
‘Ellers har vi alle det godt, og er lige kommet hjem fra en bytur, der siger sparto. Vi er virkelig iblandt de unge, de rige og de smukke,’ står der også i den fejlsendte mail fra Hawaii.
Siden da er der kun kommet flere mails, nogle med langt mere dystre og følsomme emner.
Fik fyreseddel før den fyrede
Eksempelvis vidste Anders Lorensen, at der var en fyreseddel på vej til en medarbejder på en skole, før medarbejderen selv vidste besked;
‘Kære N.N.
Jeg må hermed desværre meddele dig, at skolen ser sig nødsaget til at opsige dig fra din stilling. Baggrunden for opsigelsen er (...)’, lød det blandt andet i en fejlsendt mail fra 2006.
Og det stopper ikke ved det.
Blandt så mange andre mails har Anders Lorensen fået en følsom mail fra Kriminalforsorgen om kontanthjælp til en anden Anders, der snart skal løslades fra et fængsel.
Imens beskriver en mail fra Skat i detaljer en kontanthjælpsmodtagers udestående, mens en anden, vred mail fra en forælder stiller spørgsmålstegn ved, om den pågældende skole i (R)Anders lever op til sit ansvar;
‘Vi må som forældre rette en alvorlig klage over de forhold, hvorunder vores datter, blandt andre elever, måtte skrive stil i dag. Det er simpelthen ikke i orden!
(...)
Vi fik en rystet og grædefærdig datter hjem i dag, N.N. 3 timers mareridt havde udspillet sig. (…) ALDRIG som forældre har vi oplevet noget lignende og må på det kraftigste overveje, om det er den rigtige skole for vores datter.’
Fælles for mange af de alvorlige hovsa-mails er, at de var stilet til medarbejdere i Randers Kommune, hvis e-mailadresser ender på @randers.dk. Glemmer man r’et, ja så ender posten hos Anders Lorensen.
Nogle af de dystre mails har Anders Lorensen høfligt sendt videre til den rigtige person hos Randers Kommune.
»Generelt er folk utaknemmelige, når jeg videresender mails. Det er de færreste, der overhovedet svarer,« siger Anders Lorensen
Inviteret til Anders Matthesens fødselsdag
Men det er ikke lutter ulykke, der rammer Anders Lorensens indbakke. Også en indstilling til Dronningens Fortjenstmedalje fra det daværende Økonomi- og Indenrigsministerium har lagt vejen forbi.
Og så er han blevet inviteret til fødselsdag.
»Anders Matthesens mor har i flere omgange sendt mig post, der ellers skulle være endt i hendes søns indbakke. Derfor er jeg blandt andet blevet inviteret til fødselsdag,« siger Anders Lorensen og griner.
Og selvom eksemplet er lidt morsomt, er der ikke noget at grine af privacy-mæssigt. Alle familiens mailadresser står listet som CC, og det er generelt for mange af hovsa-mailsne at de
Men hvem har ansvaret, når anders.dk bliver den ufrivillige modtager af alskens e-post?
Godt Anders modtager posten privat
Først og fremmest er Anders Lorensen ikke forpligtet til at læse og håndtere de fejlsendte mails. Han har nemlig modtaget dem mod sin vilje og ved et tilfælde, og derfor kan han ikke klandres for dén del.
Når det er sagt, skal han være glad for, at han ifølge ham selv modtager posten som privat og ikke bruger den til arbejde eller til en virksomhed.
Kun derfor er han nemlig ikke omfattet af persondataforordningen, som det er tilfældet for virksomheder, organisationer eller myndigheder. Det fortæller Jon Lauritzen, der er partner og advokat i Delacour, og som blandt andet har speciale i persondataret.
»Ikke desto mindre vil jeg klart råde Anders til at tilbagesende de mails, han åbner og finder ud af er fejlsendte. Derefter bør han slette både den oprindelige mail, men også hans svar, der ganske givet også indeholder den fejlsendte mail,« siger Jon Lauritzen.
Advokaten fortæller desuden, at Anders Lorensen ikke har pligt til at læse de mange mails, samt at så snart han åbner en mail og finder ud af, at der eksempelvis er tale om en fyreseddel, skal stoppe med at læse og sende den tilbage til afsender.
Hvis en fejlsendt mail ikke åbnes og måske drukner i indbakken er Anders Lorensen ikke ansvarlig for indholdet. Heller ikke, hvis den indeholder dybt personfølsomme informationer. Juridisk set har han nemlig først ansvar, fra han bliver bevidst om, at noget er i uorden.
»Hvis jeg var Anders Lorensen, så ville jeg lave et standardsvar til alle de her mails, som åbenlyst er sendt forkert,« siger Jon Lauritzen, der fortæller, at alle de gamle mail, Anders Lorensen har vist Version2 bør slettes øjeblikkeligt.
Der er nemlig intet juridisk belæg for at opbevare dem. Derudover skal afsender informeres om, at de er blevet slettet, så de ved, datalækket er begrænset til anders.dk.
Version2 vil på mandag bringe en særskilt artikel med et interview med Randers Kommune.