Journalistforbund blotlægger medlemmers personoplysninger

18. oktober 2016 kl. 14:063
Via en mail fra Dansk Journalistforbund har et ukendt antal medlemmer fået adgang til andre oplysninger.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Opdateret 14:30

Den journalistiske fagforening Dansk Journalistforbund har her til eftermiddag sendt en mail ud til forbundets medlemmer, der via et link har givet uvedkommende adgang til medlemmers oplysninger.

Version2 er bekendt med to tilfælde - alene blandt medarbejdere hos Mediehuset Ingeniøren, som Version2 hører under - hvor dette er sket. I begge tilfælde har uvedkommende kunnet få adgang til to forskellige medlemmers oplysninger.

Version2 har været i kort kontakt med Dansk Journalistforbund, som oplyser, at man er bekendt med, at der er et problem, men at man endnu ikke er klar med en egentlig kommentar i forhold til, hvad der er sket, før sagen er undersøgt nærmere.

Artiklen fortsætter efter annoncen

Den umiddelbare opfordring til medlemmerne fra forbundet er at slette den tidligere udsendte mail.

For kort tid siden var danskjournalistforbund.dk ikke tilgængelig, men siden lader til at være oppe igen.

Af mailen, der er sendt rundt, fremgår det, at det nu er muligt at logge ind på selvbetjeningssiden 'Mit DJ' på en ny hjemmeside. Herefter står der, at 'du logger på ved at klikke på dette link':

Og så følger et link, hvor ordene 'user' og 'reset' indgår.

Et klik på linket har i de to tilfælde, som Version2 er bekendt med, ført to medlemmer af journalistforbundet videre til to andre medlemmers personlige side på danskjournalistforbund.dk

En følsom personoplysning

Af den personlige side fremgår blandt andet stilling, medlemsnummer, adresse, mail samt et eller flere telefonnummer på medlemmet.

Et tilhørsforhold til en fagforening regnes ifølge Datatilsynet for en følsom personoplysning på linje med oplysninger om for eksempel helbredsforhold eller strafbare forhold. Det står at læse på tilsynets hjemmeside.

Det vides i skrivende stund ikke, hvor mange af Dansk Journalistforbunds medlemmer, der har fået adgang til hinandens oplysninger.

Såvidt Version2 har erfaret, har et klik på linket i mailen ikke i alle tilfælde givet adgang til andres oplysninger.

Det kan muligvis hænge sammen med, at journalistforbundet har fået lukket ned for fejlen efter mailen er sendt ud, og altså inden alle har nået at klikke på linket.

Af Dansk Journalistforbunds hjemmeside fremgår det, at organisationen repræsenterer 17.800 medlemmer.

På Twitter fortælller Dansk Journalistforbund, at nogle medlemmer har modtaget en mail med det rigtige link, mens andre har modtaget en mail med et forkert link - et link som altså har givet adgang til andre medlemmers oplysninger. Desuden oplyses det, at ændringer i medlemsdata for de seneste 24 timer annulleres.

Remote video URL
Remote video URL

732 medlemmer har nået at klikke

Fagbladet Journalisten har været i kontakt med journalistforbundets webbureau Reload, som påtager sig ansvaret for fejlen.

»Vi påtager os det fulde ansvar. Den seneste time har vi haft fokus på at slukke ildebranden. Den er slukket nu, man kan ikke længere få adgang til forkerte data. Nu skal vi finde ud af, hvad der er sket. Der er sandsynligvis sket en menneskelig fejl et eller andet sted. Selvom vi har testet nogle ting, er der åbenbart gået noget galt alligevel. Det er selvfølgelig dybt beklageligt,« siger adm. direktør Rasmus Luckow-Nielsen til Journalisten.

Han fortæller, at Reload kan se, hvor mange, der har åbnet mailen og klikket på linket.

»Vi kan se, at der er 732 medlemmer, der rent faktisk har nået at klikke på denne mail. Vi vil tro, at de fleste har fået forkerte informationer,« siger Rasmus Luckow-Nielsen til Journalisten.

Fagbladet har desuden talt med Peter Lind Nielsen, som har speciale i det digitale område hos advokatfirmaet Bird & Bird. Han bekræfter, at medlemskab af en fagforening kan betragtes som en følsom oplysning.

»Det er oplysninger, man kan betragte som følsomme. Alene det, at man er medlem af en fagforening, kan betragtes som en følsom oplysning,« siger Peter Lind Nielsen til Journalisten.

Troels Johannesen, kommunikationschef hos Dansk Journalistforbund, har sendt en opfølgende mail til Version2.

»Det er en systemfejl, der ikke må ske, når nogle medlemmer kan se andres kontaktinformation. Vores webbureau har taget ansvaret for fejlen, og vi skal nu have en alvorlig dialog med dem om, hvordan det kunne ske, så det aldrig sker igen,« står der i det skriftlige svar fra Troels Johannesen, som fortsætter:

»I DJ har vi stor opmærksomhed på persondatasikkerhed, og derfor er det ekstra problematisk, at det her sker. Det må aldrig ske, og det vil vi bede vores webbureau om en forsikring mod.«

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
19. oktober 2016 kl. 15:38

"For hvis vi gjorde, var det aldrig sket. Hverken første eller anden gang."

Burde dette ikke have været det sande svar?

2
19. oktober 2016 kl. 14:20

Vi er i Reload rigtig kede af episoden, og jeg kan kun beklage de gener, det måtte have haft for de personer, som er blevet ramt af dette. Vi tager dette meget alvorligt og gør alt, hvad vi kan for at rette op, så det ikke sker igen. Vi har skrevet en redegørelse som forklarer detaljeret, hvad der er sket, og hvilken data der er blevet eksponeret - den kan læses her: https://files.reload.dk/Redegoerelse-DanskJournalistforbundUdsendelseAfPersonfoelsommeData.pdf

Mvh Rasmus

1
18. oktober 2016 kl. 23:07

Pinligt nok led deres første system af en værre fejl, hvor det var nemt at downloade hele databasen, inklusive beskyttede adresser og telefonnumre mm. Der var simpelthen link med medlemsnumre, så der frit kunne snages oh ændres. Allerede et år efter at jeg havde påpeget dette, fik de lukket for hullet!

Det aktuelle tilfælde ser ud til at være en tilsvarende ordinær fejl, hvor udtrækket fra databasen har rykket sig et nummer, så jeg fik tilsendt adgangskoder for den forrige i rækkefølgen. God praksis hos mere rutinerede IT-folk er vel altid at sende en kort prøveserie ud først, så man ser om kodningen virker...