Sikkerhedsbrud hos Jobindex: Kan have videregivet brugeres beskyttede adresser

»Vi har begået en fejl, og det beklager vi.«

Sådan indleder Jobindex en email, der er sendt til alle jobportalens 130.000 potentielt berørte brugere, hvor der orienteres om, at virksomheder kan have haft adgang til brugeres personoplysninger, uden at der har været givet samtykke til det.

Jobindex informerede nemlig aldrig sine brugere om en 10 år gammel praksis, hvor de virksomheder, der er kunder hos Jobindex, har kunnet tilgå de personoplysninger, som brugerne indtaster i forbindelse med, at de blev opfordret til at søge relevante jobs af Jobindex’ rekrutteringskonsulenter.

Her fik brugerne blot besked om, at »de vil blive delt med Jobindex A/S«, fremgår det af jobportalens egen anmeldelse af sikkerhedsbruddet til Datatilsynet, som Version2 har fået aktindsigt i.

Det fremgår af anmeldelsen, at den uretmæssige videregivelse af personoplysninger har stået på siden 2009.

»Vi har ikke fået informeret vores brugere tydeligt nok. Det skulle vi selvfølgelig have gjort. Det er en fejl, og det er vi kede af,« siger administrerende direktør i Jobindex, Kaare Danielsen, til Version2.

Siden 20. februar 2009 har rekrutteringskonsulenter i Jobindex på vegne af jobportalens kunder, altså virksomhederne, kontaktet brugere med et CV i Jobindex’ database og opfordret dem til at sende jobansøgninger til virksomheder.

I den forbindelse har brugerne udfyldt en formular, hvor de kan svare tilbage, om de er interesseret i jobbet eller ej og bedt om at udfylde deres personlige oplysninger såsom navn, adresse og telefonnummer.

Havde ikke tænkt over hemmelig adresse

Personer med beskyttet navn og adresse kan derfor have udfyldt formularen i den tro, at det kun var Jobindex, der havde adgang til oplysningerne - en problemstilling som Jobindex selv fremhæver i anmeldelsen til Datatilsynet.

Men ifølge direktør Kaare Danielsen har man ikke mulighed for at se, om det er tilfældet, så man specifikt kan underrette berørte brugere med hemmelig adresse.

»Vi kan ikke vide, hvem I vores database der har hemmelig adresse, og vi havde ikke tænkt over, at den oplysning kunne være problematisk,« siger Kaare Danielsen, der tilføjer, at man altid har gået ud fra, at folk ikke ville opgive deres hemmelige adresse.

»Men det kan vi ikke være sikre på. Så derfor er vi nu gået over til, at vi ikke viser adressen til arbejdsgiverne. Og det burde vi naturligvis have tænkt over noget før.«

Umuligt at identificere de berørte

Han oplyser til Version2, at Jobindex ikke har mulighed for at identificere, hvem eller hvor mange personer, som fejlen har berørt, fordi det ikke er blevet logget, hvilke besvarelser kunderne har kigget på.

Sponseret indhold

V2 Briefing | GENERATIV AI: Sådan bruger du det professionelt

Kunstig Intelligens

Derfor har Jobindex været nødsaget til at sende en email ud til 130.000 brugere, som de på nuværende tidspunkt har modtaget 150 henvendelser på.

»Der har været positive iblandt, men langt størstedelen udtrykker utilfredshed og bekymring, og nogle få er meget negative,« siger Kaare Danielsen.

»Men overordnet set synes jeg, at brugerne har taget det rigtigt pænt, så vi regner ikke med, at det kommer til at betyde noget for tilliden mellem os og vores brugere. Vi er selvfølgelig kede af det, men har rettet op, så systemet fungerer, som det skal.«.

Jobindex rettede fejlen 6. februar 2020, så tidligere besvarelser, kommentarer og kontaktoplysninger ikke længere er tilgængelige for virksomhederne, og så vil der i stedet for den præcise adresse i fremtiden kun fremgå brugerens postnummer og by.

Rettelse: Tidligere stod der i artiklens indledning, at: »Sådan indleder Jobindex en email, der er sendt til alle jobportalens 130.000 brugere«. Jobindex har omkring 800.000 brugere i alt, så der er rettet i teksten, så det nu fremgår, at Jobindex har sendt en mail de »potentielt berørte« brugere.