Har du fået en mail fra Dansk Journalistforbund i dag?
En lang række medlemmer har fået en mail, hvor de bliver opfordret til at tjekke, at deres personlige oplysninger er korrekte på forbundets nye hjemmeside. Det gør de via et engangs-login.
Problemet er, at en lang række medlemmer har fået et link, der giver dem adgang til at se og ændre et andet medlems personlige oplysninger. Og det er ulovligt, vurderer mediejurist Peter Lind Nielsen.
»Det er en overtrædelse af persondataloven. Der er tale om et system, der er sat forkert op, så der sker et brud på persondataloven,« siger Peter Lind Nielsen, som har speciale i det digitale område hos advokatfirmaet Bird & Bird.
En fejl, der ikke må ske
De oplysninger, som DJ har givet andre medlemmer adgang til, er eksempelvis adresse, mail, telefonnummer, arbejdsplads og medlemsnummer. Adgangskoden kunne også ændres.
»Det er oplysninger, man kan betragte som følsomme. Alene det, at man er medlem af en fagforening, kan betragtes som en følsom oplysning,« siger Peter Lind Nielsen.
Han fortsætter:
»Det er alvorligt, at en fagforening ikke har tjek på medlemsoplysninger og holder dem for sig selv.«
.@DJintweets Jeg har lige modtaget en mail med et “engangslogind” til en profil, der reelt tilhører Tine Godsk Hansen. Hvad er galt?
— Filip Wallberg (@fiwa) October 18, 2016
Ved ikke, hvor mange der er ramt
»Der er blevet sendt en mail ud, hvor man kan se et andet medlems data, telefonnummer, mail og så videre. DJ går enormt højt op i persondata, og derfor er det ekstra problematisk, at det lige sker for os. Det skal jeg være den første til at beklage over for medlemmerne,« siger han til Journalisten.
I første omgang valgte Dansk Journalistforbund at lukke journalistforbundet.dk. Hjemmesiden er nu online igen, men linket i de mange mails er deaktiveret.
Der er i dag sket en beklage fejl i en mailudsendelse til medlemmer af DJ. Mail er sendt til forkert modtager. Slet gerne mail.Vi beklager!
— DJ (@DJintweets) October 18, 2016
»Vores webbureau har fortalt mig, at der er sket en beklagelig fejl, og at de arbejder på højtryk for at finde ud af, hvad det er,« siger Troels Johannesen.
@fiwa @larswerge @ABThulstrup @MrsThoroe samme her. Jeg har fået adgang til @FieWest s konto.
— Christian Slot (@ChristianSlot) October 18, 2016
DJ har ikke overblik over, hvor mange medlemmer der er blevet ramt.
»Vi har fået at vide, at nogen har fået en rigtig mail, og vi har fået en hel del henvendelser fra folk, som har fået en forkert mail. Vi har simpelthen ikke overblikket endnu,« siger Troels Johannesen.
»Nu gør vi alt, hvad vi kan for at løse problemet og kommunikere med medlemmerne om, hvad der er sket,« fortsætter han.
Ansvaret skal placeres hurtigt
Dansk Journalistforbund lancerede for kun to uger siden et nyt stort digitalt univers til i alt 3,5 mio. kr., hvor journalistforbundet.dk blev relanceret.
I har lige lanceret et nyt stort digitalt univers. Burde der ikke være styr på det her?
»Jo. Jeg er skuffet over, at vores webbureau ikke har bedre styr på det. DJ’s medlemmer kan være sikre på, at vi tager en hurtig evaluering sammen med bureauet for at placere et ansvar, når det her er overstået.«
Troels Johannesen siger, at DJ ikke har haft tid til at vurdere den juridiske side af sagen endnu. Men det overrasker ham ikke, at mediejurist Peter Lind Nielsen vurderer, at forbundet har overtrådt persondataloven.
»Nej, det overrasker mig ikke. Og det ærgrer mig, fordi DJ netop går så meget op i persondata,« siger han.
Bureau påtager sig ansvaret
Hos DJ’s webbureau Reload påtager man sig ansvaret for fejlen.
»Vi påtager os det fulde ansvar. Den seneste time har vi haft fokus på at slukke ildebranden. Den er slukket nu, man kan ikke længere få adgang til forkerte data. Nu skal vi finde ud af, hvad der er sket. Der er sandsynligvis sket en menneskelig fejl et eller andet sted. Selv om vi har testet nogle ting, er der åbenbart gået noget galt alligevel. Det er selvfølgelig dybt beklageligt,« siger adm. direktør Rasmus Luckow-Nielsen til Journalisten.
Han fortæller, at Reload kan se, hvor mange der har åbnet mailen og klikket på linket.
»Vi kan se, at der er 732 medlemmer, der rent faktisk har nået at klikke på denne mail. Vi vil tro, at de fleste har fået forkerte informationer,« siger Rasmus Luckow-Nielsen.
Ekspert: Nu er der ikke meget at gøre
Peter Lind Nielsen siger, at problemet med krænkelser af persondataloven på nettet er, at det er svært at gøre om.
»Det store problem med brud på persondataloven er, at når oplysninger som disse først er lækket, er der ikke så meget at gøre,« siger han.
Så det er bad luck for medlemmerne?
»Ja, det er det.«
11 Kommentarer
Du skal være logget ind med dit DJ-login for at kunne kommentere på artiklen.
Fint at journalisten.dk skriver om fadæsen, men der er ikke et ord om det på forbundets hjemmeside endnu.
Jeg var en af dem, der modtog et forkert link. Jeg har selv orienteret den pågældende om, at jeg ved en fejl fik adgang til hans oplysninger, og samtidigt spurgt webmaster om, hvem der så har haft adgang til mine oplysninger. Men endnu ikke modtaget svar.
Det ville være ganske fint, hvis forbundet kan komme med en udmelding om, at vi kan forvente at blive kontaktet, hvis det forholder sig sådan, at andre har tilgået vores specifikke personfølsomme data.
Kære Jens og Lasse
Vi har været travlt beskæftiget med at få lukket ned for adgangen til MitDJ, så så få som muligt kunne nå at se data enten om sig selv eller et andet medlem. Vi har også haft helt lukket for tilgang til Journalistforbundet.dk. Nu er det oppe igen, og vi har fået lidt flere informationer. Der kan læses om sagen her: https://journalistforbundet.dk/nyhed/dj-beklager-fejl-i-mailudsendelse-fra-mit-dj
Som beskrevet i artiklen ovenpver, er der blevet logget ind på 732 profiler, hvor enten den rigtige eller det forkerte medlem har kunnet se kontaktinformation. Alle rettelser, der måtte være foretaget (rigtige eller forkerte) er nulstillet ligesom evt rettede passwords.
De 732 personer, der har været logget ind (rigtigt eller forkert) vil i morgen få en mail om, at der kan have været adgang til deres kontaktinformation på MitDJ.
Igen beklager vi fejlen.
Konklusionen må være: Jo færre steder man er medlem af noget, des mindre risiko for at ens personlige oplysninger smutter ud gennem et hul.
Spørgsmålet er så, om et medlemskab af DJ er risikoen værd.
Alene det at man modtager en mail fra sit fagforbund der indleder med " kære medlem" og ikke ens navn fik mig til at studse. Det plejer at være phishing mails der laver den slags.
Dernæst kunne jeg se at medlemsnummeret ikke var mit, men det er trods alt de færreste der går og husker deres medlemsnummer i hovedet.
Jeg reagerede som var det en phishingmail, det viste sig så bare at være et dårlig udrustet bureau der har udarbejdet det.
Måske man skulle finde et professionelt firma ?
Det her har åbenbart været for billigt eller haft for gode venner.
Flere