search

»Jeg kan godt forstå, at folk undrer sig over, hvorfor vi to gange laver fejl«

DJ beklager, at private oplysninger om flere hundrede medlemmer er blevet delt med et andet medlem ved en fejl. Det er anden gang på tre uger, der sker fejl med persondata i DJ. »DJ tager persondata-sikring meget alvorligt, og derfor er det ekstra problematisk, at der sker sådan to fejl«

I dag har Dansk Journalistforbund skrevet til 732 medlemmer og beklaget, at forbundet i går ved en fejl kan have delt deres personlige data med et andet medlem.

Ifølge forbundets webbureau Reload har de fleste af de 732 oplevet, at et andet medlem af forbundet har fået adgang til privatdata som navn, adresse, telefonnummer, mail og medlemskab af specialgrupper og kredse.

Mediejurist Peter Lind Nielsen vurderede over for Journalisten i går, at DJ dermed har overtrådt persondataloven.

I aftes sendte Reload en redegørelse til DJ, hvor de forklarede fejlen. Her står, at årsagen var en menneskelig fejl fra en udvikler hos Reload.

Menneskelige fejl sker, men hvordan kan så alvorlig en fejl ikke blive opdaget hos jer, før I faktisk sender de 18.000 mails ud?

»Det er også beklageligt. Vi har ikke fanget fejlen, det er simpelthen gået for stærkt. Vi har faktisk beskrevet meget minutiøst, hvad der skal testes i sådan en situation, både hos os og hos kunden. Men det er gået lidt for hurtigt i begge ender. Man kunne have håbet, at DJ havde fanget det, men i sidste ende er det vores ansvar, at der testes korrekt,« siger Rasmus Luckow-Nielsen, adm. direktør i Reload.

Hvem har ansvaret?

Tirsdag tog Rasmus Luckow-Nielsen på vegne af Reload »det fulde ansvar« for fejlen i et interview med Journalisten.

I redegørelsen, som Reload har lavet til DJ, beskrives årsagen:
”Den primære årsag til, at fejlen kunne opstå, er en menneskelig fejl. Udvikleren, der har været ansvarlig for denne del af systemet, har ikke fået gennemtestet funktionaliteten tilstrækkeligt med et forløb, der involverede udsendelse til mere end én bruger,” lyder det.

Redegørelsen fortsætter:
”Fejlen er desværre heller ikke blevet fundet af den efterfølgende test hos DJ. Dette på trods af, at et forløb med flere modtagere er beskrevet som en del af testscenariet.”

Rasmus Luckow-Nielsen uddyber:

»Der er stadig ingen tvivl om, at vi har hovedansvaret. Men vi har en proces, hvor både vi og kunden tester, og i det konkrete tilfælde havde vi beskrevet ret grundigt, hvordan det skulle ske. Problemet er, at hverken vi eller kunden har fulgt de trin, der var beskrevet. Da vi fulgte dem i går, kunne vi faktisk genskabe fejlen,« siger han til Journalisten.

Hos Dansk Journalistforbund mener kommunikationschef Troels Johannesen, at DJ har testet godt nok.

Der står i redegørelsen, at fejlen ”desværre heller ikke (er) blevet fundet af den efterfølgende test hos DJ. Dette på trods af, at et forløb med flere modtagere er beskrevet som en del af testscenariet”. Er det rigtigt forstået, at DJ har et medansvar for, at det gik galt?

»Generelt har vi et medansvar, når vores medlemmer bliver udsat for det her. Men det er min klare overbevisning, at den fejl, der er sket, ville have været meget svær for os at finde i testen på grund af et kompliceret setup.«

Handler det om, at DJ ikke har testet godt nok?

»Jeg mener, vi har testet på den måde, det er beskrevet, at vi skal. Men det er en kompliceret fejl, som ikke er lige til at finde. Man kan godt have testet uden at finde fejlen,« siger Troels Johannesen.

Skal have en alvorssnak

Fejlen er sket i forlængelse af, at DJ har lanceret et nyt digitalt univers til 3,5 mio. kr. og i den forbindelse relanceret forbundets hjemmesider, herunder journalistforbundet.dk.

Hvilke konsekvenser får fejlen for DJ’s samarbejde med Reload?

»Det er klart, at vi skal have en alvorssnak med Reload. Det er en fejl, der ikke må ske. Det ved man godt i Reload, som også har taget ansvaret på sig. Men vi skal have en alvorssnak om, at de funktionaliteter, de laver for os – generelt, og særligt når der udveksles data – skal være helt i orden og uden fejl,« siger Troels Johannesen.

Nogle DJ-medlemmer har hemmelig adresse, som andre nu kan have fået adgang til. Gør I noget særligt i den henseende, for eksempel kontakter dem særskilt?

»Ikke på nuværende tidspunkt. Jeg har ikke hørt fra nogen af de 732 direkte berørte, at de har adressebeskyttelse, men jeg hører gerne fra dem, og så må vi tage dialogen derfra,« siger Troels Johannesen.

Reload: Første gang det sker

Hos Reload fortæller Rasmus Luckow-Nielsen, at fejlen får konsekvenser for måden, bureauet arbejder med følsomme oplysninger.

»Vi har besluttet internt, at vi risikovurderer den type opgaver, så vi får strengere procedurer på de potentielt kritiske funktionaliteter. Det vil typisk være, når det drejer sig om personfølsomme data,« siger han.

»Men det er også en kompleks fejl, som ikke er nem at spotte. De mails ligner hinanden til forveksling, den eneste forskel er nogle bogstaver i en meget lang URL og et medlemsnummer. Det er nemt at overse, men naturligvis en meget uheldig fejl,« fortsætter han.

Det er ifølge Rasmus Luckow-Nielsen første gang, Reload oplever en sådan fejl.

»Vi har lavet det her i mange år, og vi har en del foreninger som kunder. Heldigvis er det første gang, vi ender i denne suppedas. Normalt har vi meget fokus på sikkerheden og har også haft en del diskussioner internt og med DJ om, hvordan vi sikrer tingene,« fortæller han.

Anden data-fejl på tre uger

Hos DJ oplevede man til gengæld en anden – mindre alvorlig – fejl for knap tre uger siden. Forbundet sendte en sms til medlemmer, som er studerende eller praktikanter, for at opfordre dem til at deltage i en trivselsundersøgelse. Men ved en fejl blev sms-beskederne sendt forkert, så en række medlemmer fik en besked stilet til et andet medlem.

Da sms-beskeden blev indledt ”Kære X X”, fik medlemmer dermed adgang til andre medlemmers fulde navn. Som mediejurist Peter Lind Nielsen forklarede Journalisten i går, er alene oplysningen om, at en person er medlem af en fagforening, beskyttet af persondataloven. Dermed er navne på DJ-medlemmer også beskyttet data.

Troels Johannesen ærgrer sig over, at der er begået to persondata-fejl på tre uger.

»Det var en mindre alvorlig fejl, men det er også en fejl, der ikke må ske. Folk tog det pænt, og nogle jokede endda med, om vi lavede dating blandt de studerende. Det gjorde vi så ikke, og vi beklagede. Det var en menneskelig fejl i et Excel-ark,« siger han.

DJ: To uheldige sager

Troels Johannesen understreger, at der ikke er nogen forbindelse mellem de to fejl.

»Sms-fejlen er sket i samarbejdet med et helt andet firma i forbindelse med sms-udsendelsen. Men det er to uheldige sager alligevel.«

Kan du forstå, hvis DJ’s persondata-troværdighed efterhånden er lidt tyndslidt?

»Jeg kan godt forstå, at folk undrer sig over, hvorfor vi to gange laver fejl i udsendelser. Men jeg kan kun sige, at DJ tager persondata-sikring meget alvorligt, og derfor er det ekstra problematisk, at der sker sådan to fejl,« siger han.

Er der noget, I gør for at undgå, at det sker en tredje gang?

»Vi har generelt højt fokus på, at tingene er i orden. Nogle gange sker en menneskelig fejl, men det her er anledning til at se vores procedurer igennem og sikre, at vi minimerer risikoen for fejl. Jeg kan ikke garantere, at det aldrig vil ske igen, men vi vil gøre vores allerbedste for at undgå det i DJ,« siger Troels Johannesen.

Kommentarer
9
Morten Terp
19.10.16 16:00
Hvis oplysningen om, at en
Hvis oplysningen om, at en person er medlem af en fagforening er beskyttet af persondataloven, så undrer det mig, at Journalisten i hvert nummer bringer oversigt over medlemmernes runde fødselsdage (fra 40 år). Hvis du tager de seneste 10 års Journalisten, får du altså i meget grove træk DJ's medlemskartotek.
Fremhævet af Journalisten
Lars Fogt
19.10.16 17:30
Godt set Morten. Det må
Godt set Morten. Det må Journalisten selvfølgelig ikke trykke - det står udtrykkeligt i Persondataloven, at man ikke må oplyse, hvem der er medlem af en fagforening. Altså Journalistforbundet må ikke give disse oplysninger videre til fagbladet uden de har fået lov af hvert enkelt medlem. Og det har Journalisten gjort i årevis...

Loven forbyder at bringe:
"Stk. 4. Der kan efter stk. 3 ikke videregives eller anvendes oplysninger som nævnt i §§ 7 og 8. Justitsministeren kan fastsætte yderligere begrænsninger i adgangen til at videregive eller anvende bestemte typer af oplysninger efter stk. 3.

§ 7. Der må ikke behandles oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold."

https://www.datatilsynet.dk/lovgivning/persondataloven/
Fremhævet af Journalisten
Øjvind Hesselager
19.10.16 18:58
Kære Morten og Lars

Kære Morten og Lars

Tak for kommentarerne.

Jeg ser på det first thing.

Normalt plejer folk primært at være utilfredse, hvis de ikke er nævnt. Enkelte beder om ikke at komme med.

Men med lov skal man land bygge - så det skal undersøges. Hvis oplysningerne om rund fødselsdag ikke må bringes, så stopper vi selvfølgelig med det.

Mange venlige hilsner
Fremhævet af Journalisten
Øjvind Hesselager
20.10.16 13:11
Kære debattører

Kære debattører

Jeg skylder et svar – overtræder Journalisten persondataloven ved at publicere medlemmernes runde fødselsdage?

Udredningen er ikke sådan lige at lave. Især ikke når eksperterne også gerne vil have efterårsferie.

Men lige nu kan jeg slå fast, at Journalisten siden de første numre i 1906 har trykt oplysninger om medlemmerne på baggrund af data fra forbundet.

Blandt andet om medlemmerne var ”aktive” eller ”passive”. Senere om de var ”A” eller ”B”-medlemmer.

Hvad angår runde fødselsdage, har de i hvert fald optrådt siden starten af 1960erne, hvor man også kan finde hele medlemslisten i bladet.

Lad mig kort opsummere, hvad jeg ved lige nu:

Det er Datatilsynet, der behandler klager over overtrædelse af Persondataloven. Datatilsynet understreger under punktet ”Hvad Datatilsynet ikke kan”, at offentliggørelse i medierne, kan være undtaget loven:

”Når aviser, blade og tv skriver om eller viser billeder af personer, er det normalt ikke noget, du kan klage til Datatilsynet over,” lyder det – med fortsættelsen:

”Mediernes behandling af personoplysninger er ikke omfattet af persondataloven og Datatilsynets tilsynskompetence.”

I stedet fastslår Datatilsynet, at Pressenævnet i nogle tilfælde kan behandle en klage.

Men som skrevet: Sagen er ikke udredt. Jeg vender tilbage. Og indtil jeg ved, hvad vi må og ikke må, publicerer Journalisten ikke flere runde fødselsdage.

Mange venlige hilsner
Fremhævet af Journalisten
Lars Fogt
20.10.16 21:18
Det væsentlige her er, at du
Det væsentlige her er, at du får listen over medlemmer fra forbundet. De fortrolige oplysninger er derfor givet til jer fra Journalistforbundet, der igen viser pinlig lav respekt for fortrolige personoplysninger.

Med andre ord: Hvis det var jeres egen liste med oplysninger om, hvem der er medlem af en fagforening er det derfor lovligt, men det er det ikke, når du har fået oplysningerne fra forbundet.

Bedste Hilsner
Fremhævet af Journalisten
Lars Werge
21.10.16 06:31
Kære Lars Fogt og andre,

Kære Lars Fogt og andre,
Fagbladets chefredaktør og øvrige medarbejdere er ansat i og af Dansk Journalistforbund, og vore medarbejdere har naturligvis adgang til medlemsoplysninger.
Idet I - vi - som medlemmer ikke har sagt ja til, at fagbladet må publicere de runde fødselsdage, er den naturlige beslutning, efter det er kommet frem, at det ophører.
Med venlig hilsen
Lars Werge, formand DJ
Fremhævet af Journalisten
christian vangsø bentsen
21.10.16 07:57
Det er komisk på et højere
Det er komisk på et højere plan at Fogt og andre dribler rundt med krænkelser af "persondataloven" Når der efter et klik her https://journalisten.dk/side/om-os er at læse: "Journalisten udgives af Dansk Journalistforbund"

Men tragisk er det når en formand ytrer "Idet I - vi - som medlemmer ikke har sagt ja til, at fagbladet må publicere de runde fødselsdage, er den naturlige beslutning, efter det er kommet frem, at det ophører.

En praksis der har stået på siden 1960'erne er altså først kommet frem for den siddende formand i efteråret 2016. Betryggende...
Fremhævet af Journalisten
Bodil Rohde
21.10.16 09:44
Det er da kedeligt, at vi

Det er da kedeligt, at vi ikke længere kan følge kollegernes runde fødselsdage.

Faktisk står der jo på Runde fødselsdagssiden, at man kan melde fra, hvis man ikke ønsker sin fødselsdag omtalt i Journalisten.

Vil dødsfald heller ikke længere blive omtalt?

Venlig hilsen
Bodil Rohde



Fremhævet af Journalisten
Ida Sønderby Rosgaard
21.10.16 20:38
Uanset om lovgivningen har
Uanset om lovgivningen har taget højde for det eller ej, er jeg som udgangspunkt imod, at man automatisk - er lig passivt - er tilmeldt noget, hvis man ikke selv aktivt har frameldt sig det.

Kunne man ikke vende den om og i stedet uden det store besvær bede om medlemmernes tilladelse til at offentliggøre mærkedage - herunder runde fødselsdage og dødsfald - og så undlade dem, der ikke har givet tilladelse?

Når man giver mulighed for et aktivt tilvalg, udelukker man samtidig flere etiske problemstillinger.
Fremhævet af Journalisten

Husk at skrive dit fulde navn og en gyldig mail-adresse i felterne ovenfor, ellers vil din kommentar blive fjernet. Du kan se Journalistens regler for kommentarer her.
Tak fordi du deltager i debatten!

keyboard_arrow_up
Tilbage til toppen