En række sportschefer modtog for nylig en mail fra DBU. Kort efter fulgte en mere. I den bad unionen modtagerne om at se bort fra og slette den første. Med god grund.
Den indeholdt fortrolige personoplysningers såsom CPR-numre og private kontaktoplysninger, som klublederne ikke skulle have haft.
Det fortæller flere kilder til tipsbladet.dk. DBU bekræfter, at databruddet har fundet sted, og beklager det samtidig dybt.
– Ved en hændelig, menneskelig fejl blev der for et par uger siden sendt en mail til 57 sportschefer med et dokument med fortrolige data. Kort efter sendte DBU en mail til samme sportschefer og bad dem slette den første mail. DBU har herudover været i kontakt med mange af sportscheferne, der har bekræftet at have slettet mailen.
– Materialet omfatter visse fortrolige oplysninger om et mindre antal agenter og spillere, heriblandt CPR-numre og kontaktinformationer.
– DBU beklager dybt at have delt fortrolige data og dermed have brudt reglerne. Det er sket ved en menneskelig fejl, men må ikke ske, siger chefjurist i DBU, Maria Wamsler.
Ifølge tipsbladet.dk’s oplysninger kom mailen til sportscheferne fra en ansat i DBU, som altså ved en fejl vedhæftede et dokument eller regneark, der indeholdt de fortrolige oplysninger.
Hændelsen er efter alt at dømme et brud på EU’s forordning om persondata, de såkaldte GDPR-regler. Forordningen har direkte virkning i Danmark og suppleres af databeskyttelsesloven.
Kan misbruges til identitetstyveri
Birgitte Kofod Olsen er uddannet jurist, tidligere formand for Rådet for Digital Sikkerhed og medstifter af tænkehandletanken DataEthics, og hun betegner CPR-numrene som fortrolige personoplysninger. Hun forklarer, at hvis oplysningerne havner i hænderne på de forkerte, kan det få alvorlige konsekvenser.
– Man ser på: Hvilken risiko har det for agenterne, at oplysningerne kommer ud til de personer? CPR-numre er højrisikoområde og kan misbruges til identitetstyveri, hvis de sælges på det mørke net, siger hun.
– Der har lige været et hollandsk databrud, hvor det kom frem, at deres sygesikringsnummer sælges på nettet til 30-50 euro. Så der er en form for handel med CPR-numre, må man gå ud fra.
Én af tipsbladet.dk’s kilder siger desuden, at dokumentet indeholdt oplysninger om, at visse agenter havde forsømt betalinger. Det vil i givet fald også være problematisk at udbrede til personer, som oplysningerne ikke er relevante for, siger Kofod Olsen.
– Det er jo betalingshistorik, og det er nok ikke rart for agenterne. Det kan betyde noget for deres arbejde og påvirker måske deres omdømme hos dem, de skal handle med (klubcheferne, red.). Så man kan ikke udelukke, at der er en risiko i hvert fald.
DBU gjorde det rigtige bagefter
Ifølge både DBU selv og tipsbladet.dk’s kilder skyndte unionen sig som nævnt at udsende en mail, hvori den skrev, at modtagerne bedes se bort fra og slette den mail, der blev sendt ud først. Det er ifølge Birgitte Kofod Olsen en formildende omstændighed.
– Det, de har gjort, er rigtigt. De har begået en fejl og så skrevet ud til modtagerne om det. Det vil typisk være det skridt, man tager for at reducere risiko. Men man skal stadig informere Datatilsynet.
– Det, der ligger tilbage, er, at de skal overveje, om de skal informere agenterne og spillerne. Det vil jeg mene. Når det handler om CPR-numre, bør man altid informere, sagde hun mandag.
Chefjurist Maria Wamsler oplyser i dag, tirsdag, på vegne af DBU, at unionen både har informeret Datatilsynet, de implicerede agenter og spillere samt bedt sportscheferne om at slette det fortrolige materiale.
– DBU har mailet til alle de omtalte agenter og spillere og orienteret dem om den skete fejl samt hjulpet dem med anbefalinger, blandt andet opsætning af kreditadvarsel og andre tiltag, der mindsker risikoen for misbrug af oplysningerne, siger hun.
– DBU har med det samme meldt databruddet til Datatilsynet, der har vurderet sagen og i går vendte tilbage til DBU. I svaret bekræfter Datatilsynet, at der er tale om et brud på persondatasikkerheden, men på grund af DBU’s håndtering af sagen efter gældende retningslinjer har tilsynet valgt ikke at foretage sig yderligere overfor DBU.
Hvis de ramte agenter og spillere ikke mener, informationen og hjælpen fra DBU er tilstrækkelig, vil de i princippet kunne indlede en erstatningssag, fortæller Birgitte Kofod Olsen.
– Vi har ikke set sager endnu, men det er muligt at rejse et civilretlig sag om erstatning, siger hun.
Sikkerhed
Spørgsmålet er så, om DBU kunne have undgået fejlen ved at opbevare CPR- og betalingsoplysninger på en anden måde, for eksempel krypteret. I så fald ville dokumentet selv i de forkerte hænder ikke kunne åbnes, og oplysningerne ville forblive fortrolige.
– Burde de hos sig selv have oplysninger liggende i krypteret form? Det kommer an på, hvem der har adgang. Om det ligger pivåben, hvor alle kan tilgå det, eller dokumentet ligger et sted, hvor det kun er dem, der skal bruge det i deres arbejde, der kan tilgå det, siger Birgitte Kofod Olsen.
– Men materiale, der indeholder CPR-numre, skal altid sendes på en sikker mail.
Her er det værd at bemærke, at det ikke var DBU’s hensigt at udsende CPR-numre i det konkrete tilfælde. DBU gør i det hele taget sit bedste for at opbevare persondata forsvarligt.
– DBU har allerede indført interne rutiner for at overholde de databeskyttelsesmæssige regler, og de bliver løbende opdateret. Vi vil selvfølgelig se på, om disse rutiner og procedurer skal skærpes yderligere, for at undgå lignende fejl fremadrettet. Der skal bl.a. implementeres Azure Information Protection (online beskyttelse af dokumenter og emails, red.), så vi kan sikre de filer, der sendes ud af DBU, lyder det fra chefjurist Maria Wamsler.
– DBU arbejder med stor ansvarlighed med datasikkerhed og har siden 2017 haft en Data Protection Manager som et af de første og eneste idrætsforbund i Danmark. DBU uddanner medarbejdere og ledere i alle GDPR-mæssige regler og problemstillinger, såsom opbevaring, videregivelse med mere.
– Der er foretaget dokumentering og Data Privacy Impact Assessments på alle systemer og procedurer, og IT-sikkerheden er opgraderet med kryptering af alle maskiner, multi factor authentification på samtlige devices, sikker mail etc. Endvidere opdaterer vi løbende vores politikker og procedurer, så vi efterlever de til enhver tid gældende databeskyttelsesregler.
Tipsbladet.dk har været i kontakt med to sportschefer, der bekræfter, at de har modtaget de fortrolige oplysninger fra DBU. De fortæller også, at de har fulgt unionens anvisninger og har slettet dokumentet uden at læse det.
Opdateret 14.57: Maria Wamslers citat om, at DBU har orienteret alle agenter og spillere er på DBU’s anmodning ændret fra “været i kontakt med” til “mailet til”.
LIVE
TransferLIVE: Her ankommer Nørgaard til Arsenal
FANKLUBBEN
Han bliver sæsonens store gennembrud i AGF!
MEDIE
Her er Mileta Rajovic’ nye klub
NYHEDER
Uha, FC København: Taber til Hillerød
Snydt af Thomas Frank? ‘Meget pinligt!’
NYHEDER
Rio Ferdinand om Thomas Frank: Med al respekt…
MEDIE
De henter Christian Gytkjær
EKSKLUSIVT
Afsløring: AaB byder på Andreas Maarup
TOPNYHED Kæmpe ændring: Thomas Frank rydder op i staben
TRANSFER
Tæt på målfarlig dansker: Jeg tror på det
TOPNYHED
Drømmeskifte til FCK: ‘Men dette er jeg ked af’
Skjelmose i chok over tidstab
NYHEDER
Dansk komet: ‘Gå ud og vask tøj og hold kæft!’
EKSKLUSIVT Afsløring: FC København køber Suzuki til spotpris
Skuffet Vingegaard: ‘Jeg havde en dårlig dag’
INTERVIEW
Fiete Arp i OB: ‘Det har jeg aldrig oplevet før’
TRANSFER
FC København henter stortalent i Malmö FF
Monstersæson – dansk stjerne overgår alle
TIPSBLADET SPECIAL
Leverer sæsonens Superliga-handel på mini-budget
TOPNYHED Liverpool poster billede af tidligere FCK-stjerne
MEDIE
Vildt skifte? Jamie Vardy tilbudt kæmpeklub
MEDIE
På vej til Superligaen?
BIZART
Angriber Højlund: En blind havde været bedre
RYGTEBØRSEN
Arsenal vil snyde Tottenham for engelsk stjerne
Officielt: FC København henter Suzuki
EKSKLUSIVT
Afsløring: Vejle Boldklub forhandler med Marseille
TRANSFER
FC København-keeper får nummer 42, men…
TOPNYHED
Ham kan Brøndby sælge for 100 millioner
LIGE NU
Carlo Ancelotti idømt et års fængsel
TRANSFER
Tottenham præsenterer FC København-emne
NYHEDER
Færdig i Brøndby IF: Nu prøvetræner han i Sverige
NYHEDER
FC København bekræfter
TRANSFER Overblik: Her er Superligaens sommertransfers 2025
BIZART
Kvistgaarden-bejlere kendte ikke til klausul
MEDIE
Afvist af Brøndby – nu er der forhandlinger
MEDIE
På jagt efter Superliga-stjerne
EKSKLUSIVT
Brøndby betaler transfersum for Julius Ohnesorge
EKSKLUSIVT
Afsløring: Rosenborg sælger Emil Frederiksen
TOPNYHED
Helten mod Danmark: Havde læst Eriksen
INTERVIEW
Går i flæsket på Erik ten Hag
Ingen
Stor stjerne bekræfter nu FC Københavns interesse
Tadej Pogacar smadrer Jonas Vingegaard
EKSKLUSIVT
Afsløring: Lyngby Boldklub flyver ny angriber ind
Fyret!
Ekspert peger på helt særlig Vingegaard-detalje
Officielt: FC København henter Kotarski
MEDIE
Tiltrængt forstærkning til dansk klub
DAGENS SPILFORSLAG
Dublin sætter sig på Belfast
EKSKLUSIVT
Afsløring: Ajax sælger Christian Rasmussen
TRANSFER
– Det skal være en rigtig god pris
HELT VILDT
Wow – han kunne have afløst Thomas Frank
Danmark taber knebent til Tyskland ved EM
Jonas Vingegaard deler vildt nyt
EKSKLUSIVT
Afsløring: Elfsborg køber farlige Frederik Ihler
Pogacar slår Van der Poel og Vingegaard i spurt