DBU i kæmpe brøler: Delte hemmelige oplysninger

En række sportschefer modtog for nylig en mail fra DBU. Kort efter fulgte en mere. I den bad unionen modtagerne om at se bort fra og slette den første. Med god grund.

Den indeholdt fortrolige personoplysningers såsom CPR-numre og private kontaktoplysninger, som klublederne ikke skulle have haft.

Det fortæller flere kilder til tipsbladet.dk. DBU bekræfter, at databruddet har fundet sted, og beklager det samtidig dybt.

– Ved en hændelig, menneskelig fejl blev der for et par uger siden sendt en mail til 57 sportschefer med et dokument med fortrolige data. Kort efter sendte DBU en mail til samme sportschefer og bad dem slette den første mail. DBU har herudover været i kontakt med mange af sportscheferne, der har bekræftet at have slettet mailen.

– Materialet omfatter visse fortrolige oplysninger om et mindre antal agenter og spillere, heriblandt CPR-numre og kontaktinformationer.

– DBU beklager dybt at have delt fortrolige data og dermed have brudt reglerne. Det er sket ved en menneskelig fejl, men må ikke ske, siger chefjurist i DBU, Maria Wamsler.

Ifølge tipsbladet.dk’s oplysninger kom mailen til sportscheferne fra en ansat i DBU, som altså ved en fejl vedhæftede et dokument eller regneark, der indeholdt de fortrolige oplysninger. 

Hændelsen er efter alt at dømme et brud på EU’s forordning om persondata, de såkaldte GDPR-regler. Forordningen har direkte virkning i Danmark og suppleres af databeskyttelsesloven.

Kan misbruges til identitetstyveri
Birgitte Kofod Olsen er uddannet jurist, tidligere formand for Rådet for Digital Sikkerhed og medstifter af tænkehandletanken DataEthics, og hun betegner CPR-numrene som fortrolige personoplysninger. Hun forklarer, at hvis oplysningerne havner i hænderne på de forkerte, kan det få alvorlige konsekvenser.

– Man ser på: Hvilken risiko har det for agenterne, at oplysningerne kommer ud til de personer? CPR-numre er højrisikoområde og kan misbruges til identitetstyveri, hvis de sælges på det mørke net, siger hun.

 – Der har lige været et hollandsk databrud, hvor det kom frem, at deres sygesikringsnummer sælges på nettet til 30-50 euro. Så der er en form for handel med CPR-numre, må man gå ud fra.

Én af tipsbladet.dk’s kilder siger desuden, at dokumentet indeholdt oplysninger om, at visse agenter havde forsømt betalinger. Det vil i givet fald også være problematisk at udbrede til personer, som oplysningerne ikke er relevante for, siger Kofod Olsen.

– Det er jo betalingshistorik, og det er nok ikke rart for agenterne. Det kan betyde noget for deres arbejde og påvirker måske deres omdømme hos dem, de skal handle med (klubcheferne, red.). Så man kan ikke udelukke, at der er en risiko i hvert fald.

DBU gjorde det rigtige bagefter
Ifølge både DBU selv og tipsbladet.dk’s kilder skyndte unionen sig som nævnt at udsende en mail, hvori den skrev, at modtagerne bedes se bort fra og slette den mail, der blev sendt ud først. Det er ifølge Birgitte Kofod Olsen en formildende omstændighed.

– Det, de har gjort, er rigtigt. De har begået en fejl og så skrevet ud til modtagerne om det. Det vil typisk være det skridt, man tager for at reducere risiko. Men man skal stadig informere Datatilsynet.

– Det, der ligger tilbage, er, at de skal overveje, om de skal informere agenterne og spillerne. Det vil jeg mene. Når det handler om CPR-numre, bør man altid informere, sagde hun mandag.

Chefjurist Maria Wamsler oplyser i dag, tirsdag, på vegne af DBU, at unionen både har informeret Datatilsynet, de implicerede agenter og spillere samt bedt sportscheferne om at slette det fortrolige materiale.

– DBU har mailet til alle de omtalte agenter og spillere og orienteret dem om den skete fejl samt hjulpet dem med anbefalinger, blandt andet opsætning af kreditadvarsel og andre tiltag, der mindsker risikoen for misbrug af oplysningerne, siger hun.

– DBU har med det samme meldt databruddet til Datatilsynet, der har vurderet sagen og i går vendte tilbage til DBU. I svaret bekræfter Datatilsynet, at der er tale om et brud på persondatasikkerheden, men på grund af DBU’s håndtering af sagen efter gældende retningslinjer har tilsynet valgt ikke at foretage sig yderligere overfor DBU.

Hvis de ramte agenter og spillere ikke mener, informationen og hjælpen fra DBU er tilstrækkelig, vil de i princippet kunne indlede en erstatningssag, fortæller Birgitte Kofod Olsen. 

– Vi har ikke set sager endnu, men det er muligt at rejse et civilretlig sag om erstatning, siger hun.

Sikkerhed
Spørgsmålet er så, om DBU kunne have undgået fejlen ved at opbevare CPR- og betalingsoplysninger på en anden måde, for eksempel krypteret. I så fald ville dokumentet selv i de forkerte hænder ikke kunne åbnes, og oplysningerne ville forblive fortrolige.

– Burde de hos sig selv have oplysninger liggende i krypteret form? Det kommer an på, hvem der har adgang. Om det ligger pivåben, hvor alle kan tilgå det, eller dokumentet ligger et sted, hvor det kun er dem, der skal bruge det i deres arbejde, der kan tilgå det, siger Birgitte Kofod Olsen.

– Men materiale, der indeholder CPR-numre, skal altid sendes på en sikker mail.

Her er det værd at bemærke, at det ikke var DBU’s hensigt at udsende CPR-numre i det konkrete tilfælde. DBU gør i det hele taget sit bedste for at opbevare persondata forsvarligt.

– DBU har allerede indført interne rutiner for at overholde de databeskyttelsesmæssige regler, og de bliver løbende opdateret. Vi vil selvfølgelig se på, om disse rutiner og procedurer skal skærpes yderligere, for at undgå lignende fejl fremadrettet. Der skal bl.a. implementeres Azure Information Protection (online beskyttelse af dokumenter og emails, red.), så vi kan sikre de filer, der sendes ud af DBU, lyder det fra chefjurist Maria Wamsler.

– DBU arbejder med stor ansvarlighed med datasikkerhed og har siden 2017 haft en Data Protection Manager som et af de første og eneste idrætsforbund i Danmark. DBU uddanner medarbejdere og ledere i alle GDPR-mæssige regler og problemstillinger, såsom opbevaring, videregivelse med mere.

– Der er foretaget dokumentering og Data Privacy Impact Assessments på alle systemer og procedurer, og IT-sikkerheden er opgraderet med kryptering af alle maskiner, multi factor authentification på samtlige devices, sikker mail etc. Endvidere opdaterer vi løbende vores politikker og procedurer, så vi efterlever de til enhver tid gældende databeskyttelsesregler.

Tipsbladet.dk har været i kontakt med to sportschefer, der bekræfter, at de har modtaget de fortrolige oplysninger fra DBU. De fortæller også, at de har fulgt unionens anvisninger og har slettet dokumentet uden at læse det.

Opdateret 14.57: Maria Wamslers citat om, at DBU har orienteret alle agenter og spillere er på DBU’s anmodning ændret fra “været i kontakt med” til “mailet til”.