En række sportschefer modtog for nylig en mail fra DBU. Kort efter fulgte en mere. I den bad unionen modtagerne om at se bort fra og slette den første. Med god grund.
Den indeholdt fortrolige personoplysningers såsom CPR-numre og private kontaktoplysninger, som klublederne ikke skulle have haft.
Det fortæller flere kilder til tipsbladet.dk. DBU bekræfter, at databruddet har fundet sted, og beklager det samtidig dybt.
– Ved en hændelig, menneskelig fejl blev der for et par uger siden sendt en mail til 57 sportschefer med et dokument med fortrolige data. Kort efter sendte DBU en mail til samme sportschefer og bad dem slette den første mail. DBU har herudover været i kontakt med mange af sportscheferne, der har bekræftet at have slettet mailen.
– Materialet omfatter visse fortrolige oplysninger om et mindre antal agenter og spillere, heriblandt CPR-numre og kontaktinformationer.
– DBU beklager dybt at have delt fortrolige data og dermed have brudt reglerne. Det er sket ved en menneskelig fejl, men må ikke ske, siger chefjurist i DBU, Maria Wamsler.
Ifølge tipsbladet.dk’s oplysninger kom mailen til sportscheferne fra en ansat i DBU, som altså ved en fejl vedhæftede et dokument eller regneark, der indeholdt de fortrolige oplysninger.
Hændelsen er efter alt at dømme et brud på EU’s forordning om persondata, de såkaldte GDPR-regler. Forordningen har direkte virkning i Danmark og suppleres af databeskyttelsesloven.
Kan misbruges til identitetstyveri
Birgitte Kofod Olsen er uddannet jurist, tidligere formand for Rådet for Digital Sikkerhed og medstifter af tænkehandletanken DataEthics, og hun betegner CPR-numrene som fortrolige personoplysninger. Hun forklarer, at hvis oplysningerne havner i hænderne på de forkerte, kan det få alvorlige konsekvenser.
– Man ser på: Hvilken risiko har det for agenterne, at oplysningerne kommer ud til de personer? CPR-numre er højrisikoområde og kan misbruges til identitetstyveri, hvis de sælges på det mørke net, siger hun.
– Der har lige været et hollandsk databrud, hvor det kom frem, at deres sygesikringsnummer sælges på nettet til 30-50 euro. Så der er en form for handel med CPR-numre, må man gå ud fra.
Én af tipsbladet.dk’s kilder siger desuden, at dokumentet indeholdt oplysninger om, at visse agenter havde forsømt betalinger. Det vil i givet fald også være problematisk at udbrede til personer, som oplysningerne ikke er relevante for, siger Kofod Olsen.
– Det er jo betalingshistorik, og det er nok ikke rart for agenterne. Det kan betyde noget for deres arbejde og påvirker måske deres omdømme hos dem, de skal handle med (klubcheferne, red.). Så man kan ikke udelukke, at der er en risiko i hvert fald.
DBU gjorde det rigtige bagefter
Ifølge både DBU selv og tipsbladet.dk’s kilder skyndte unionen sig som nævnt at udsende en mail, hvori den skrev, at modtagerne bedes se bort fra og slette den mail, der blev sendt ud først. Det er ifølge Birgitte Kofod Olsen en formildende omstændighed.
– Det, de har gjort, er rigtigt. De har begået en fejl og så skrevet ud til modtagerne om det. Det vil typisk være det skridt, man tager for at reducere risiko. Men man skal stadig informere Datatilsynet.
– Det, der ligger tilbage, er, at de skal overveje, om de skal informere agenterne og spillerne. Det vil jeg mene. Når det handler om CPR-numre, bør man altid informere, sagde hun mandag.
Chefjurist Maria Wamsler oplyser i dag, tirsdag, på vegne af DBU, at unionen både har informeret Datatilsynet, de implicerede agenter og spillere samt bedt sportscheferne om at slette det fortrolige materiale.
– DBU har mailet til alle de omtalte agenter og spillere og orienteret dem om den skete fejl samt hjulpet dem med anbefalinger, blandt andet opsætning af kreditadvarsel og andre tiltag, der mindsker risikoen for misbrug af oplysningerne, siger hun.
– DBU har med det samme meldt databruddet til Datatilsynet, der har vurderet sagen og i går vendte tilbage til DBU. I svaret bekræfter Datatilsynet, at der er tale om et brud på persondatasikkerheden, men på grund af DBU’s håndtering af sagen efter gældende retningslinjer har tilsynet valgt ikke at foretage sig yderligere overfor DBU.
Hvis de ramte agenter og spillere ikke mener, informationen og hjælpen fra DBU er tilstrækkelig, vil de i princippet kunne indlede en erstatningssag, fortæller Birgitte Kofod Olsen.
– Vi har ikke set sager endnu, men det er muligt at rejse et civilretlig sag om erstatning, siger hun.
Sikkerhed
Spørgsmålet er så, om DBU kunne have undgået fejlen ved at opbevare CPR- og betalingsoplysninger på en anden måde, for eksempel krypteret. I så fald ville dokumentet selv i de forkerte hænder ikke kunne åbnes, og oplysningerne ville forblive fortrolige.
– Burde de hos sig selv have oplysninger liggende i krypteret form? Det kommer an på, hvem der har adgang. Om det ligger pivåben, hvor alle kan tilgå det, eller dokumentet ligger et sted, hvor det kun er dem, der skal bruge det i deres arbejde, der kan tilgå det, siger Birgitte Kofod Olsen.
– Men materiale, der indeholder CPR-numre, skal altid sendes på en sikker mail.
Her er det værd at bemærke, at det ikke var DBU’s hensigt at udsende CPR-numre i det konkrete tilfælde. DBU gør i det hele taget sit bedste for at opbevare persondata forsvarligt.
– DBU har allerede indført interne rutiner for at overholde de databeskyttelsesmæssige regler, og de bliver løbende opdateret. Vi vil selvfølgelig se på, om disse rutiner og procedurer skal skærpes yderligere, for at undgå lignende fejl fremadrettet. Der skal bl.a. implementeres Azure Information Protection (online beskyttelse af dokumenter og emails, red.), så vi kan sikre de filer, der sendes ud af DBU, lyder det fra chefjurist Maria Wamsler.
– DBU arbejder med stor ansvarlighed med datasikkerhed og har siden 2017 haft en Data Protection Manager som et af de første og eneste idrætsforbund i Danmark. DBU uddanner medarbejdere og ledere i alle GDPR-mæssige regler og problemstillinger, såsom opbevaring, videregivelse med mere.
– Der er foretaget dokumentering og Data Privacy Impact Assessments på alle systemer og procedurer, og IT-sikkerheden er opgraderet med kryptering af alle maskiner, multi factor authentification på samtlige devices, sikker mail etc. Endvidere opdaterer vi løbende vores politikker og procedurer, så vi efterlever de til enhver tid gældende databeskyttelsesregler.
Tipsbladet.dk har været i kontakt med to sportschefer, der bekræfter, at de har modtaget de fortrolige oplysninger fra DBU. De fortæller også, at de har fulgt unionens anvisninger og har slettet dokumentet uden at læse det.
Opdateret 14.57: Maria Wamslers citat om, at DBU har orienteret alle agenter og spillere er på DBU’s anmodning ændret fra “været i kontakt med” til “mailet til”.
LIVE
LIVE: Tidligere SL-profil tvunget til karrierestop
MEDIE
Sat på plads af FCM – nu vil Bayern have ham
TIPSBLADET SPECIAL
Rundens hold i Superligaen – 23. runde
NYHEDER
Ekspert: ‘Jeg kan ikke se idéen!’
NYHEDER
Troels Bech slår fast: Glem det!
AVIS
Interessant afsløring
BIZART
“Cooper fravælger Tahirovic for at hjælpe Wales”
TIPSBLADETS DOM Han ligner et fejlmatch i Brøndby
EKSKLUSIVT
Afsløring: Hobro IK sælger Villads Rasmussen
Gravesen går til Riemer: Hvad er det for noget?
Pep Guardiola tager usædvanlig beslutning
HELT VILDT
Revser Superliga-spiller: Han ødelægger karrieren!
Kevin Diks skriver historie
FANKLUBBEN ‘Han har været en stærk signing for AGF’
Tidligere FCK-træner i alvorlig modvind
Tøfting: ‘Selvfølgelig i tale til en klub som BIF’
NYHEDER
Nej, nej, nej – dansk stjerne udgår med skade
HELT VILDT
Av, av, av: Uhyggelig læsning, FC København!
HELT VILDT
Gustav Isaksen trækker overskrifter i Italien
FANKLUBBEN ‘Ingen tvivl om, at de rykker ud af Superligaen’
Benhård Gravesen: ‘Det svageste hold i top seks’
NYHEDER
Iran forhandler med FIFA om VM-kampe
STORT INTERVIEW
Brøndby-hyldest: Vi vandt jo alt!
LIGE NU
Dansk landsholdskeeper skadet – skal scannes
MEDIE
Tidligere Brøndby-træner en af verdens dyreste
TIPSBLADET SPECIAL
Dommerekspert: Få nu lavet det system om!
TOPNYHED
AGF-fans raser over Superliga-klub
INTERVIEW
Kæmpe hyldest af Falk: ‘Han er 85 år gammel’
– FCK var hurtige til at lægge alt hen på mig
– Derfor skal Man Utd IKKE hyre Michael Carrick
HELT VILDT
Ikke sket i 591 kampe på Brøndby Stadion
Superliga-ekspert revser ny Brøndby-spiller
FANKLUBBEN Bekymret: Det kan falde helt sammen i Silkeborg
HELT VILDT
‘Historisk’: Kæmpe optur for Johannes Hoff Thorup
EKSKLUSIVT
Husker du Hyballa? Spøger stadig i dansk klub
MEDIE
Blev informeret om mulig fyring onsdag
FANKLUBBEN
Det er vildt, overraskende og fuldt fortjent!
INTERVIEW
TV 2: ‘Noget vitalt forsvinder’
Ekspert: Hvis han fastholder det gule kort, så…
Landsholdsretur efter 4 år? Dansker med supersæson
TIPSBLADET SPECIAL
Klart svar, Riemer: Han bør stå for Danmark
Forarget: – Der er ingen, der er gode!
NYHEDER
Stor bekymring: Damsgaard har haft ondt længe
DAGENS SPILFORSLAG
Hjulmand graver sig ned i London
LIGE NU
Flere problemer: Damsgaard udgår med skade
Skuffet VB-anfører: De andre hold er vel tilfredse
‘En klub vi gradvist har sværere ved at kende’
Sent mål skaffer SIF point i bundbrag mod Vejle
MEDIE
Eriksen ny kaptajn i Wolfsburg? ‘Den mest erfarne’
NYHEDER
Stage misser bundbrag: ‘Alle ved det’
Her kaster Viborg-spiller op i kampen mod Brøndby
TOPNYHED
Steve Cooper: ‘Absolut intet godt lige nu’
Barcelona-præsident får 68 procent af stemmerne
INTERVIEW
Ny FCK-komet? Modtager store roser fra Neestrup
