DSB sendte persondata til forkerte kunder

Op til 10.500 danskere har fået mail fra DSB med direkte link til fremmedes personlige oplysninger så som adresse, fødselsdato og telefonnummer. En menneskelig fejl, som tages dybt alvorligt, siger DSB. Et klassisk eksempel på sløseri med vores private data, siger retsordfører.

Hans Gregers Petersen blev ringet op af en vildtfremmed kvinde, der havde modtaget hans private oplysninger i en reklamemail fra DSB Plus. Først mandag modtog han en forklaring fra DSB. Fold sammen
Læs mere
Foto: Sara Gangsted
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

I sidste uge fik Hans Gregers Petersen et opkald fra en kvinde i Jylland. Han har aldrig mødt hende før. Eller hørt om hende. De har ingen fælles bekendte. Men hun havde hans mobilnummer og vidste, hvor han boede.Hun vidste også, at han ofte kørte med tog.

For Helle Andersen, der bor i det midtjyske, havde netop modtaget en mail fra DSB Plus, der med sine en million medlemmer er en af landets største loyalitetsprogrammer.

I mailen til Helle stod der »Hej Gregers...«, og da Helle Andersen klikkede på det medfølgende link, kom hun direkte ind på en side med Hans Gregers Petersens personlige oplysninger: Navn, adresse, telefonnummer, hans foretrukne rejsestrækninger, og hvad han interesserer sig for.

»Jeg har jo i mit medlemsskab en »aftale« med DSB om, at de passer på de oplysninger, jeg giver til dem. Det skal de ifølge loven. Så jeg har opgivet en masse personlige oplysninger. Jeg var ikke så meget på vagt der, som jeg ville være ved sider som Facebook og Twitter. Jeg har også afgivet mit CPR-nummer derinde til »glemt kort«-ordningen,« siger Hans Gregers Petersen, som ud over at være togpendler er seniorkonsulent hos IT- og rådgivningsfirmaet Septima:

»Jeg arbejder dagligt med rådgivning af store danske virksomheder og myndigheder om databasesystemer. Derfor er jeg ikke særlig tryg ved, at DSB blander oplysninger sammen på den måde. Og det bliver endnu værre, når Helle Andersen fortæller mig, at hun aldrig selv har været registreret i DSB Plus-ordningen, for hvordan er hendes e-mailadresse så pludselig kommet ind på min konto?« spørger Hans Gregers Petersen.

Helle Andersen skrev allerede samme dag, den 6. august, til DSB på Facebook:

»(...) Hvordan i alverden kan min mail-adresse havne i databasen ved en vildtfremmed? (...) Det bekymrer mig også at tænke på, at andre måske får mine data, fordi jeg på et tidspunkt har handlet med DSB

Hans Gregers Petersen henvendte sig også til DSB – via mail og på Twitter, hvor DSB er kendt for at svare beredvilligt og hurtigt.

»Tak @omDSB for professionel omgang med mine persondata. Blev ringet op af en forundret person, der nu har alle mine info, når hun logger ind,« skrev han – ikke uden sarkasme. Sagen fik dog et komisk skær, da DSB-medarbejderen svarede:

»Hej Gregers, det er jeg glad for at høre :)« – siden opdagede medarbejderen dog, at der ikke var tale om helhjertet ros og instruerede ham i at kontakte DSB Plus. Men først mandag fik Hans Gregers Petersen svar:

»På grund af en menneskelig fejl hos en af DSBs underleverandører, har en lille gruppe af DSBs digitale kunder ved en fejl modtaget en DSB Plus mail. (...) Selv om man via profiloplysningerne ikke får adgang til personfølsomme oplysninger som f.eks. personnummer er det en fejl, som DSB ser på med stor alvor,« skriver DSB Plus i mailen.

10.500 potentielle fejlmail

Det viser sig, at Helle Andersen og Hans Gregers Petersen langt fra er de eneste, der enten har »mistet« eller fået udleveret private oplysninger. I starten af denne uge havde 27 personer klaget til DSB over lignende fejl. Mailen fra DSB Plus er gået ud til 800.000 af de i alt en mio. medlemmer, men efter at have undersøgt sagen i weekenden, mener DSB, at det »højst« kan dreje sig om 10.500, der har modtaget et link til fremmede personers oplysninger.

Fejlen er sket hos Ogilvy, et kommunikationsbureau, som står for DSBs datahåndtering:

»Det er simpelthen sket ved, at to maillister er blevet parret på en forkert måde, så kunder, der bruger vores DSB-app har fået en mail, som de ikke skulle have haft. Vi troede, at vi havde procedurer, der sikrede, at den slags ikke kunne ske. Nu er vi ved at opklare, hvad der er gået galt. Vi ser på det her med stor alvor,« siger Aske Wieth-Knudsen, forretningsudviklingschef hos DSB.

Han afviser, at CPR- og kreditkortnumre har været udsendt – de ligger i helt andre systemer.

»Men man har kunnet set andres navn, adresse, e-mail og interesser – eksempelvis om en kunde ønsker at høre mere om rejser til Berlin, om børnetilbud eller lignende – og det er alvorligt nok,« siger han.

Tilliden smuldrer

I de seneste år har man i både det offentlige og private regi oplevet store og alvorlige brud på datasikkerheden. I 2012 blev informationssystemer hos CSC, der bl.a. administrerede Rigspolitiets og Skats oplysninger om borgerne, hacket. Borgere i Allerød og Hvidovre kommuner har for nylig fået deres personnumre offentliggjort, på nogle sygehuse er personnumre fremgået af storskærme, og bare i det seneste år har såvel a-kasser, et energiselskab og politiet fået kritik af Datatilsynet for ikke at håndtere personfølsomme oplysninger varsomt.

Enhedslistens retsordfører, Pernille Skipper, der politisk er blandt de hårdeste kritikere af manglende datasikkerhed, kalder DSBs brøler for et klassisk eksempel på, at særligt offentlige instanser og virksomheder halter bagefter i beskyttelsen af vores – kundernes og borgernes – privatliv.

»Det er et kæmpe problem, fordi den offentlige sektor ikke er fulgt med udviklingen, og fordi vi ikke er sikret nok. Bare fordi det ikke er personnumre, kan det sagtens være personfølsomme oplysninger – informationer, du har ret til at holde privat. Der har været alt for mange eksempler de seneste år på offentlige institutioner, der ikke har kunnet finde ud af passe ordentligt på data, og det skaber en grundlæggende mistillid til systemet,« siger Pernille Skipper.

DSB spærrede for adgangen til de berørte DSB Plus-konti fredag eftermiddag, cirka et døgn efter udsendelsen af de forkerte mail. DSB ønskede ikke at sende advarsels- og beklagelsesmail ud til alle sine kunder. Det formilder ikke Hans Gregers Petersen synderligt:

»Det er da teknisk korrekt, at de spærrer for de berørte konti, men det mindste, DSB kunne have gjort, var da at fortælle mig, at mine oplysninger var endt hos en anden. Det er jo helt unikt, at mine data havner hos Helle, som faktisk gider ringe og gøre mig opmærksom på det,« siger han.

I løbet af de kommende år træder en række nye EU-regler om datasikkerhed i kraft. Mens sløsen med datasikkerhed hidtil har udløst bøder i omegnen af 25.000, varsler EU bødetakster i millionklassen.