Fredag aften fik jeg en mail fra KL: Deres database over modtagere af et nyhedsbrev var blevet hacket så mine loginoplysninger ligger nu i hænderne på nogen, der ikke burde have dem. Og de havde været til salg i 10 dage da Rigspolitiet opdagede det og informerede KL.
Så GDPR fungerer: Jeg får besked fra KL om, at de desværre ikke har passet godt nok på mine oplysninger. Og Datatilsynet og politiet bliver også informeret og sat i sving. De generer mig ikke stort, at nogen har mit login til udsendelse af et nyhedsbrev – og det har de så i øvrigt alligevel ikke for KL har straks nulstillet alle password. Login oplysningerne bruges også til KLs Dialogforum, hvor man kan kommentere på hinandens oplæg. Selvfølgelig straks lidt mere kompromiterende, men igen: Password’et er slettet. Og de stjålne oplysninger indbefatter ikke “følsomme personoplysninger”.
Det der er problemet, er ikke så meget KLs nyhedsbrev, men det faktum, at jeg abonnerer på talløse af den slags nyhedsbreve og tjenester og der er en vis sandsynlighed for, at jeg har benyttet samme loginoplysninger andre steder – men hvor? Så – potentielt – så har KL ikke afsløret personfølsomme data: De har bare udleveret nøglen til min hoveddør! (Se i øvrigt vores tidligere artikel om dette: Er dit-password blevet stjålet)
Det understreger nødvendigheden af, at vi alle stræber efter at benytte forskellige login oplysninger på alle de steder, vi er tilmeldt. Hvilket selvfølgelig er totalt uoverskueligt. Og det er det ikke mindst fordi, der er gået total inflation i anmodninger om oprettelse af en profil: Alle og enhver ønsker fuldstændigt unødvendigt at jeg oplyser min alder og skostørrelse for at kunne få lov til at hente en tom blanket, som jeg skal udfylde. Eller lignende. Man skal jo nærmest være ekspert for at kunne installere Windows på sin nyanskaffede PC for at undgå at man samtidigt skal oprette en profil hos Microsoft – hallo: Jeg har købt en PC med Windows og vil gerne kunne tage den i brug uden at skulle indlemmes i Microsofts database, så de kan benytte det der engang var et styresystem til at indsamle oplysninger om mig.
Så, kære KL: Udsendelse af et nyhedsbrev kræver ikke at modtagerne skal oprette en profil og finde på et password, som nogen kan stjæle!
Man kan selvfølgelig også gøre noget selv, og det mest nærliggende er at bruge forskellige passwords til alt hvad man er medlem af. Noget der sjældent kan lade sig gøre, uden at man har et sted, hvor man husker alle den slags password. Det problem har jeg nogle vejledninger til her: glemt-password? og her: privatlivsbeskyttelse.
Yderligere omtaler af KL sagen:
DR.DK oplysninger-om-kl-brugere-er-hacket-og-til-salg-pa-internettet,