2500 karnevalister har fått känsliga personuppgifter läckta på nätet. Under fem dagar hade vem som helst tillgång till personnummer och profilbilder.
Onsdagen 2/3 strax efter fyratiden på eftermiddagen mottog cirka 2 500 aktiva i Lundakarnevalen ett mejl från karnevalskommittén om att uppgifter de lagt in i karnevalens app ”Karnevalist 2022” hade blivit tillgängliga offentligt.
Enligt mejlet inkluderar de uppgifter som läcktes e-postadress, telefonnummer, personnummer, sektionsval, kön, matpreferens, bild på användaren och tröjstorlek. Att uppgifterna är tillgängliga utanför organisationen är ett brott mot GDPR.
Linnea Söderström, Lundakarnevalens press- och sponschef, berättar att det skedde när karnevalens eget IT-team använde plattformen Github för att dela kod mellan sig online. Via plattformen kunde man sedan nå en kopia som användes för att testa fördelningen av karnevalister.*
– Det var ett misstag som begicks. Vi trodde att den [databasen, reds. anm.] laddades upp i privat läge, men det visade sig vara i publikt.
Misstaget upptäcktes under Lundakarnevalens upprop den 27 februari och kopian togs ned strax därefter. Då hade den varit offentligt tillgänglig på Github i fem dagar och samtliga som registrerat sig i appen innan den 22 februari har haft sina personuppgifter tillgängliga för allmänheten. Karnevalskommittén skriver i mejlet att endast ett fåtal utöver den egna organisationen har laddat ned koden.
Eftersom ärendet nyligen skickades in till integritetsskyddsmyndigheten är det inte ännu klart vad för konsekvenser misstaget kommer få. Vanligtvis är straffet böter som kan nå upp till 2% av organisationens ”totala globala årsomsättningen under föregående budgetår”.
Proaktivt arbete kan dock mildra eventuella konsekvenser, något Linnea Söderström menar att IT-teamet har gjort:
– Med det här undantaget har de alltid arbetat på privata plattformar och haft ett begränsat antal personer som kommit åt de här databaserna och som har möjlighet att använda koden och programmera och liknande.
Hur ställer ni er i karnevalen kring att ha begått ett GDPR-brott?
– Det vi har gjort är att följa det vi har skrivit att vi ska göra i vår policy och det är också det vi är skyldiga att göra enligt lag. Vi har rapporterat det till integritetsskyddsmyndigheteten och sen har vi vidtagit åtgärder för att något sådant inte ska hända igen och kontaktat de berörda, som vi också har en skyldighet att göra.
Mejlet som gick ut till karnevalister var endast på svenska, trots att det gick ut till även engelskspråkiga karnevalister. Detta kommer åtgärdas, menar Linnea Söderström.
*En rättning om IT-teamets användning av Github har infogats 14:20.