Danmarks største terapi-portal lækker detaljer om klienters stofmisbrug, sexliv og stress

En alvorlig sikkerhedsbrist hos Danmarks største online-portal for psykologer og terapeuter har sendt beskrivelser af navngivne klienters personlige problemer til andre brugere.

Personfølsomme oplysninger om brugere på terapi-portalen GoMentor er havnet hos de forkerte.

Datatilsynet har modtaget en anmeldelse fra en bruger, som har modtaget udpenslede beskrivelser af andres personlige problemer via portalen GoMentor. Tilsynet har politianmeldt portalen for at få efterforsket omfanget.

Brugeren er den 51-årige Ann Pettersson, der arbejder som kontraktchef i München og tidligere har været kvalitetschef på store it-projekter. Efter at hun i august kontaktede en psykolog via GoMentor for at få hjælp mod stress, har hun uden brug af password fået adgang til at læse fire andre klienters fortrolige kommunikation med deres behandlere.

Ann Pettersson opdagede og anmeldte sikkerhedshullet, efter at hun selv søgte hjælp fra en psykolog på nettet.

- Det var psykiske problemer af seksuel karakter. Det var psykiske problemer i forhold til misbrug, alkohol, stoffer. Problemer fra barndommen. Virkeligt svære personlige historier, fortæller Ann Pettersson.

Tilsyneladende er det sket, fordi forskellige brugeres profiler under særlige omstændigheder bliver blandet sammen på portalen.

Politiet efterforsker

Datatilsynets ansatte har efterprøvet og dokumenteret anklagerne fra Ann Pettersson.

- Vi har kunnet genskabe det, hun har gjort, og vi har lavet nogle optagelser af det, siger tilsynschef Jesper Husmer Vang fra Datatilsynet.

Samtidig har Datatilsynet politianmeldt GoMentor:

- Vi har bedt politiet om at hjælpe os med bevissikring. Altså lave noget efterforskning af, hvad det er, der foregår på den her hjemmeside. Og det afventer vi lige nu, fortæller tilsynschefen.

Tilsynschef Jesper Husmer Vang, Datatilsynet: - Man fortæller om sin psykiske situation, og det er en kategori af oplysninger, der har et særligt beskyttelseshensyn

Politiets undersøgelser skal vise Datatilsynet, om der er tale om et enkeltstående tilfælde eller et generelt problem med GoMentor-portalens it-opbygning.

Portal undersøger

GoMentor markedsfører sig som Danmarks og Nordens største portal for samtaleterapi med over 50.000 månedlige besøgende og over 700 tilknyttede behandlere i Danmark og Norge. Virksomheden skriver på sin hjemmeside, at den har hjulpet ”over 70.000”.

GoMentors direktør Troels Sletved har ikke ønsket at lade sig interviewe om sagen. I stedet har han i et skriftligt svar bekræftet, at der har været et brud på persondatasikkerheden, men at GoMentor først opdager det, da DR Gør opmærksom på det.

- Vi er naturligvis meget kede af det passerede. Vi tager vores dataansvar meget seriøst, og vi har lagt en stor indsats i at sikre, at vi behandler personoplysninger korrekt og på fortrolig vis, skriver direktøren.

Alvorlig sag med større straframme

For Datatilsynet er sagen ekstra alvorlig, fordi den handler om følsomme personoplysninger.

- Det er oplysninger om helbred. Man fortæller om sin psykiske situation, og det er en kategori af oplysninger, der har et særligt beskyttelseshensyn, fordi det er i den følsomme ende. Derfor ser vi mere alvorligt på det, end hvis det bare havde været banale kontaktoplysninger, siger tilsynschef Jesper Husmer Vang.

Datatilsynet har bedt politiet efterforske sikkerhedsbruddet hos GoMentor.

Hvis politiets og Datatilsynets efterforskning fører til en sag mod GoMentor, kan konsekvenserne være en større bøde end i tidligere tilfælde. Det er en følge af EU’s meget omtalte persondataforordning (GDPR), som skærper både regler og straframme for brud på sikkerheden med persondata.

- Efter de gamle regler var det sjældent, der blev indgivet politianmeldelser. Og de sager, der blev ført til dom, endte typisk med en bøde på 5.000 kroner i førstegangstilfælde. Det har man gjort op med i forordningen. Der har man lagt op til, at sanktionerne skal være mærkbare, og det skal ikke kunne betale sig at have dårlig sikkerhed, siger tilsynschef Jesper Husmer Vang.

Straframmen for sikkerhedsbrud indebærer efter de nye regler, at der kan gives bøder på helt op til 10 millioner euro eller to procent af en virksomheds omsætning.

GoMentor vil have hjælp udefra

Efter DR har gjort virksomheden opmærksom på fejlen, har GoMentor iværksat et omfattende opklaringsarbejde for at få overblik over sikkerhedsbruddets karakter og omfang, oplyser direktøren i sit skriftlige svar.

Opklaringsarbejdet viser foreløbig, at:

  • En programmeringsfejl har givet fire personer uautoriseret adgang til fire andre brugeres oplysninger. Fejlen er nu rettet.

  • De kompromitterede oplysninger inkluderer navn, e-mail adresser, mødetidspunkter og oplysninger fra et beskedsystem. Der har ikke været uautoriseret adgang til oplysninger fra de behandlingsforløb, de berørte personer eventuelt har gennemgået.

  • Virksomheden har ikke selv fundet flere systemfejl.

GoMentor har samtidig søgt professionel rådgivning udefra og iværksat en række sikkerhedstiltag.

Virksomheden vil nu orientere Datatilsynet og den håndfuld personer, som ifølge de foreløbige undersøgelser har fået delt persondata.

Sikkerhedshul stod åbent længe

GoMentor-direktør Troels Sletved undrer sig over, at Datatilsynet ikke tidligere har orienteret virksomheden om, at en bruger havde anmeldt virksomheden.

- Vi kan oplyse, at vi ikke er blevet kontaktet af Datatilsynet, og at vi ikke har viden om, at der verserer en sag. Vi undrer os, hvis dette er tilfældet, idet vi kunne have lukket sikkerhedshullet på et tidligere tidspunkt, hvis vi var gjort opmærksomme på det, skriver Troels Sletved.

Over for det står brugeren Ann Petterssons oplysning om, at hun som det første kontaktede GoMentors support i august, da hun blev opmærksom på, at der var sammenblanding af navne og profiler på hjemmesiden.

Facebook
Twitter