To maskerede mænd bankede på en sportsskyttes dør midt om natten. De kendte hans navn, adresse og vidste, at han havde skydevåben derhjemme. Oplysningerne kom fra et hack af hans skytteforening.
I oktober 2025 blev en national skytteforening hacket. 250.000 aktive sportsskytters og 750.000 tidligere medlemmers data blev stjålet og lagt til salg. Navne, adresser, telefonnumre, e-mails og licensoplysninger.
Foreningen havde ikke oplysninger om selve våbnene. Men et skydevåben over en vis kaliber kræver licens. Hackerne behøvede ikke vide, hvilke våben der var. De vidste, at der var våben.
Data blev til indkøbsliste
Inden for to måneder brugte kriminelle de stjålne data som vejviser. I én by udgav to mænd sig for politibetjente og stjal fem skydevåben. I en anden by blev en konkurrenceskytte overfaldet af to bevæbnede, maskerede mænd, bundet og tvunget til at åbne sit våbenskab. Ni skydevåben, 1.300 patroner og kontanter stjålet.
Anklagemyndigheden bekræftede, at data fra hacket var brugt til indbruddene. En 18-årig blev anholdt i januar 2026.
Tre fjerdedele skulle aldrig have været eksponeret
Det mest foruroligende: foreningen havde beholdt data på 750.000 tidligere medlemmer, der for længst havde ladet deres licens udløbe. Under GDPR skal persondata slettes, når formålet er opfyldt. Havde foreningen slettet de inaktive, var tre fjerdedele af de eksponerede aldrig blevet mål.
Relevant for danske foreninger
Herhjemme har jagtforbundet omkring 90.000 medlemmer i over 800 jagtforeninger. Sportsskytteforeninger og jagtforeninger registrerer medlemmers navne, adresser og kontaktoplysninger. Oplysninger der i kombination med viden om våbenlovgivning kan gøre medlemmer til mål.
Men vinklen er bredere end våben. Enhver forening, klub eller organisation der opbevarer medlemsdata, sidder med det samme ansvar. Patientforeninger med helbredsoplysninger. Fagforeninger med arbejdsgiverdata. Idrætsforeninger med børns adresser. Data er ikke abstrakt. Data er en vejviser til menneskers hjem.
Tre ting foreninger kan gøre nu
Slet data I ikke længere har brug for. Gennemgå medlemsregistret og fjern inaktive medlemmer, udløbne licenser og gamle kontaktlister. Foreningen i sagen havde beholdt 750.000 tidligere medlemmer i årevis. Havde de slettet dem, var tre fjerdedele aldrig blevet eksponeret.
Begræns og log adgangen til medlemsregistret. Ikke alle frivillige og bestyrelsesmedlemmer behøver adgang til alle data. Indfør adgangsstyring, selv i en lille forening, og fjern adgangen, når en frivillig stopper.
Stil krav til jeres IT-leverandør. Angriberne kom ind via foreningens tredjeparts IT-leverandør. Spørg: hvordan er vores data beskyttet, hvem har adgang, og hvornår blev sikkerheden sidst testet?
Hvornår fik jeres forening sidst gennemgået sin IT-sikkerhed og datahåndtering?
En uafhængig cybersikkerhedsaudit afslører, om jeres medlemsdata er beskyttet, og om I overholder GDPR’s krav om dataminimering og sletning.
Har du brug for en vurdering af jeres sikkerhed?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
