Personopplysninger på avveie: – Veldig alvorlig
Universitetet i Agder har avdekket flere tilfeller hvor dokumenter med personnummer ikke er beskyttet godt nok.
Det skriver UIA på egne hjemmesider onsdag morgen.
– Det er et alvorlig brudd på Uias rutiner knyttet til sikker lagring at personer på UIA uten tjenstlig behov har hatt tilgang til å finne disse, og vi beklager overfor de berørte, sier universitetsdirektør Seunn Smith-tønnessen i pressemeldingen.
Avvikene dreier seg om at dokumenter med ulike grader av sensitive personopplysninger var lagret i åpne Teams-mapper, hvor ansatte og studenter uten behov for tilgang kunne finne dem.
– Vi ser veldig alvorlig på dette. Det er et alvorlig brudd på våre rutiner for sikker lagring. De som har hatt tilgang på denne informasjonen er i hovedsak ansatte på universitetet. Med unntak av ett tilfelle der studenter kan ha hatt tilgang, sier Seunn SmithTønnessen til Fædrelandsvennen.
INFORMASJON OM EKSAMEN
Personopplysningene som er på avveie er blant annet fødselsnummer, informasjon om tilrettelegging av eksamen, samt opplysninger om studietilhørighet og informasjon om navngitt ansatt som var sykemeldt.
Det var en ansatt som 13. februar oppdaget fire avvik etter å ha søkt i åpne Teams-grupper. Senere har det blitt oppdaget ytterligere fem avvik om personopplysninger på avveie.
Det største avviket er en liste med 10.000 eksterne personer, 700 sensorer og 3000 ansatte som var mulig å finne for alle ansatte.
Smith-tønnessen sier at de har de siste dagene gått gjennom Teams for å se om det ligger flere dokumenter med personopplysninger som er lagret feil.
– Vi har også gått ut til ansatte med informasjon om sikker lagring av Teams. Vi bruker anledningen til opplæring, og til å msørge for at det ikke skjer igjen, sier hun.
Fødselsnummer på avveie kan i verste fall utnyttes til svindel og forsøk på personforfalsking.
JOBBER MED Å RYDDE OPP
Universitetet skriver videre at de har gått gjennom logger, og følger opp nedlastingene av dokumentene med sensitiv personinformasjon.
Smith-tønnessen sier at det per nå er ingenting som tyder på at informasjonen har kommet til personer med dårlig hensikter.
– Teams er ikke et system med logger, men vi kan se logg for når dokumenter endres på. Vi har ingen indikasjon på at det har skjedd. Det er fremdeles fire tilfeller vi holder på å undersøke. Men vi kan dessverre ikke utelukke helt at noen ureglementert har sett disse dokumentene fordi det ikke er sikker logging i Teams, sier Smith-tønnessen.
TILGJENGELIG SIDEN 2018
Dokumentene i alle avvikene har sannsynligvis vært tilgjengelig for ansatte uten tjenstlig behov siden 2018, da UIA byttet lagringsløsning til Microsoft Teams og Sharepoint, heter det videre på Uias hjemmeside.
Universitetet opplyser at de har informasjon om sikker lagring på sitt intranett. Det har til tider vært hengt opp plakater rundt om i ansattområder, og med jevne mellomrom gjort ulike kampanjer og opplæring.
– Likevel ser vi at vi har en jobb å gjøre når det gjelder etterlevelse av de rutinene som skal sikre våre studenters og ansattes personvern. Det vil vi jobbe med i tida framover, sier Smith-tønnessen.
Datatilsynet er varslet.