Torsdag 25. januar ble en e-post sendt ut til de 32 ph.d.-kandidatene ved Fakultet for informasjonsteknologi og elektroteknikk (IE) om at opplysninger som deres personnummer og vitnemål hadde ligget åpent ute på internett i en periode. Avviket ble oppdaget allerede 14. desember.

Dette bekrefter organisasjonsdirektør Ida Munkeby ved NTNU til Under Dusken.

- Annonse -

– Den 14. desember mottok NTNU et varsel om en PDF-fil, som inneholdt personopplysninger om kandidater til ph.d.-studier ved NTNU, i et Google-søk. Alle saker gjaldt opptakssøknader til ph.d.-studier høsten 2017. Personopplysninger som var gjort søkbare var blant annet kandidatens personnummer og kopi av vitnemål, sier hun.

Les også: Faglærer publiserte studentoppgaver på egen nettside uten samtykke

[ image ]

Foto: NTNU

Organisasjonsdirektør Ida Munkeby ved NTNU sier at hendelsen er beklagelig.

Munkeby forteller at det var en ansatt i en ekstern virksomhet som gjorde NTNU oppmerksom på dette, ikke en av de berørte. Da feilen ble oppdaget lukket NTNU tilgangen til den aktuelle PDF-filen.

Personopplysningene skal ha vært tilgjengelige på internett mellom 25 og 115 dager.

Hvorfor har det tatt så lang tid før de berørte ble varslet?

– Alle berørte skal nå være varslet. Det er flere grunner til at dette har tatt lengre tid enn ønskelig. Dels på grunn av behov om kontaktinfo, behov for oversettelse til engelsk og dessverre en misforståelse om hvem som skulle følge opp hva.

Munkeby legger til at rutinene ved NTNU sier at berørte skal varsles dersom personopplysninger er på avveie.

– Og dette er noe vi følger opp.

Les også: Tok utilsiktet opp lyd hos forsøksfamilie i syv måneder

– Kan i verste fall bli brukt til ID-kriminalitet

Fagdirektør Hallstein Husand i Datatilsynet kjenner ikke til den konkrete saken, men uttaler seg på generelt grunnlag. Han forteller at opplysninger som personnummer i ytterste konsekvens kan bli brukt til ID-kriminalitet.

– I verste fall kan noen bruke disse opplysningene til å utgi seg for å være en annen person, sier Husand som legger til at både personnummer og vitnemål kan misbrukes.

Les også: SiT lagrer treningsdata ulovlig

Ingen lov om å varsle de berørte

Husand opplyser at Datatilsynet generelt gir pålegg om at de berørte skal varsles, så lenge alvorlighetsgraden er høy nok, men at det ikke eksisterer noen lov som eksplisitt sier at dette er et krav.

– Men det er snakk om at det skal komme en ny lov i mai som pålegger at berørte parter skal varsles.

Feil i møteverktøyet

Årsaken til lekkasjen var en misforståelse av funksjonalitet i møteverktøyet i forhold til intern og ekstern tilgang. Dette resulterte i at saker som i utgangspunktet skulle være lukket, ble åpnet.

I etterkant av dette har NTNU endret både brukerinformasjon og gjort justeringer på selve systemet for å redusere risikoen for at noe slikt skal skje igjen i fremtiden.

–Beklagelig

Munkeby forteller at NTNU tar personvern på alvor og kontinuerlig jobber for å forbedre sine rutiner.

– Slike avvik er ikke akseptabelt og selvfølgelig meget beklagelig, sier hun.

Også tidligere har personopplysninger kommet på avveie ved NTNU.

– Vi har da varslet både Datatilsynet og de registrerte, og iverksatt tiltak for å lukke søkbarhet, og så videre. NTNU jobber med informasjonssikkerhet og personvern kontinuerlig, og vi vil jobbe videre for å øke kompetansen om slike behandlinger i alle ledd ved universitetet, opplyser Munkeby.

Kan dele ut gebyrer

Når Datatilsynet behandler avvik ser de først på om det har blitt gjort en uheldig feil, eller om det er rutinesvikt som er årsak til avviket. Dersom det er snakk om sistnevnte kan Datatilsynet pålegge den aktuelle institusjonen å bedre rutinene for å hindre at noe slikt skjer igjen.

Om mengden eller typen opplysninger på avveie er av spesielt alvorlig grad kan Datatilsynet også velge å gi gebyrer, men Husand forteller at det er lite trolig at dette avviket er av en slik alvorlighetsgrad.

Han sier også at undervisningssektoren hverken er bedre eller dårligere enn andre institusjoner og bedrifter, når det gjelder antall avvik som blir meldt inn.

- Annonse -