UiO bryter lov om personopplysninger

Universitetet i Oslo pålegger sine studenter og ansatte å registrere personlige opplysninger på nettet.
- I flere tilfeller bryter UiO loven for hvordan slike opplysninger skal behandles, konstaterer Jon Bing, professor ved Institutt for rettsinformatikk.

UTEN SAMTYKKE: -I Classfronter samles det inn personlige opplysninger uten at studentene gir sitt samtykke til dette, konstaterer Jon Bing.
Foto: Ola Sæther

Den 29. januar i år sendte Jon Bing og kollega Dag Wiese Schartum ved Avdeling for forvaltningsinformatikk et brev til Universitetsdirektøren. I brevet uttrykker de sin bekymring for om UiO etterlever personopplysningslovens bestemmelser. De peker på flere tilfeller i løpet av det siste halve året der universitetet åpenbart bryter loven som skal beskytte den enkelte mot at personvernet krenkes.

- Klare lovbrudd

Tilfellene gjelder bruken av det web-baserte undervisningssystemet Classfronter, registrering av opplysninger om studentenes opprinnelsesland ved pålogging på StudentWeb og kravet til de ansatte ved UiO om å registrere en rekke personopplysninger hos Berg-Hansens reisebyrå. Professorene peker også på at opplysninger om brukernes etniske bakgrunn og foreldrenes opprinnelsesland blir gjort tilgjengelig i det såkalte bofh-systemet for administrasjon av passord ved universitetet.

Bing og Schartum understreker at det ikke er deres oppgave å passe på at UiO følger personopplysningslovens bestemmelser. De har da heller ikke gjennomført noen dyptgripende analyse av de sakene de trekker fram.
"Dessverre foreligger det imidlertid i alle de nevnte tilfellene klare lovbrudd. Vi føler oss derfor forpliktet til å gjøre universitetsledelsen klar over forholdet" heter det i brevet til Universitetsdirektøren.

Ifølge personopplysningsloven skal den enkelte ivareta sine egne interesser ved å gi et frivillig og informert samtykke. Samtykke fra den enkelte danner et rettslig grunnlag for å behandle personopplysninger.

- I Classfronter samles det inn personlige opplysninger uten at studentene gir sitt samtykke til dette. Det gjøres heller ikke klart hva formålet med å samle opplysningene er. Personopplysningsloven krever at den enkelte får vite hvem som får tilgang til opplysningene, hvor lenge de skal lagres og hva de skal brukes til, understreker Bing.

Han framholder at de alvorligste bruddene på personvernloven er knyttet til StudentWeb. - Vi reagerer på at studentenes etnisk opprinnelse registreres. Det er åpenbart at UiO her samler inn sensitive opplysninger. Registreringen av slike opplysninger er konsesjonspliktig, men institusjonen har ikke søkt konsesjon.

- Mangler strategi

- Hvor alvorlig ser du på de tilfellene dere tar opp i brevet til Universitetsdirektøren?
- Enkeltvis er de ikke svært alvorlige. Det vi er mer bekymret for er UiOs åpenbart manglende strategi på dette området. Vi bebreider ingen enkeltperson for lovbruddene, det ersystemet som svikter. Det finnes ikke rutiner for å sjekke hva slags krav personopplysningsloven stiller, konstaterer jusprofessoren.

Jon Bing er leder for Personvernnemnda, et uavhengig forvaltningsorgan som behandler klager på vedtak som Datatilsynet fatter.
- Som Personvernnemdas leder gir jeg strenge pålegg til en samlet bank- og finansverden i Norge. Jeg føler meg forpliktet til å si ifra om uheldige forhold også innenfor den organisasjonen jeg selv er en del av. Men det ligger ikke noen personlig forargelse bak, understreker han.

- Hvordan tolker du at UiO gjør opplysninger om brukernes etniske bakgrunn og foreldrenes opprinnelsesland tilgjengelig?
- Dette er først og fremst uttrykk for at UiO ønsker seg flere studenter av utenlandsk opprinnelse. Det er verdens mest prisverdige tiltak, og jeg er ikke tvil om at universitetet vil få konsesjon fra Datatilsynet. Men det kreves varsomhet. Generelt kan vi si at de gode formål et blant personvernets største fiender.

- Bør UiO i større grad la være å spørre etter opplysninger av personlig karakter?
- Nei, tvert imot. UiO trenger opplysninger av personlig karakter for å kunne utvikle sine tilbud, ikke minst overfor studentene. Men dette må skje i åpenhet. Det er høyst utilfredsstillende at utviklingen av systemer skjer uten at reglene følges.

- Er du overrasket over at UiO bryter personvernloven på flere punkter?
- Nei, overrasket er et for sterkt ord. Loven er komplisert, og det er ingen enkel sak å følge den til punkt og prikke. Jeg er svært fornøyd med at UiO for ett år siden opprettet et personvernombud. Jeg håper at ombudet i framtiden vil bli trukket mer og tidligere med i prosessen når nye systemer skal utvikles.

Datatilsynet tar saken

Uniforum kontaktet Datatilsynet og la fram innholdet i brevet fra de to jusprofessorene.
- Hvordan ser Datatilsynet på opplysningene som kommer fram i brevet fra Bing og Schartum?
- Det er for tidlig å uttale seg om dette nå, svarer avdelingsdirektør Knut B. Kaspersen i Datatilsynet.
- Først vil vi gjennomføre en saksbehandling. Det vil ta noe tid. I første omgang kommer vi til å ta kontakt med personvernombudet ved UiO for å få en redegjørelse om de nevnte forholdene.

Lov om behandling av personopplysninger
Trådte i kraft 1. jaunar 2001.
Er den sentrale og viktigste loven som regulerer personopplysninger.
Datatilsynet fører tilsyn med loven.
Formål: beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering.
UiO bryter loven på følgende punkter, ifølge Bing og Schartum:
* § 8 om rettslig grunnlag for å behandle personopplysninger
* § 11 første ledd bokstav c om angivelse av formål for behandling av personopplysninger og
* § 19 om informasjon ved innsamling av opplysninger direkte fra den registrerte.
* I minst ett av tilfellene foreligger det dessuten trolig brudd på § 9 om rettslig grunnlag for å behandle sensitive personopplysninger, og § 33 om krav til konsesjon for å behandle sensitive personopplysninger.
Emneord: Studentsaker, Web Av Trine Nickelsen
Publisert 21. feb. 2004 15:18 - Sist endret 10. des. 2008 16:00
Legg til kommentar

Logg inn for å kommentere

Ikke UiO- eller Feide-bruker?
Opprett en WebID-bruker for å kommentere