Persondata frå 5300 UiO-tilsette hamna på Internett

Persondata frå 5300 UiO-tilsette hamna på Internett i mai i fjor etter ein tabbe hos USIT. Søkjemotoren Google fanga opp både fødselsnummer, jobbtelefon og e-postadresse før feilen blei oppdaga av Datatilsynet som gjorde UiO merksam på det som var skjedd. Ingen av sidene med persondata er no lenger tilgjengelege på Internett.

FRYKTELEG KEISAM: - Dette er ei frykteleg keisam sak for UiO, seier rektor Geir Ellingsrud etter at personopplysningar frå 5300 UiO-tilsette hamna på Internett.
Foto: Ståle Skogstad

-Det er frykteleg keisamt for UiO at dette har skjedd, men Datatilsynet har forsikra oss om at skadeverknadane ikkje treng vera store, seier rektor Geir Ellingsrud i ein kommentar til Uniforum.

Det var i samband med kommunikasjonen med eit britisk selskap om utprøving og feilsøking av timeplanprogrammet Syllabus det ved ein feil blei lagt ut filer på Internett. Det førte til at alle filar med personopplysningar på tilsette ved UiO låg ute frå 18. mai i fjor til feilen blei oppdaga før helga.

- Dette programmet hadde ein del feil som skulle rettast opp, og under dette arbeidet blei det sendt filar frå UiO til det britiske selskapet til ei spesiell nettadresse. Etter at fila er mottatt skal den slettast. Det blei diverre ikkje gjort i det tilfellet, og det tar Universitetets senter for informasjonsteknologi (USIT ) det heile og fulle ansvaret for, seier rektor Geir Ellingsrud. Han har vore i kontakt med Datatilsynet som meiner at ingen treng vera uroa over at nokon kan misbruka identiteten deira om dei har fått tak i personnummeret.

- Datatilsynet seier at det må meir til for å kunna identifisera nokon enn berre fødselsnummeret. Det har ført til at eg er litt rolegare no enn kva eg var då eg fekk vita om det som var skjedd, seier Ellingsrud. Både personnummer, jobbtelefon og epostadresse blei lagt ut på desse filane. Men ingen private adresser blei lagde ut, forsikrar han.

- Har de fått melding om at nokon har misbrukt desse opplysningane?

- Nei, det har me ikkje.

- Kva kjem UiO til å gjera no?

- USIT må gå gjennom rutinane sine og dei har allereie fjerna dei aktuelle filane frå Internett. USIT må også skjerpa rutinane sine og handsama personopplysningar slik dei skal handsamast etter personopplysningslova. Men eg vil gjerne understreka Datatilsynets syn om at det ikkje er nok med personnummer for at nokon skal kunna misbruka personopplysningar, seier Ellingsrud.

- Kan det britiske selskapet lastast for denne glippen?

- Nei, denne feilen må UiO ta på si eiga kappe, presiserer han.
Alle tilsette ved UiO blir no varsla om det som har skjedd.

Skal setja i verk tiltak

USIT-direktør Arne Laukholm er lite glad for det som har skjedd, men han meiner at USIT ikkje har heile ansvaret.

- USIT deler ansvaret med Studieavdelinga, som er systemeigar og har det formelle ansvaret for datainnhaldet i systema, for avtaleverket rundt det og for rutinane i høve til leverandøren. Systemet er eit timeprogram som er levert av selskapet Scientia Ltd. i Storbritannia. Men USIT fråskriv seg likevel ikkje ansvaret som operatør av dette systemet, understrekar han.

Det skal no setjast i verk tiltak for å hindra at dette skjer igjen.

- USIT tar no initiativ for å sjekka alle system som eigentleg ikkje hartilgang til persondata for å finna ut om det likevel ligg persondatader. Då skal det i tilfelle handsamast etter føreskriftene. Me vil også gå gjennom alle rutinar som har å gjera med handtering av persondata og annan verna informasjon.

- Denne gjennomgangen er sett i gang og vil vera ferdig den 15. april. I dette arbeidet vil me trekkja inn både internrevisjonen og eksterne aktørar for å sikra at det blir sett lys på alle forhold rundt dette problemet.

Kunne vore unngått

- Kunne denne feilen ha blitt unngått?
- Sjølvsagt kunne den det. Systemeigar, i dette tilfellet
Studieavdelinga, hadde til dømes ikkje flagga dette programmet som eit program som inneheldt personopplysningar. Det er rota til problemet. Med ein slik gjennomgang som me er i gang med no, vil sjansane for at det skal skje ein gong til, bli svært reduserte.

Emneord: Universitetspolitikk, USIT, Personalbehandling/politikk Av Martin Toft
Publisert 7. mars 2006 13:03 - Sist endra 10. des. 2008 15:41
Legg til kommentar

Logg inn for å kommentere

Ikkje UiO- eller Feide-brukar?
Opprett ein WebID-brukar for å kommentere