UiO bedre på personvern, men ikke i mål

UiO-ansatte som behandler personopplysninger, får ofte ikke ordentlig opplæring, ifølge universitetets årlige internkontroll. Noen ganger resulterer det i at jobbsøknader og personnumre blir lagt åpent tilgjengelig på nett.

I RIKTIG RETNING: – Jeg har et ønske om at vi skal bli bedre, men vi har tidligere vært et langt mørkere sted enn der vi er i dag, sier seniorrådgiver Märtha Felton på USIT.  (illustrasjonsfoto)

Foto: Colourbox

Fra april til juli i år lå en mappe med stillingssøknader, CVer, attester, innstillinger, personnumre og andre personopplysninger åpent tilgjengelig på Det juridiske fakultets nettsider. Dokumentene var søkbare på Google, og logger viser at mappen ved flere anledninger er blitt lastet ned.

I april i fjor ble innstillingspapirene til stillingen som teknisk direktør lagt åpent ut på nett sammen med styrepapirene til Universitetsstyret.

Personopplysninger:

* Personopplysninger er alle former for data, informasjon og opplysninger som kan identifisere en person. Ved UiO behandles det titusener av personopplysninger hvert semester, innenfor studieadministrasjon og forskning, og i ansettelsesforhold. Universitetsdirektøren har det overordnede behandlingsansvaret for all behandling av personopplysninger på UiO.

* Bruken av personopplysninger er i Norge regulert ved personopplysningsloven og personopplysningsforskriften, og ved UiO er disse reglene supplert med bestemmelsene i Reglementshåndboken om personvern og IT-sikkerhetshåndboken.

Kilde: uio.no

Les mer om personvern på UiO

– Jeg ser alvorlig på denne type saker. Samtidig er det min erfaring at de blir raskt og profesjonelt håndtert av USIT når de oppdages, sier UiOs personvernombud Morten Opsal.

Årlig internkontroll

UiOs årlige, interne kontroll av administrative behandlinger av personopplysninger tyder på at oppmerksomheten rundt personvern er økende. Slik konkluderer IT-direktør Lars Oftedal og seniorrådgiver på USIT Märtha Felton som nylig har oversendt 2012-rapporten til universitetsdirektøren.

Men samtidig som opplæringen i rutiner og regelverk ser ut til å være styrket, beskriver rapporten en svak endring i negativ retning på områdene informasjonssikkerhet, sletting og avvikshåndtering. Dette karakteriseres som «bekymringsverdig».

Mangelfull opplæring

59 av 62 ledere har besvart spørreundersøkelsen som rapporten baserer seg på.

Nærmere halvparten av disse har krysset av for bare «delvis dekket» på spørsmål om ansatte som behandler personopplysninger, har fått opplæring i dette og i regelverket som regulerer behandlingen.

Universitetsdirektør Gunn-Elin Aa. Bjørneboe er likevel ikke bekymret.

– Jeg opplever ikke dette som veldig urovekkende. Det er fordi vi i tillegg til den årlige kontrollen foretar stedlige besøk. De som behandler personopplysninger i sitt arbeid på UiO, rapporterer at de får den informasjonen de trenger, sier hun.

Personvernombudet forklarer den høye svarprosenten på «delvis dekket» slik:

– Personopplysningsloven er en komplisert lov, så det kan være vanskelig å svare «helt dekket». Det jeg registrerer, er at både kompetanse og bevissthet i organisasjonen øker fra år til år, men at kompetansehevende tiltak fortsatt trengs.

Selv får ombudet 1–4 henvendelser i måneden. For det meste spørsmål om hva som må gjøres før en behandling av personopplysninger skal igangsettes.

Usikkert om alle avvik blir oppdaget

Det er seniorrådgiver Märtha Felton på USIT som har det daglige ansvaret for at behandlingen av personopplysninger går riktig for seg.

Når opplysningene forvaltes feil, eller i strid med loven, betegnes det som et avvik.

Og når avvik oppdages, har de høyeste prioritet, forsikrer Felton. Det som skjer da, er at universitetets IT-sikkerhetsgruppe CERT (Computer Emergency Response Team) kobles inn.

– CERT-teamet finner ut når avviket skjedde og hvor det skjedde fra. De undersøker også om opplysningene er plukket opp blant annet av Googles søkemotorer, og ber om å få dem fjernet derfra. I tillegg blir de berørte informert om hendelsen, sier Felton.

– Blir alle avvik oppdaget?

– Det er det umulig å svare på. Men hadde jeg hatt den minste anelse om at det var fare for avvik for eksempel ved et fakultet, så ville jeg vært på saken med én gang. Hittil i år har jeg fått inn 1–2 avviksmeldinger.

– Det er vel bra?

– Jeg har et ønske om at vi skal bli bedre, men vi har tidligere vært et langt mørkere sted enn der vi er i dag.

Forstår ikke spørsmålene

Universitetsdirektøren framhever den positive trenden.

– Jeg er veldig fornøyd med at vi ved UiO over de siste årene har klart å heve fokus på og kunnskap om behandlinger av personopplysninger i hele organisasjonen. Samtidig forteller noen av svarene i denne kontrollen oss at vi fremdeles har en jobb å gjøre på viktige områder som for eksempel avvikshåndtering, sier hun.

Om de positive og negative tendensene som avdekkes i undersøkelsen, stemmer med virkeligheten, er for øvrig noe usikkert, ifølge Felton.

– Vi har fått en del tilbakemeldinger fra ledere som sier at de ikke forstår spørsmålene, forklarer seniorrådgiveren.

– Den samme tilbakemeldingen har vi fått tidligere år, men selv med nye hjelpetekster og veileder er lederne usikre på hva de skal svare, utdyper hun.

– Svarene i undersøkelsen kan altså bety hva som helst?

– Nei. Vi ser endringer i svarene fra i fjor, og må legge til grunn at mye også er forstått.

 

Emneord: Arkiv, Administrasjon Av Helene Lindqvist
Publisert 9. aug. 2013 10:04 - Sist endret 11. jan. 2018 17:29
Legg til kommentar

Logg inn for å kommentere

Ikke UiO- eller Feide-bruker?
Opprett en WebID-bruker for å kommentere