Innrømmer ulovlig datalagring
Universitetet i Oslo har lagret personopplysninger ulovlig. – Det virker som de ikke har hatt kontroll, sier Bjørn Erik Thon, direktør i Datatilsynet.
Hver gang et adgangskort blir brukt på Universitetet i Oslo (UiO) registreres bevegelsen med alle personopplysningene til brukeren i Universitetets server. UiO innrømmer at denne praksisen ikke er i tråd med personopplysningsloven.
Vi ser svært alvorlig på dette og har igangsatt en grundig gjennomgang av saken»
Gunn-Elin Bjørneboe, universitetsdirektør ved UiO
– Vi ser svært alvorlig på dette og har igangsatt en grundig gjennomgang av saken, skriver universitetsdirektør Gunn-Elin Bjørneboe i en epost til Universitas.
Gjennomgangen av Universitetets systemer kom etter at Bergens Tidende avdekket overvåkningslovbrudd ved Universitetet i Bergen (UiB), men først denne uken ble det klart at også UiO har brutt loven.
– Nødvendige tiltak vil bli iverksatt, lover Bjørneboe.
– Tyder på kunnskapssvikt
– UiO er nok ikke alene i å gjøre denne feilen. I de fleste tilfeller tror jeg det skyldes kunnskapssvikt hos institusjonen, sier direktør Bjørn Erik Thon i Datatilsynet.
Han mener det er bekymringsverdig at kunnskapen om personvern er såpass lav hos høyere utdanningsinstitusjoner i Norge.
– For meg virker det som de ikke har hatt kontroll på sluttrutiner og lagring av informasjonen. De to punktene bør en virkelig ha kontroll på dersom en skal håndtere personopplysninger, sier Thon.
Han opplyser om at Datatilsynet ikke har tatt stilling til om de vil gjennomføre tilsyn ved de høyere utdanningene som nå innrømmer lovbrudd.
Lagrer for mye
Informasjonen fra kortleserne lagres i 90 dager. Hver gang en student eller ansatt bruker personlige adgangskort, blir navn, tid og sted registrert.
– Er det noen opplysninger som lagres lenger enn nødvendig?
– Et av avvikene vi har avdekket at vi nok lagrer flere passeringsdata enn strengt nødvendig. En annen måte å si det på er at noen av dataene lagres for lenge, sier stabsdirektør Britt Amundsen Hoel ved UiO.
I forrige ukes Universitas sa Hoel at hun ikke trodde at adgangen til toaletter hadde blitt loggført. Nå viser det seg at dette ikke stemmer.
– Vi avdekket at kortleserne på et fåtall toaletter i sentrum var loggført. Disse kortleserne ble frakoblet umiddelbart da vi avdekket dette, sier Hoel.
Hun forteller at disse kortleserne ble installert for å sikre at uteliggere ikke benyttet seg av toalettene i sentrum.
Unntatt innmelding
UiO har et eget personvernombud og er derfor ifølge Hoel unntatt meldeplikt til Datatilsynet.
– Har dere vurdert om denne ordningen fungerer slik den skal i lys av informasjonen som er blitt avdekket den siste uken?
– Personvernombudet er på mange måter Datatilsynets forlengede arm, og virksomheten må søke Datatilsynet om å opprette personvernombud. Å vurdere å fjerne ombudet fra UiO, vil være å gå i feil retning, sier Hoel.
Videre melder hun om at Universitetet nå skal omformulere årsakene til loggføringen for å kunne gi studenter og ansatte innsikt i hvor dette er nødvendig.
Overrasket
– Jeg har snakket med en del studenter, som alle har sagt at de ble svært overrasket over det de fikk opplyst i Universitas. Jeg synes det er kritikkverdig at UiO ikke har opplyst om hvordan disse opplysningene forvaltes, og hvor lenge de beholder dem, sier leder av Studentparlamentet ved UiO Gabrielle Legrand Gjerdset.
Hun legger også til at hun ikke tror Universitetet har overvåket de ansatte og studentene med vilje, men at det rett og slett dreier seg om en kunnskapssvikt fra deres side.
– Dette viser at det kanskje er litt for lite kultur for å snakke om personvern ved utdanningsinstitusjonene, og det er noe som bør endres så raskt som mulig, sier Gjerdset.
Rektor ved UiO Ole Petter Ottersen ønsket ikke å uttale seg, men henviste til universitetsdirektør Bjørneboe og Stabsdirektør Britt Hoel da Universitas kontaktet ham på fredag.
Jusstudent Knut Klever Næss er en av de som høyst sannsynlig har fått toalettbesøkene sine loggført av UiO. Han mener nå at UiO ikke har annet å gjøre enn å legge seg flate.
– Når det virker som de har så lite kontroll over hvor mye informasjon de sitter med, og hvordan den forvaltes, er det klart at jeg ikke stoler på dem med mine personopplysninger.
Næss har vanskelig for å se hvorfor Universitetet skulle ha behov for å hente inn all den informasjonen de nå opplyser at de sitter med.
– Det er åpenbart kritikkverdig at de ikke har gitt gode nok opplysninger om hva de faktisk loggfører, til studentene, og jeg mener at UiO bør beklage det som tydeligvis har skjedd her, sier Næss.
– Jeg kan i hvert fall si at jeg ikke har blitt opplyst om at all denne informasjonen blir loggført, og hvor lenge UiO beholder den, fortsetter han.
Likevel legger Næss til at han synes det er bra at dette nå har blitt tatt skikkelig tak i.