Tilsvar på sak om datasikkerhet

Dette svarer UiO på saken om Datatilsynets etterforskning av UiOs sikkerhetsrutiner.

UiO har mottatt forhåndsvarsel om vedtak om pålegg fra Datatilsynet. Dette som resultat av en brevkontroll som omfatter UiOs rolle som databehandler. Varsel om vedtak om pålegg innebærer ikke overtredelsesgebyr, men kun at vi blir bedt om å gjennomføre endringer med mindre vi har innvendinger.

Bakgrunn: UiO risikerer millionbot

UiO v/USIT hadde ingen innvendinger til varselet, men bekreftet at vi skulle gjennomføre endringene og ga en foreslått tidsplan for dette. Vanlig prosedyre hos Datatilsynet er å fatte endelig vedtak tilsvarende varselet dersom vi ikke er uenig – et vedtak vi allerede er i gang med å oppfylle.

Dersom vi ikke skulle etterkomme vedtak om pålegg, vil Datatilsynet kunne ilegge dagmulkter. Det vil uansett ikke være tilfelle, ettersom vi har svart Datatilsynet at vi ikke har innvendinger til varselet. Det er altså ingen risiko for et overtredelsesgebyr basert på det mottatte varselet, da det er snakk om et pålegg etter personopplysningsforskriften § 2-2, jf. personopplysningsloven § 46, 3.ledd.

Universitas har bedt om innsyn i flere av saksdokumentene, hvorav mye er sladdet ihht. offentleglova fordi det avslører vår sikkerhetsstruktur. Vi stiller oss uforstående til sammenligningen med Helse Sør-Øst-saken, og slik Universitas fremlegger sammenligningen gir det uttrykk for at Universitas ikke har satt seg inn i bakgrunnen for Datatilsynets vedtak i Helse Sør-Øst-saken.

Innholdet i vedtaket er ikke dramatisk for UiO, men pålegger oss å utbedre enkelte eksisterende sikkerhetsstrukturer. Dette krever noen økonomiske investeringer fra vår side.