For tredje gang på ett år har Universitetet i Oslo brutt personopplysningsloven. Universitetet selv skylder på Google.

Ove Skåra i Datatilsynet.
Foto: RobBerit Roald / Scanpix

Over tre tusen personnumre, navn og e-postadresser til studenter og ansatte ved Det medisinske fakultet (Med) ved Universitetet i Oslo (UiO), har de siste to månedene ligget fritt tilgjengelig på Internett. Dette til tross for at problemet er tidligere kjent, og at Universitetets senter for informasjonsteknologi (USIT) lovet at situasjonen var løst.

- Dette er under enhver kritikk. Det er helt hårreisende at dette har skjedd igjen, og jeg syns det vitner om en mangel på oversikt over hva universitetet gjør med personopplysninger, sier leder for Medisinsk studentutvalg (MSU), Stian Østland.

Opplysningene har blitt brukt som en del av den elektroniske timeplanen for studenter og ansatte ved Med, også kjent som «OKSebasen».

Jussprofessor ved UiO, Dag Wiese Schartum, er ekspert på personvern og forvaltningsinformatikk. Han mener dette er et brudd på personopplysningsloven. Loven konstaterer eksplisitt at behandling av «sensitive personopplysninger knyttet til personen selv», herunder personnummer, forutsetter at «den registrerte samtykker i behandlingen».

Schartum mener situasjonen ikke er bra, og pekter på at personnumre uberettiget kan brukes til å skaffe sensitiv informasjon.

- Med tanke på muntlig kontakt, for eksempel kundebehandling, er det med noens personnummer mulig å få nesten alle typer informasjon, sier Schartum.

Har skjedd tidligere

Det er ikke første gang UiO har blitt kritisert for dårlig sikring av personopplysninger. I fjor ble det opplyst om at universitetet ved en feil hadde publisert persondata til over 5300 ansatte. Rektor ved UiO, Geir Ellingsrud, karakteriserte da hendelsen som «fryktelig kjedelig», og daværende it-direktør i USIT, Arne Laukholm, lovet på tro og ære at man skulle iverksette tiltak slik at dette ikke skulle gjenta seg.

Nå får universitetet kritikk fra Datatilsynet, som mener de har vært for dårlige til å sikre seg.

- Det er alvorlig når samme institusjon gjør tilsvarende feil flere ganger. Når en skade først er skjedd, må man gå gjennom all teknologi og rutiner for at det ikke skal skje igjen, sier informasjonsdirektør i Datatilsynet, Ove Skåra.

Skåra sier dette er en sak som Datatilsynet umiddelbart vil ta tak i.

Lover opprydding

Dekan ved Med, Finn Wisløff, har også hatt sitt fulle navn og personnummer liggende ute på nett de siste par månedene. Nå lover han opprydding.

- Vi kan bare beklage dette sterkt, og love at vi skal ta tak i det. Dette er ikke slikt som skal skje, sier dekanen.

Konstituert it-direktør i USIT, Lars Oftedal, mener Google må ta sin del av skylden for det som har skjedd, fordi Google har søkemotorer som lagrer alle websidene sine i et minne, eller «cache», som blir liggende ute også etter at selve siden har blitt fjernet.

- Første gang vi oppdaget dette, sjekket vi minnet, og da var sidene fjernet. Siden har de på et eller annet vis kommet tilbake, sier Oftedal.

- Dette er altså ikke en svikt i rutinene deres?

- For seks uker siden var det en svikt i rutinene, og vi gjennomgikk rutinene våre, slik vi gjør i sånne saker.

- Så dere er fornøyd slik ting fungerer?

- Vi innser nå at rutinene våre i forhold til å stoppe informasjonslekkasjer ikke er gode nok, så vi kommer til å innføre nye rutiner som gjør at vi kan følge bedre med, sier han.

- Må ta ansvar

MSU-leder Østland kjøper ikke Oftedals forklaring, og mener dette er nok et eksempel i en lang rekke av tilfeller hvor USIT nekter å ta ansvar.

- Det er USIT som i siste instans sitter på ansvaret for hva som er tilgjengelig eller ikke. At noe slikt som dette skulle skje, er strengt tatt lovstridig, og det er noe USIT må ta på sin egen kappe, sier han.

Etter at Universitas gjorde saken kjent for universitetet, har alle personnumrene imidlertid blitt fjernet, igjen. Det lyktes ikke Universitas å få kommentar fra Google.

Hanne Gustavsen og Karin Gustavson studerer begge medisin på andre året. Ingen av dem var klar over at deres personnumre har ligget et Google-søk unna. De mener det er ubehagelig.

- Jeg må innrømme at jeg ikke vet helt hvordan et personnummer kan misbrukes, men det finnes det sikkert mange der ute som gjør, sier Gustavsen.

Studentene syns det er for dårlig av universitetet å ikke klare å sikre persondata bedre.

- En slik mentalitet innen en organisasjon er ikke holdbar, og særlig når det har skjedd før, sier Gustavson.

- Blir dere utrygge?

- Det er klart man blir det, sier Gustavson, mens Gustavsen nikker anerkjennende.