Handelshøyskolen BI sendte sensitive helseopplysninger om en student til 130 av personens medstudenter.

2011-03-23

De sensitive helseopplysningene ble sendt til alle i andreklasse på master i finans via læringsplattformen Itslearning i januar. I dokumentet står det at en navngitt student ikke kan fullføre på normert tid fordi han er blitt rammet av hjerneslag.

Kim Ellertsen, avdelingsdirektør i Datatilsynet, er krystallklar på at dette er et brudd på personvernet.

– Helseopplysninger skal ikke stå i dokumenter som skal distribueres til andre enn den det gjelder, og har ingenting på Itslearning å gjøre. Slik informasjon skal per definisjon ikke stå der, og er i så fall en personvernglipp, sier Ellertsen.

Alvorlig

Ellertsen mener at feilen er alvorlig, og at BI nå bør gå gjennom sine rutiner.

– Det er alvorlig for den det gjelder. Prioritet nummer én må være å underrette den dette gjelder. Dersom dette er et avvik eller brudd på interne rutiner, skal det meldes ifra til oss. De bør uansett gå i seg selv og gjennom sine rutiner. Ikke minst må de se på reparerende tiltak i en slik situasjon, sier han.

Den rammede studenten kjente ikke til saken da Universitas kontaktet ham, men sier at han vil henvende seg til BI for å fortelle at han ikke er fornøyd med det som har skjedd.

Dokumentet som ble sendt ut inneholdt en oversikt over presentasjoner som finansstudentene skulle holde.

Kuvending fra BI

Heller ikke BI hadde fått med seg at dokumentet med de sensitive opplysningene lå tilgjengelig for masterstudentene. Direktør for masterstudiene, Ann Kristin Calisch, bedyret først at dokumentet kun forelå internt i administrasjonen. Et par timer senere ble dokumentet fjernet fra Itslearning.

– Ja, nå har vi fjernet dokumentet. Vi var ikke klar over at det var publisert av en av BIs faglige ansatte, og må bare beklage at det lå der. Det første vi gjør nå er å kontakte studenten det gjelder og beklage på det sterkeste, sier Calisch.

– Hvor mange studenter lå dokumentet tilgjengelig for?

– Det er vel nærmere 130 studenter, men det er nok de færreste som har sett dette. Studentene så nok ikke på den fliken (i excel-dokumentet, red. anm.) som åpnet siden der dette sto.

– Hvordan kunne dette skje?

– Det er en personlig glipp. Man har ikke fjernet informasjonen i dokumentet før det ble publisert. Dokumentet er ment til intern bruk.

– Har du snakket med personen som var ansvarlig?

– Ja, det har jeg. Han beklager på det sterkeste, og sier han ikke tenkte over hva han gjorde.

– Vil dere melde dette inn for Datatilsynet?

– Det må jeg ta opp med ledelsen og de som har ansvar for personvern. Jeg har varslet ledelsen og vi skal diskutere hva som skal skje. Vi kommer til å gå igjennom hva BI skal gjøre for at dette ikke skal skje igjen. Dette innebærer en kontroll av rutinene, sier hun.

Etter korrespondanse med personvernombudet bestemte BI seg for å rapportere saken til Datatilsynet.

Lars Thorvaldsen • Skjalg Bøhmer Vold (foto)