UiO risikerer millionbot
Datatilsynet mistenker at UiOs håndtering av sensitiv persondata har vært for slepphendt. I en lignende sak fikk helseforetakene bøter på til sammen 7,2 millioner kroner.
Etter en brevkontroll har Datatilsynet bedt UiO om å endre sine sikkerhetsrutiner. Brevkontrollen gjelder behandlingen av sensitive personopplysninger som fødselsnummer, informasjon om store menneskemengder og informasjon som behandlingsansvarlig har klassifisert som beskyttelsesverdige med hensyn til konfidensialitet.
– Hvis vi finner områder vi mener har en svakhet gir vi varsel om pålegg. Det kan dreie seg om alt fra et lite endringsforslag til et alvorlig sikkerhetshull, sier Veronica Jarnskjold Buer, senioringeniør i Datatilsynet.
Glemte å strø: Da fikk UiO bot
Behandler UiOs svar
Hun holder for tiden på å behandle UiOs svar i saken. Etter at saken er ferdigbehandlet blir det avgjort om Datatilsynet godtar UiOs redegjørelse eller om de pålegger universitetet å gjøre endringer. Siden saken ikke er avgjort er detaljene omkring hva pålegget gjelder foreløpig unntatt offentligheten.
Det kan dreie seg om alt fra et lite endringsforslag til et alvorlig sikkerhetshull»
Veronica Jarnskjold Buer
Allerede i oktober 2016 sendte Datatilsynet ut et brev med informasjon om kontroll. UiO svarte med å sende informasjon om sine sikkerhetsrutiner, men Datatilsynet var ikke tilfredsstilt. Datatilsynet sendte 21. november 2017 et brev med varsel om vedtak som pålegger UiO å gjøre endringer i sitt datasystem. UiO valgte å sende et siste svar fremfor å godta pålegget.
Sensitivt
– Det kan hende jeg har misforstått, og da er dette ingen sak. Vedtaket frafaller hvis det viser seg at UiO har vært flinke gutter og jenter, sier Buer.
Viser det seg imidlertid at vedtaket opprettholdes kan det svi økonomisk for UiO, slik utfallet ble for Helse Sør-Øst. Helseforetakene mottok nylig en millionbot etter en rapport fra Datatilsynet som avslørte alvorlige sikkerhetsbrudd, ifølge Buer.
