Fikk personnummer stjålet
Personnumre til 207 studenter har blitt lastet ned til en maskin i Asia etter en teknisk glipp fra Universitetet i Oslo. Nå risikerer de identitetstyveri livet ut.
- Det begynner å bli mange lignende saker fra Uio. Ove Skåra, informasjonsdirektør i Datatilsynet.
Tohundreogsju studenter ved Teologisk fakultet står i fare for å få identiteten sin stjålet etter at personnumrene ved en feil ble liggende tilgjengelig på internett. Dette føyer seg inn i en lang rekke personverntabber ved Universitetet i Oslo (UiO), og denne gangen kan Universitetets senter for informasjonsteknologi (USIT) bekrefte at personopplysningene har blitt lastet ned til en server i Asia.
Fare for identitetstyveri livet ut
Torbjørn Askevold er en av dem som har fått beskjed om at personnummeret hans har ligget tilgjengelig på nettet. I påsken ble han informert om lekkasjen.
– Jeg mottok en e-post fra USIT hvor de anbefalte meg å sperre muligheten for å gjennomføre kredittsjekk. Utover dette fikk jeg ingen videre forklaring eller beklagelse, og jeg måtte selv kontakte dem for å få vite hva som egentlig hadde skjedd, sier Askevold.
Glippen fører til betydelig merarbeid for Askevold og de andre som er rammet.
– Ved å sperre mulighetene for kredittsjekk kan jeg beskytte meg mot å bli økonomisk misbrukt, men dersom jeg på et tidspunkt ønsker å få et nytt kredittkort eller telefonabonnement, må jeg ringe alle kredittselskapene for å åpne sperren, for å så sperre igjen etterpå. Dette er mye jobb for noe som ikke er min egen feil, sier Askevold.
Datatilsynets informasjonsdirektør, Ove Skåra, forteller at personnumre blant annet kan brukes til å skaffe bankopplysninger og bestille kredittkort.
– I verste fall kan det brukes det til å overta andres identitet, sier han.
Siden personnumrene nå er lastet ned, er det i prinsippet ingen tidsbegrensning på hvor lenge studentene må sperre muligheten for kredittsjekk.
– Personnumre er noe som kan misbrukes også etter lang tid, og med de alvorlige konsekvensene det kan få, er det farlig å avdramatisere en slik lekkasje, sier Skåra.
UiO kan bøtelegges
Datatilsynet har tidligere kritisert UiO for slepphendt håndtering av personnumre. Skåra forteller at UiO skiller seg negativt ut blant norske universiteter og høyskoler.
– Det begynner å bli mange lignende saker fra UiO, og dersom gjentakelsene og alvorlighetsgraden er stor nok, har vi mulighet for å komme med bøter. Det er alvorlig at informasjon har lekket igjen, men vi må ha en grundig gjennomgang av denne saken før vi kan ta stilling til eventuelle sanksjoner, sier Skåra.
– Enhver eksponering av personnummer til personer som ikke skal ha dem er alvorlig, sier Skåra.
Askevold synes det er svakt at personnumre fra UiO lekker igjen.
– Jeg synes det er skuffende at en institusjon som UiO ikke opprettholder personvernet. Universitetet bør gå foran som et godt eksempel i saker som angår personvern, både innen forskningen og i praksis i sitt eget datasystem.
Legger seg flat
Fakultetsdirektør ved TF, Dag Myhre-Nielsen, bekrefter at personnumrene kom på avveie i forbindelse med endringer i datasystemet. Informasjonen som har lekket stammet opprinnelig fra studenters søknader til bokskap, og det er disse personene som har fått opplysninger lekket. Myhre-Nielsen legger seg flat og beklager overfor alle studentene som har blitt berørt av tabben.
– Vi har nå gjennomført sikkerhets- og skadesjekk, og straks etter at feilen ble oppdaget ble alt lukket ned og fjernet. Vi lover at dette ikke skal gjenta seg, sier Myhre-Nielsen.
USIT presiserer at ansvaret for denne glippen ligger hos TF. IT-direktør Lars Oftedal sier at de ikke kjenner til registreringssystemet som TF har operert med.
– UiO har strenge krav for lagring av personnumre, men TF har aldri fått sitt system godkjent av oss, sier Oftedal.