Ikke rom for flere feil
Etter at flere tusen personnumre ble gjort tilgjengelig på nett har Datatilsynet vært på besøk hos Universitetet i Oslo. De er ikke overbevist.
For seks uker siden avdekket Universitas at over 3400 personnumre til studenter og ansatte ved Det medisinske fakultet lå tilgjengelig på nett. Ved et annet tilfelle ble over 5000 personnumre lagt ut. Nå har Datatilsynet vært på kontroll ved Universitetet i Oslo (UiO).
– Hendelsene taler jo i prinsippet for seg selv. Det er ikke nok å legge
skjul på at vi forventer et styrket fokus hvor man sørger for at internkontrollen faktisk blir implementert og lagt til grunn i det daglige virke, sier avdelingsdirektør i Datatilsynet Leif T. Aanensen.
– Bør universitetet bruke personnumre til å identifisere studentene?
– Man skal være veldig varsom med bruk av personnumre, og UiO bør ikke bruke personnumre i utgangspunktet. Det er derfor man har studentnummer. Dette fremgår i personopplysningsloven, sier han.
Begeret er fullt
Datatilsynet vurderte primært virksomhetens oppfyllelse av plikter etter personopplysningsforskriftens kapittel to og tre som handler om internkontroll og informasjonssikkerhet. Rapporten sluttføres i sommer, og Datatilsynet ønsker på nåværende tidspunkt kun å kommentere situasjonen på et generelt grunnlag.
– Hvis UiO begår en feil til vil de trå over en normal tålmodighetsgrense. Datatilsynet ville i en slik situasjon kunne vurdere om det foreligger vilkår for en anmeldelse, sier han, og påpeker at det er forskjell på et skriv og en eventuell iverksetting av tiltak, sier Aanesen.
Han legger til en viktig prinsipiell konsekvens dersom rutinene ikke etterleves:
– UiO er avhengig av tillit. Mangel på tillit kan få betydning for folk og andre virksomheters vilje til å dele opplysninger med universitetet. Sensitive opplysninger om egne ansatte og studenter må også behandles med aktsomhet og respekt.
Uholdbar situasjon
Rektor ved UiO, Geir Ellingsrud, innrømmer at rutinene har sviktet og tar kontrollen fra Datatilsynet svært alvorlig. Han har ikke vært direkte delaktig i dialogen med Datatilsynet, men ser frem til sluttrapporten.
– Vi skal gjøre alt vi kan for å tette igjen hullene. Det vil være problematisk hvis slike saker oppstår igjen. UiO er en stor arbeidsplass og det er ikke alt rektor er involvert i, men alle skal være klar over våre internkontroller slik at sånne feil ikke skjer igjen, sier Ellingsrud.
Konstituert it-direktør ved Universitetets senter for informasjonsteknologi (USIT), Lars Oftedal, har arbeidet konkret med saken, og han vedgår at UiO og Datatilsynet er enige om de faktiske forhold.
– Jeg tar Datatilsynets advarsler på alvor og erkjenner at situasjonen er uholdbar. Vi har vært uheldige i to saker, som for så vidt er forskjellige, men vi har gitt tilbakemelding på hva vi har tenkt til å bedre, sier han.
Strakstiltak iverksatt
Selv om det er kort tid siden Datatilsynet har vært på kontroll, har UiO satt i gang en del strakstiltak.
– Vi har forbedret rutinene og satt inn tiltak på en rekke områder for at
dette ikke skal skje igjen, blant annet tiltak for å sikre og melde inn systemer som inneholder personinformasjon, og informere organisasjonen om nye rutiner og tiltak, sier han.
Ifølge Oftedal skal disse punktene og andre personvernrutiner gjennomføres til høsten
– Vi skal gjennomføre internkontroll ved behandling av personopplysninger, og på bakgrunn av de data som samles inn, utarbeide en konklusjon som sendes til universitetsdirektøren, sier han.
– Hvor mange ved UiO har tilgang til personsopplysninger?
– Ansatte på UiO får tilgang til personinformasjon i informasjonssystemene avhengig av hvilke tjenestemessig behov man har.
– Hva betyr dette i praksis?
– Tjenestemessig behov betyr simpelthen at en studiekonsulent har tilgang til studierelatert informasjon.