Personvernkaos på Universitetet
Universitetet i Oslo (UiO) hadde 959 masterstudenters personnumre åpent på nett et halvt år. Informasjonen skulle ikke vært lagret i første omgang.
Denne uken fikk 959 studenter beskjed om at deres personnumre ved en feil hadde blitt liggende synlig i Universitetet i Oslos mastergradsarkiv på nett, Duo, i nesten seks måneder. Feilen oppstod i en oppgradering av UiOs systemer, hvor det som tidligere var skjult informasjon på nyinnleverte oppgaver plutselig ble åpent tilgjengelig.
Patrick Skevik er en av de 959, og den tidligere masterstudenten beskriver situasjonen som absurd.
– Det er ikke første gang sånt som dette skjer, så man må spørre seg om Universitetet tar personvern på alvor. På meg virker det rett og slett som de ikke bryr seg, sier Skevik.
Universitetet har anbefalt ham, og de 958 andre som er rammet, til å sperre posten sin for omadressering, samt å reservere seg for kredittsjekk. Dette er måter kriminelle kan bruke til å skaffe seg mer sensitiv informasjon på, dersom de allerede har noens personnummer.
Aksepterer ikke UiOs unnskyldning
I eposten beklager universitetsdirektør Gunn-Elin Bjørneboe det som har skjedd.
– Den unnskyldningen blir litt som da British Petroleum unnskyldte seg for å ha sølt olje i Mexicogolfen. Det var lett å forhindre, og det hjelper ikke noe særlig å beklage det i ettertid. Det er ganske surt å måtte styre med disse tingene fordi Universitetet ikke klarer å håndtere helt enkelt personvern, sier Skevik.
Han har allerede reservert seg mot omadressering og kredittvurdering. Det er studenter som leverte sin masteroppgave etter 31. oktober 2014, og som fikk den publisert i DUO etter 6. februar 2015 som ble rammet. Det var i det tidsrommet Skevik leverte fra seg sin masteroppgave i informatikk.
Svikt i flere ledd
I juni 2012 bestemte UiO seg, etter en vurdering fra sitt eget personvernombud, for å ikke knytte personnumre til mastergradsoppgaver. Det var nemlig ingen grunn til å bruke personnummer til å skille mellom de forskjellige mastergradsoppgavene. Datatilsynet kaller avgjørelsen klok.
– Det var en helt riktig beslutning. Det leveres ikke så mange masteroppgaver at man ikke kunne skilt mellom to «Anne Hansen’er» med fødselsdato alene, sier Ove Skåra, kommunikasjonsdirektør i Datatilsynet.
I følge Datatilsynet skal man være meget forsiktig med å bruke personnumre til identifikasjon, dersom det ikke er strengt nødvendig.
– Men det var synd de ikke faktisk sluttet med å knytte personnummer til masteroppgaver. Da ville aldri dette kunne skjedd, fortsetter Skåra.
Patrick Skevik synes det er betegnende at det måtte svikt i flere ledd til for at personnummeret hans skulle havne åpent på nett.
– Jeg håper bare ikke vedkommende som lagde dette systemet gikk på Institutt for informatikk. Da er det i så fall en trippeltabbe for Universitetet, sier han.
Skjerpende omstendigheter
Ukens personvernglipp er den siste i en lang rekke episoder de siste årene hvor UiO har lagt ut alt fra en håndfull til mange tusen personnumre tilhørende sine ansatte og studenter på nett.
Skåra forteller at Datatilsynet har mottatt en avviksmelding fra Universitetet, og at saken vil bli undersøkt. Han berømmer UiO for å ha reagert forholdsvis raskt når feilen først var oppdaget.
– Når det er sagt, har UiO hatt problemer med publisering av fødselsnumre ved flere ulike anledninger tidligere, noe som gjør dette skjerpende, sier Skåra.
Delegert til underdirektør
Universitas har gjentatte ganger forsøkt å få kontakt med UiOs rektor Ole Petter Ottersen og universitetsdirektør Gunn Elin Bjørneboe for kommentar, men har fått beskjed om at saken er delegert til underdirektør Johannes Falk Paulsen, i universitetets enhet for lederstøtte.
– UiO beklager at dette har skjedd, og den belastning det har påført de som er rammet, skriver han i en e-post.
Han skriver videre at UiO systematisk og kontinuerlig har arbeidet med personvern og sikring av data i mange år.
– Denne hendelsen viser dessverre at vi ikke er i mål med dette arbeidet, avslutter han.