Semesterkort lå ubevoktet
I over én uke lå semesterkort med fødselsnummer og PIN-koder framme i en resepsjon på Norges Musikkhøgskole. – Den ytterste konsekvensen kunne vært ID-tyveri, sier Datatilsynet.
– Uvedkommende kunne fått tilgang til Studweb hvor man kunne ha kludret med studieløpet til andre. Jeg tipper også at det er mange som bruker samme passord og PIN-kode flere steder, som for eksempel til bank og mobiltelefoner, sier Martin Bauck, studentrepresentant i høyskolestyret på Norges musikkhøgskole (NMH).
Han er oppgitt over at NMH lot semesterkortene til studentene på NMH ligge ute til selvavhenting i over én uke, i en resepsjon som store deler av dagen er ubemannet. Kortene inneholdt både fødselnummer og PIN-kode til nettstedet Studweb, der studentene blant annet kan melde seg opp i fag og få se karakterene sine.
Ble ikke hørt
Bauck ble først oppmerksom på problemet da han skulle hente sitt eget semesterkort på skolen. Da han oppdaget at kortene lå ubevoktet, sendte han en mail til studiesjefen angående saken. Dagen etter fikk han beskjed om at skolen ikke ville gjøre noe og at de anså utdelingsrutinene som velfungerende.
Det var først da Universitas ble koblet inn i saken for litt over en uke siden at esken med semesterkortene forsvant fra resepsjonen.
Alvorlige konsekvenser
Datatilsynet reagerer på måten NMH har behandlet personopplysningene på.
– Den ytterste konsekvensen kunne vært ID-tyveri. Men uansett om opplysningene misbrukes eller ei vil det være en påkjenning for den som opplever at kortet kommer på avveie. Denne type informasjon åpner for misbruk. Hvis man får tilgang på denne informasjonen og har onde hensikter, vil man kunne gjøre endringer som kan få store konsekvenser for enkelmennesker, sier senior informasjonsrådgiver i Datatilsynet Trude Talberg-Furulund.
Talberg-Furulund mener det er bra at semesterkortene nå er fjernet fra resepsjonen. Hun er tydelig på at NMH plikter å sørge for at personopplysninger og PIN-koder ikke havner i gale hender.
«De er ansvarlige for en forsvarlig behandling av disse opplysningene, og må derfor sørge for å ha kontroll over dem.»
Trude Talberg-Furulund, informasjonsrådgiver i Datatilsynet
– De er ansvarlige for en forsvarlig behandling av disse opplysningene, og de må derfor sørge for å ha kontroll over dem, sier hun.
Innrømmer kontrollsvikt
Driftssjef på NMH Knut Jarbo innrømmer at kortene i hvert fall lå ute en ukes tid, og at resepsjonsskranken de lå ved delvis er ubemannet. Men han understreker at NMH nå har tatt affære og fjernet kortene.
– Vi så at det var mulighet for ID-tyveri og det er selvsagt veldig ugunstig. I tillegg er det mer praktisk for oss å sende kortene i posten, noe vi vanligvis pleier å gjøre. Hvorfor det ikke ble gjort denne gangen, er jeg ikke sikker på, sier Jarbo.
Driftssjefen mener at det ikke var mulig for folk å hente flere enn ett kort når skranken var bemannet. Han kan ikke svare på om det har vært kontroll av personene som har hentet kortene sine.
Gjennom flere intervjuer med Universitas bedyrer Jarbo også at arkene med semesterkort ikke innholdt både fødselsnummer og PIN-kode. Seinere ringer han likevel opp igjen for å unnskylde at han har tatt feil.
– Nå ser jeg det at tallene står oppe i hjørnet. Det sto med veldig liten skrift, så vi er flere her som ikke har sett at det sto der. Dette må vi bare beklage, sier driftssjef Jarbo.