Datatilsynet refser NTNU:

Personlige opplysninger ved Institutt for psykologi på avveie - igjen

Datatilsynet mener at NTNU bagatelliserer personopplysningene de ved en feil sendte ut til 59 studenter, bare måneder etter en lignende hendelse. NTNU kaller det et arbeidsuhell.
Studentene i dette bygget på Dragvoll har fått vite mer av NTNU enn de egentlig skulle. - Rutinene har ikke vært gode nok, sier dekan Marit Reitan.
(Foto: Sølvi W. Normannsen)

Studentene i dette bygget på Dragvoll har fått vite mer av NTNU enn de egentlig skulle. - Rutinene har ikke vært gode nok, sier dekan Marit Reitan. Foto: Sølvi W. Normannsen

«NTNU har mottatt varsel om brudd på personopplysningsloven».

Slik starter brevet fra Fakultet for samfunnsvitenskap og teknologiledelse ved NTNU, datert 26.10.2016.

Ni dager tidligere sendte Institutt for psykologi ut en epost til de 54 studentene i et av kullene ved profesjonsstudiet i psykologi, samt fem studenter som skulle ha intern klinisk praksis sammen med kullet. Eposten inneholdt informasjon om hvordan gruppen skulle deles opp til praksisperioden. I Excel-dokumentet med oversikten var det totalt tre ark, hvorav kun ett var tiltenkt studentene.

Følg Universitetsavisa på Facebook og Twitter.

Mener det var et arbeidsuhell

De to ekstra arkene inneholdt opplysninger som var forbeholdt saksbehandleren ved NTNU, deriblant «opplysninger om studentnummer og fødselsdato, samt opplysninger om en student som kommer tilbake fra permisjon, hvem som skulle ut i permisjon, at tre hadde stryk i eksamen... ...og at en av de som hadde søkt oppflytting hadde merknad om etterslep i studiepoeng».

NTNU omtaler i avviksmeldingen bruddet på personopplysningsloven som et arbeidsuhell, og skriver at det ikke skyldes «mangel på kunnskap om personopplysningsloven og personopplysningsforskriften, men en glipp og uoppmerksomhet fra saksbehandler».

Videre skriver fakultetet at de ikke kan se «at noen av opplysningene i de to «studieadministrative arkene» inneholdt sensitive personopplysninger slik dette defineres i personopplysningsloven», med ett unntak:

«Opplysninger om at en student har så og så mye i etterslep... ...anses som «opplysninger om noens personlige forhold» og betraktes som taushetsbelagt».

Datatilsynet mener opplysningene er konfidensielle

I sitt svar datert 16.03.2017 beklager Datatilsynet sen oppfølging på grunn av postrot, før de i relativt klare ordelag kritiserer NTNUs håndtering av personopplysninger og holdning til denne spesifikke saken.

«Der behandling av personopplysninger innebærer en risiko for liv og helse, økonomiske tap eller tap av anseelse og personlig integritet skal planlagte og systematiske tiltak treffes», skriver de, og viser til personopplysningsloven paragraf 13.

Videre skriver tilsynet at de anser informasjon om permisjoner, eksamenskarakterer og manglende studieprogresjon som informasjon som kun skal brukes i forbindelse med saksbehandling. «Opplysningene er dermed å anse som beskyttelsesverdige/konfidensielle».

Datatilsynet mener at NTNU i sin avviksmelding har lagt uforholdsmessig mye vekt på at opplysningene ikke er å anse som sensitive eller taushetsbelagte, og har et alternativt syn på NTNUs forklaring av dette som et arbeidsuhell.

«En annen måte å se det på er at avviket kan ha sin årsak i systemsvikt ved at det er tillatt å registrere konfidensielle personopplysninger om studentene i åpne excelark, noe som igjen øker risikoen for konfidensialitetsbrudd»

På bakgrunn av NTNUs vektleggelse av at opplysningene ikke er sensitive, og at avviket skyldes uoppmerksomhet hos en ansatt, stiller tilsynet seg «spørsmål om hvorvidt NTNU har nødvendig oversikt over hva slags personopplysninger som behandles, og hvorvidt det er fastlagt kriterier for akseptabel risiko forbundet med behandlingene».

Andre gang på ett år

Datatilsynet viser også til en sak tidligere i 2016 hvor en NTNU-ansatt ifølge NTB skulle sende en epost om hvorvidt en student var skikket til psykologiyrket til en kollega, men i stedet sendte eposten til 52 studenter ved fakultetet, deriblant studenten eposten handlet om. Den gang fikk NTNU en bot på 75.000 kroner for overtredelsen.

«I likhet med den foreliggende saken gjaldt også denne saken uautorisert utlevering av konfidensielle personopplysninger. Andre likhetstrekk mellom sakene er at NTNU bagatelliserte opplysningene som var utlevert og at en ansatt var skyld i hendelsen», skriver Datatilsynet, og viser til at organisasjonsdirektør Ida Munkeby i forbindelse med den saken erklærte at NTNU hadde innført rutiner som skulle sørge for at slike utleveringer av personlig informasjon ikke skulle skje igjen.

Innrømmer at rutinene ikke har vært gode nok

Avviksmeldingen fra NTNU er signert Marit Reitan, dekan ved Fakultet for samfunnsvitenskap og teknologiledelse (nå Fakultet for samfunns- og utdanningsvitenskap). Hun skriver i en epost til Universitetsavisa at fakultetet etter den siste saken har etablert som policy at personopplysninger ikke skal sendes på epost i åpne Excel-dokumenter.

- Vi må jo si at rutinene for håndtering av personinformasjon tydeligvis ikke var gode nok ettersom personsensitiv informasjon kom på avveie. Den første hendelsen i 2016 gjaldt sikkerhetssaker, og her er det nå etablert et godt sikret system når det gjelder personopplysninger, skriver hun.

Hun skriver videre at NTNU tar Datatilsynets vurdering av hva som er, og ikke er, informasjon som skal holdes hemmelig til orientering, og påpeker at det er Datatilsynet som forvalter lovverket og kompetansen på området.

- Vi bagatelliserer absolutt ikke dette

- Spørsmålet om hvorvidt NTNU har en oversikt over behandling av personvernsaker og risiko gjelder organisasjonen som helhet. NTNU arbeider med dette, og det har for eksempel blitt etablert et sikkert system for sikkerhetssaker som var utgangspunktet for den første saken der NTNU var i Datatilsynets søkelys. Men vi må nok innrømme at vi fortsatt har en jobb å gjøre på systemnivå.

- De trekker linjene til den forrige saken og skriver at likhetstrekkene er at NTNU bagatelliserer opplysningene og at en ansatt var skyld i hendelsene?

- Vi bagatelliserer absolutt ikke dette, og saken ble fulgt opp av oss og tatt på alvor. Samtidig erkjenner vi at vi må fortsette arbeidet med kultur og risikovurderinger når det gjelder personopplysninger.

- Av alle - burde ikke de som jobber med profesjonsstudiet i psykologi ha kontroll på hva som er personsensitive opplysninger, og viktigheten av å passe på disse?

- Jeg tror at Institutt for psykologi har en høy bevissthet når det kommer til dette nettopp på grunn av utdanningens karakter, og jeg tror det er tilfeldig at det har kommet to slike saker fra akkurat dette fagmiljøet.

- Vi bagatelliserer absolutt ikke dette, og saken ble fulgt opp av oss og tatt på alvor. Samtidig erkjenner vi at vi må fortsette arbeidet med kultur og risikovurderinger når det gjelder personopplysninger, skriver dekan Marit Reitan i en epost til UA.
(Foto: Kristoffer Furberg)

- Vi bagatelliserer absolutt ikke dette, og saken ble fulgt opp av oss og tatt på alvor. Samtidig erkjenner vi at vi må fortsette arbeidet med kultur og risikovurderinger når det gjelder personopplysninger, skriver dekan Marit Reitan i en epost til UA. Foto: Kristoffer Furberg

UA vil gjerne ha dine kommentarer. Kommentarer fra anonymiserte brukere og kommentarer med personangrep vil bli slettet.
comments powered by Disqus
Siste fra forsiden

Body Worlds:

Over åtte tusen har vært innom for å se de døde menneskene

Direktøren er storfornøyd med besøkstallene etter tre uker med døde menneskekropper på Vitenskapsmuseet.

Arkitektbedriftene i Norge:

Kritiserer konkurransen i NTNUs campusprosjekt

Arkitektbedriftene i Norge kritiserer NTNU-ledelsen for dårlig gjennomføring av idé- og plankonkurransen for campussamlingen i Trondheim.

Tyrkia fjerner Darwin fra pensum

Charles Darwins evolusjonslære skal ikke lenger være en del av pensum ved Tyrkias skoler. Den er for kontroversiell og vanskelig, hevder myndighetene.

Kun 35 prosent norske studenter på Svalbard

Kunnskapsdepartementets krav om 50 prosent norske studenter på Universitetssenteret på Svalbard (UNIS) er fortsatt ikke nådd.