3998 personnummer på avveie ved NTNU

3998 personnummer, adgangskortnummer, PIN-koder og fulle navn lå fritt tilgjengelig for NTNU-ansatte. NTNU varslet ikke de berørte etter Datatilsynets instruks.
Personinformasjon knyttet til adgangskontrollsystemet ved NTNU i Ålesund havnet på avveie (Illustrasjonsfoto).
(Foto: SOLVEIG MIKKELSEN)

Personinformasjon knyttet til adgangskontrollsystemet ved NTNU i Ålesund havnet på avveie (Illustrasjonsfoto). Foto: SOLVEIG MIKKELSEN

Personinformasjon om ansatte og studenter fra adgangskontrollsystemet ved NTNU i Ålesund lå tilgjengelig for alle ansatte ved NTNU i Ålesund. Det inkluderer 586 brukerkontoer. I tillegg hadde to ansatte ved Maritime Operasjoner tilgang til personinformasjonen.

Det er NTNU selv som har varslet Datatilsynet om det som er et avvik etter personopplysningsforskriften.

- Vi tar alle situasjoner med informasjonslekkasje alvorlig, sier Vebjørn Slyngstadli, som er IT-sikkerhetsarkitekt og jobber med avviksmeldinger ved NTNU.

Følg UA på Facebook, Twitter og Instagram.

Sikkerhetskopierte til usikkert sted

Informasjonen som lå tilgjengelig inneholdt 3998 personnummer, adgangskortnummer, PIN-koder og fulle navn. Feilen ble umiddelbart korrigert ved at data ble slettet og det ble rutinemessig varslet som et avvik internt til Seksjon for Digital Sikkerhet, skriver NTNU i avviksmeldingen til Datatilsynet.

Årsaken til lekkasjen var ifølge NTNU at en ansatt som arbeidet med adgangskontroll hadde sikkerhetskopiert filer fra sitt private område til et fellesområde der alle ansatte ved NTNU i Ålesund hadde tilgang. Ifølge varslingen til Datatilsynet skjedde dette i forbindelse med at den ansattes PC ble migrert til NTNU. «Data ble ikke fjernet etter at PC var migrert, men ble liggende igjen på dette området frem til feilen ble avdekket den 20.11.2017», heter det i meldingen. Filen med personinformasjon hadde da ligget tilgjengelig siden 21. juni samme år. Normalt ville en slik fil vært passordbeskyttet eller kryptert, men det var den ikke fordi det var en arbeidsfil/kladd, ifølge avviksmeldingen. Det betyr at dataene var fritt tilgjengelig for alle ansatte ved NTNU i Ålesund i fem måneder.

Strengere rutiner med ny lov

Snart blir EUs personvernreglement, The General Data Protection (GDPR), norsk lov. Det medfører at alle norske virksomheter får nye plikter.

Slik det er nå kan det ta tid før et avvik blir varslet, men når den nye loven trer i kraft er varslingsfristen på saker som den ved NTNU i Ålesund på 72 timer, ifølge Slyngstadli.

- Vi jobber med å forberede oss på innføringen av GDPR nå. Vi skal ha gode rutiner for å kunne følge varslingsfristen, sier han.

Det tok åtte dager fra avviket i Ålesund ble avdekket til Datatilsynet ble varslet, men Slyngstadli forsikrer om at problemet ble tatt tak i umiddelbart.

- Vi forsøker alltid å ta tak i ting med en gang, sier han.

Ukjent om data ble lastet ned

Det er ukjent om filen ble lastet ned av noen av de ansatte i Ålesund, da det ikke er logging av filtilgang på det aktuelle lagringsområdet.

NTNU ser alvorlig på hendelsene, ifølge varslingen. Særlig på grunn av omfanget og at personnummer var en del av opplysningene. I dokumentet underskrevet av NTNUs organisasjonsdirektør Ida Munkeby påpekes det at skadeomfanget begrenses noe av at det er en avgrenset gruppe som har hatt tilgang til informasjonen. Det må også bemerkes at de fleste har fått nye kort etter at filen ble laget, skriver NTNU til Datatilsynet.

Slyngstadli forteller at de fleste pinkodene som lå tilgjengelig ikke lengre var riktige, da mange hadde fått nye adgangskort og pinkoder etter NTNU-fusjonen.

- Har lært av saken

Slyngstadli sier videre at NTNU har lært av saken.

- Vi må ha bedre kontroll på hva som legges ut på fellesområder. De ansatte må læres opp i hva som kan legges der. Vi forbereder opplæring innen hvilken grad av sikkerhet forskjellig informasjon krever.

I brevet datert 28. november i fjor forteller universitetet at de vurderer hvordan de skal få varslet de berørte personene. Et problem er at en del av dem det gjelder ikke lengre er tilknyttet NTNU. «For de registrerte som fortsatt har tilknytning til NTNU, vil det være lettere å nå disse gjennom NTNUs kanaler», heter det avviksmeldingen.

Den ble for øvrig først ført i NTNUs offentlige postjournal siste dag i februar.

Datatilsynet svarte på avviksmeldingen 19. februar. Der sier de seg fornøyd med redegjørelsen som er gitt av NTNU. De mener det er gjort nødvendige tiltak for å lukke avviket og forhindre at dette skal skje i framtiden. Samtidig påpeker Datatilsynet at det er viktig at organisatoriske og systemtekniske tiltak følges opp med god opplæring av rutinene. Tilsynet mener også det er tilstrekkelig at de berørte som fortsatt har tilknytning til NTNU informeres og at dette skjer gjennom NTNUs kanaler. For de andre som er berørt og hvor adresse ikke lar seg oppdrive, må informasjon skje på generelt grunnlag på NTNUs hjemmesider, mener Datatilsynet.

Varslet ikke slik Datatilsynet ba om

Da UA denne uka ba NTNU om å vise til hvor det er varslet, ble det klart at dette ennå ikke er gjort.

- Det har sviktet i oppfølgingen der Datatilsynet pålegger NTNU å varsle de berørte, sier Slyngstadli

Han forteller at kommunikasjonen med Datatilsynet skjedde før de fikk på plass et system for behandling av avviksmeldinger, og at tilbakemeldingen fra tilsynet ble mottatt på epost og ikke registrert og fulgt opp skikkelig.

- Vi kommer til å informere de ansatte i Ålesund på Innsida (NTNUs intranett, journ. anm.) nå, sier Slyngstadli.

LES OGSÅ: Datatilsynet refser NTNU: Personlige opplysninger ved Institutt for psykologi på avveie - igjen
LES OGSÅ: Personopplysninger fra digital eksamen på avveie
LES OGSÅ: Studenter kunne sette karakterer i Blackboard
LES OGSÅ: E-poster ved NTNU i Gjøvik lå åpent for alle

UA vil gjerne ha dine kommentarer. Kommentarer fra anonymiserte brukere og kommentarer med personangrep vil bli slettet.
comments powered by Disqus
Siste fra forsiden

Publisering på engelsk har teke over

Forskarane publiserer 90 prosent på engelsk - no droppar også humanistane norsk.

– Challenge-kampanjen er språklig sett dypt problematisk

Språkråd-direktør Åse Wetås mener bruken av engelsk i Challenge-kampanjen gir signaler om at engelsk er kulere enn norsk.

- Jeg er ikke bekymret for den akademiske friheten ved NTNU

«Universitetsledelsen skal aldri opptre på en måte som fører til selvsensur», slår SU-dekan Marit Reitan fast i dette intervjuet.

Mener NTNUs akademiske frihet blir innskrenket

NTNU får flengende kritikk av Kristian Gundersen for sin håndtering av kontroversen omkring nettstedet Resetts intervju med Øyvind Eikrem. Han får delvis følge av Anine Kierulf. Begge er kritiske til dekan Marit Reitans bruk av begrepet «ytringsansvar.»