Studenters helsedata lå åpent tilgjengelig på NTNU-nett

Det var en forsker ved Fakultet for ingeniørvitenskap som i vanvare flyttet data over på fagmiljøets felles hjemmeområdet, forklarer Vebjørn Slyngstadli ved NTNUs seksjon for digital sikkerhet.

Ifølge Forskerforum sikkerhetskopierte en ansatt ved NTNU kopi av flere harddisker og minnepinner som tilhørte en avdød kollega. Dataene ble lagret på nettverksområdet «hjemmeside» og dermed publisert på offentlig tilgjengelige nettsider. Først i sommer oppdaget NTNU feilen.

«Vedkommende forstod ikke at dette da ble tilgjengelig fra Internett», står det i avviksmeldingen til Datatilsynet.

- Sikkherhetshullet tettet

Slyngstadli sier til Universitetsavisa at tabben skjedde på den måten at vedkommende forsker dro filene over til det han trodde var en mappe på sin egen PC, men som i realiteten lå på et fellesområde for avdelingen.

- Denne muligheten fins ikke lenger, sier Slyngstadli.

Innimellom rådata av teknisk art innen vasskraftforskning lå det også helsedata tilhørende studenter. Ifølge NTNU inkluderer dataene for eksempel «fagvurderinger og delvurderinger på navngitte studenter med personnummer i utvalgte kull for flere fag avdøde var professor i, søknader om utsettelse på innleveringer fra studenter, med helsedata, kopi av pass og visum til avdødes barn og reisefeller i forbindelse med konferanser».

Studentene ikke varslet

Slyngstadli poengterer at helseopplysningene det ikke dreier seg om alvorlige forhold, men av forhold omkring fraværsmeldinger fordi man har fått influensa, og liknende.

Studentene som helsedataene tilhører er foreløpig ikke varslet. Årsaken er at man har sparsomt med personopplysninger, forklarer sikkerhetseksperten.

- Vi har et fornavn her og et etternavn her, og det gjelder forhold noen år tilbake. Derfor behøver vi litt tid for å ta rede på dette. Men målet er å varslet dem det gjelder, sier Vebjørn Slyngstadli.