Studenters helsedata lå åpent tilgjengelig på NTNU-nett

En tabbe førte til at studenters helsedata lå åpent tilgjengelig på NTNUs intranett i to år før man oppdaget hva som hadde skjedd.
Helsedata kompromittert. - Vi jobber med å finne tak i studentene som ble rammet, sier sikkerhetsekspert Vebjørn Slyngsetadli.
(Foto: NTNU)

Helsedata kompromittert. - Vi jobber med å finne tak i studentene som ble rammet, sier sikkerhetsekspert Vebjørn Slyngsetadli. Foto: NTNU

Det var en forsker ved Fakultet for ingeniørvitenskap som i vanvare flyttet data over på fagmiljøets felles hjemmeområdet, forklarer Vebjørn Slyngstadli ved NTNUs seksjon for digital sikkerhet.

Ifølge Forskerforum sikkerhetskopierte en ansatt ved NTNU kopi av flere harddisker og minnepinner som tilhørte en avdød kollega. Dataene ble lagret på nettverksområdet «hjemmeside» og dermed publisert på offentlig tilgjengelige nettsider. Først i sommer oppdaget NTNU feilen.

«Vedkommende forstod ikke at dette da ble tilgjengelig fra Internett», står det i avviksmeldingen til Datatilsynet.

- Sikkherhetshullet tettet

Slyngstadli sier til Universitetsavisa at tabben skjedde på den måten at vedkommende forsker dro filene over til det han trodde var en mappe på sin egen PC, men som i realiteten lå på et fellesområde for avdelingen.

- Denne muligheten fins ikke lenger, sier Slyngstadli.

Innimellom rådata av teknisk art innen vasskraftforskning lå det også helsedata tilhørende studenter. Ifølge NTNU inkluderer dataene for eksempel «fagvurderinger og delvurderinger på navngitte studenter med personnummer i utvalgte kull for flere fag avdøde var professor i, søknader om utsettelse på innleveringer fra studenter, med helsedata, kopi av pass og visum til avdødes barn og reisefeller i forbindelse med konferanser».

Studentene ikke varslet

Slyngstadli poengterer at helseopplysningene det ikke dreier seg om alvorlige forhold, men av forhold omkring fraværsmeldinger fordi man har fått influensa, og liknende.

Studentene som helsedataene tilhører er foreløpig ikke varslet. Årsaken er at man har sparsomt med personopplysninger, forklarer sikkerhetseksperten.

- Vi har et fornavn her og et etternavn her, og det gjelder forhold noen år tilbake. Derfor behøver vi litt tid for å ta rede på dette. Men målet er å varslet dem det gjelder, sier Vebjørn Slyngstadli.

UA vil gjerne ha dine kommentarer. Kommentarer fra anonymiserte brukere og kommentarer med personangrep vil bli slettet.
comments powered by Disqus
Siste fra forsiden

Ytring:

Gripsrud svarer Tvedt

Terje Tvedt er ikke beskyldt for verken forskningsjuks eller forskningstyveri, skriver Jostein Gripsrud.

Gripsrud ødelegger den offentlige samtalen

Jostein Gripsrud bør umiddelbart og offisielt trekke sine ugrunnede beskyldninger tilbake, skriver Terje Tvedt.

UiO søker ny direktør:

Utvider søknadsfristen i jakten på «riktig person»

Å finne Gunn-Elin Aa. Bjørneboes etterfølger som Universitetet i Oslos universitetsdirektør tar lenger tid enn forventet.

Student går til sak mot Universitetet i Tromsø etter utestengelse fra studiet

Merknader i politiattesten gjør at studenten i mai i år ble utestengt fra praksisopplæring og klinisk undervisning i sykepleie ved Universitetet i Tromsø.