personvern 

UiT meldte Borch-lekkasje til Datatilsynet

Universiteter og høgskoler har i år meldt inn rekordmange brudd på personvernreglene. En av sakene handler om masteroppgaven til tidligere statsråd Sandra Borch.

Forsknings- og utdanningsminister Sandra Borch (Sp)
Fra pressekonferansen 19. januar da daværende forsknings- og utdanningsminister Sandra Borch (Sp) innrømmet fusk og kunngjorde at hun trakk seg som statsråd. Senere ble saken formelt behandlet av UiT. Dagbladet fikk tilgang til konfidensielle opplysninger UiTs behandling av saken, og dette meldte universitetet til Datatilsynet.
Publisert Sist oppdatert

«Frikjennes», lød tittelen på en sak i Dagbladet 6. mars i år. 

FAKTA

Dette er et avvik

  • Et brudd på personopplysningssikkerheten (avvik) er i personvernforordningen definert som utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.
  • Dersom det skjer et brudd på personopplysningssikkerheten, har den behandlingsansvarlige som hovedregel plikt til å melde det til Datatilsynet. Den behandlingsansvarlige trenger ikke melde bruddet til Datatilsynet dersom «bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter».
  • Eksempler på typiske brudd som skal meldes er forsendelsesfeil (f.eks. brev eller e-post som inneholder personopplysninger er sendt til feil mottaker), angrep mot datasystemer, sikkerhetshull som er oppdaget, at tilgangsstyring mangler eller har feilet, uautorisert eller utilsiktet publisering av personopplysninger og kastede dokumenter som skulle vært makulert.
  • Avviket skal meldes til Datatilsynet innen 72 timer etter at det skjedde. 
  • Datatilsynet gjør en alvorlighetsvurdering av avviket. Rundt 80 % av meldingene avsluttes med et standard avslutningsbrev. Dette betyr at sakene ikke følges opp med ytterligere undersøkelser eller sanksjoner. De resterende 20 % blir vurdert for mulig videre oppfølging eller tiltak
  • Datatilsynet kan gjennomføre tilsyn, gi pålegg om retting eller ilegge administrative sanksjoner som overtredelsesgebyrer i de mest alvorlige sakene.
  • Kilde: Datatilsynet 

Det handlet om politiker Sandra Borch (Sp) som to måneder tidligere hadde gått av som forsknings- og høyere utdanningsminister etter at hun innrømmet å ha fusket i masteroppgaven. 

Nå ble fuskesaken formelt behandlet av Nemnda for studentsaker ved UiT Norges arktiske universitet.

I artikkelen, som ble publisert en uke før nemnda gjorde sitt vedtak, skrev Dagbladet at nemndas «foreløpige konklusjon» fastslo at Borchs masteroppgave ikke skulle strykes for fusk eller tekstlikheter.

Ledelsen ved UiT vet fortsatt ikke hvordan Dagbladet fikk tak i disse taushetsbelagte opplysningene, som svært få ved UiT hadde tilgang til.

Saken er meldt som et avvik, altså et sikkerhetsbrudd som berører personopplysninger, til Datatilsynet.

Mer om denne saken lenger ned i artikkelen.

Rekordmange brudd 

Slike brudd skal som hovedregel meldes til Datatilsynet innen 72 timer etter at de oppdages. 

Khrono har kartlagt antall avviksmeldinger til Datatilsynet de siste fem årene. 

Antall meldinger fra universiteter og høgskoler har økt betraktelig. Så langt i år (per 22. november) har det kommet 68 avviksmeldinger. Det er rekordmange, og over dobbelt så mange som i 2019.

Tallene har Khrono hentet inn ved å søke etter avviksmeldinger i Datatilsynets postjournal. Vi har også fått innsyn i de fleste avviksmeldingene de siste to årene. 

Det er meldinger om stort og smått.

Inkludert i tallene er en sak fra Universitet i Agder (UiA), der blant annet fødselsnummeret til nesten 14.000 personer kunne leses av alle UiA-ansatte. For dette fikk universitetet en bot på 150.000 kroner.

En annen sak ved samme universitet året før involverer en robot og pasienter med funksjonshemninger. En ph.d.-kandidat møtte pasienter for intervjuer og oppfølging, og brukte en robot for å vise muligheter for assistanse. Roboten gjorde lydopptak av de ni pasientene. Da roboten ble levert tilbake til leverandøren, var ikke lyd- og bildefilene slettet.

I en tredje sak hentet en ansatt ved Universitetet i Oslo ut studenters e-postadresser. Han sendte dem reklame for egen virksomhet, der han «leser» mennesker ved å «gå inn i energifeltet» deres.

I tabellen nedenfor er et større utvalg av innmeldte personvernavvik fra universiteter og høgskoler de siste to årene. Du kan bla og søke i tabellen. Dette er foreløpige meldinger, som kan være meldt inn før institusjonen har fått fullstendig oversikt over hva som har skjedd. 

Borch-saken: — Noen har brutt taushets­plikten 

I Sandra Borch-saken var det en foreløpig innstilling til nemnda Dagbladet hadde fått tilgang til. 

Denne var ifølge UiT tilgjengelig i rett under fem timer dagen før Dagbladet publiserte sin sak. 

Kun noen få hadde tilgang til innstillingen. Dette var enkelte i UiTs administrasjon og studentnemndas medlemmer, skriver UiT i avviksrapporten til Datatilsynet. 

«Noen har enten bevisst eller ved uforsiktighet brutt taushetsplikten», skriver UiT.

Universitetet skriver videre at det ikke vet hvordan Dagbladet fikk opplysningene, for eksempel om noen med tilgang har tatt kontakt med avisen eller om noen har snakket om dette til en tredjepart, og informasjonen så har nådd avisa.

Til Khrono opplyser UiT at de ikke har avdekket svikt i rutinene.

«Det er fremdeles ikke avklart hvordan Dagbladet fikk tilgang til opplysningene, og det er ikke sannsynlig at det vil bli avklart gjennom UiTs interne undersøkelser.» 

Da studentnemnda til slutt behandlet fuskesaken, konkluderte den som kjent med at Sandra Borch hadde fusket forsettlig i masteroppgaven.

Statsråd Ingvild Kjerkol (Ap) gikk også av etter at hun ble felt for fusk. Også i den  fuskesaken kom konfidensiell informasjon ut i media, blant annet vedtaket der hun ble felt. 

Til Khrono opplyser utdanningsdirektør Anne Ringen Pedersen ved Nord universitet at de ikke har meldt dette til Datatilsynet.

Universitetet skriver at det har konkludert med at det «ikke forelå noen indikasjon på lekkasje fra Nord universitet», da deres undersøkelser viser at informasjon ble håndtert forsvarlig og det ikke er avdekket indikasjon på datainnbrudd eller annen mistenkelig trafikk. 

600.000 nordmenn fikk delt fødselsnummer

Blant de innmeldte sakene til Datatilsynet er flere større saker som har fått mediedekning og som involverer flere utdanningsinstitusjoner, med flere avviksmeldinger per  institusjon.

For eksempel et alvorlig sikkerhetsbrudd i innloggingstjenesten Feide, der nesten 600 000 personer fikk delt fødselsnummeret. 

Dette berørte også universiteter og høgskoler.

Blant annet meldte Universitetet i Oslo at persondata fra opptil 10.000 ansatte og studenter kunne ha blitt eksponert for uautoriserte brukere i Feide-tjenester, mens Universitetet i Agder meldte at nesten 2600 personer tilknyttet dem var berørt.

Enorm økning siden 2017 

Antallet avviksmeldinger til Datatilsynet øker ikke bare i universitets- og høgskolesektoren, men i hele samfunnet.

Fra 2022 til 2023 var det totalt en økning på 25 prosent, i alle sektorer. Siden 2017 har antallet økt med hele 790 prosent, framgår det av årsmeldingen.

Innføringen av EUs personvernregler GDPR i 2018 angis som en viktig årsak, da kravene til rapportering ble strammet inn.

Seksjonssjef Kristine Stenbro i Datatilsynet sier at det ikke bare er negativt at det har skjedd en økning. 

Det kan også bety at regelendringene har fått tid til å sette seg, at virksomhetene har etablert rutiner for å avdekke og følge opp avvik, og blitt flinkere til å melde fra.

— Det å ha gode mekanismer for å kunne oppdage og melde fra om avvik, er det veldig mange som blir stadig bedre på, sier hun.

Cyberangrep på UiO 

En annen grunn til økningen, som Datatilsynet ikke er glad for, er at antallet cyberangrep har økt. 

Kategorien «tilsiktede angrep» er blant avvikene som øker raskest, og hadde i 2023 en økning på hele 143 prosent. 

Det er flere eksempler på slike angrep i universitets- og høgskolesektoren. For eksempel opplevde Universitetet i Oslo en såkalt phishingkampanje i august i år.

I sin avviksmelding til Datatilsynet skriver UiO at «ondsinnede aktører har kompromittert et begrenset antall UiO-kontoer og ved hjelp av disse iverksatt masseutsending av e-post med forfalsket UiO avsender.»

Ved hjelp av kontoene de overtok, fant de svakheter i universitetets IT-infrastruktur. Dette utnyttet de ved å sende ut e-post fra UiO med forfalsket avsender.

UiO skrev i august at foreløpige undersøkelser tilsier at målet med kampanjen var å sende ut mer phishing, ikke å hente ut data fra brukerkontoene.

Kristine Stenbro i Datatilsynet opplyser at rapporterte angrep har fortsatt å øke i 2024, med 111 prosent i tredje kvartal 2023 til tredje kvartal 2024.

Med tilsiktede angrep menes angrep utført med overlegg fra en ekstern part, både mot enkeltindivider og større angrep rettet mot en virksomhets infrastruktur, for eksempel løsepengeangrep, forklarer Stenbro. 

Dette er de vanligste syndene 

Det vanligste bruddet Datatilsynet får, er «personopplysninger til feil mottaker». 

— Det er veldig fort gjort, og årsaken er som ofte oppgis er menneskelig svikt. Man har rett og slett bare tråkket feil når man for eksempel har sendt ut brevet, og ikke sjekket navnet på mottakeren godt nok. Dette gjelder både e-post og vanlig post, sier Stenbro. 

Et eksempel var da Høgskolen i Østfold tidligere i år sendte en e-post med opplysninger om sykdomsforhold, eksamenskarakter og tap av studierett, til feil student.

Det nest vanligste er mangler eller feil i «tilgangsstyring», altså at noen som ikke skal ha det, har fått tilgang til personopplysninger. 

For eksempel fikk HR-ansatte ved et NTNU-fakultet ved en feil tilgang til sykemeldinger fra andre fakulteter. 

Endringslogg 28. november kl. 11:37: I en tidligere utgave av denne artikkelen ble den lokale Nemnda for studentsaker feilaktig omtalt som Felles klagenemnd. Felles klagenmend har ikke behandlet saken, men kun den lokale nemnda. 

Powered by Labrador CMS