personvern
Alle UiO-ansatte hadde tilgang til informasjon om jobbsøkere
Jobbsøkeres CV og ansettelseskomiteens vurderinger lå åpent tilgjengelig for alle ansatte ved universitetet. Det kan ha vært slik helt siden 2011.
Et eget ansettelsesråd ved Det matematisk-naturvitenskapelige fakultet behandler ansettelsessaker.
Nå viser det seg at dokumenter i ansettelsessakene, som egentlig bare rådets medlemmer skulle hatt tilgang til, har ligget åpent tilgjengelig for alle ansatte ved Universitetet i Oslo (UiO). Og slik kan det ha vært siden 2011.
Fakultetet oppdaget selv dette i januar i år, og universitetet meldte fra til Datatilsynet.
Dette var tilgjengelig
I avviksmeldingen skriver UiO at tilgjengelige dokumenter «inkluderer ansettelsesrådets konkrete individuelle vurderinger av søkere».
Til Khrono supplerer fakultetsdirektør Eva Helene Mjelde med at saksdokumentene består av:
- Innstillingen, inkludert CV, til kandidaten som er innstilt som nummer én til stillingen. Men ikke søknader, og ikke CV-ene til de som ikke var innstilt som nummer én.
- Utvidet søkerliste, som inkluderer oversikt over søkernes utdanning og yrkeserfaring, slik de selv har registrert dette i JobbNorge.
Ansettelsesrådet behandler rundt 60 ansettelsessaker i året.
— Vanskelig tilgjengelig
Til Datatilsynet skriver UiO at saksdokumentene lastes opp rundt én uke før møtedato. Etter møtet slettes dokumentene. Dokumentene har altså kun ligget tilgjengelig rundt én uke i måneden.
I meldingen til Datatilsynet står det at siden der dokumentene har ligget, er vanskelig tilgjengelig for ansatte:
«For å finne dem må ansatte enten lete aktivt, eller komme over det ved en tilfeldighet. Dette reduserer sannsynligheten for at opplysningene faktisk har blitt eksponert for uvedkommende, og risikoen for at hendelsen kan medføre skade for de berørte, men UiO kan ikke utelukke at det har skjedd en utilsiktet eksponering av personopplysninger til uvedkommende.»
Universitetet skriver videre at det ikke har holdepunkter for at hendelsen har resultert i skade for potensielt berørte. Men det vet ikke om, og eventuelt hvor mange, som har lest.
Kan ikke vite om noen har lest
De har kun logger 10 uker tilbake i tid. Disse loggene viser at bare to ansatte, begge med tjenstlig behov, var inne på sidene i denne perioden.
Tall fra verktøyet Google Analytics, som teller sidevisninger, er også som forventet ut fra antallet ansatte som var ment å ha tilgang.
«Men vi kan ikke med sikkerhet si om det kun har vært disse respektive ansatte som har vært inne på nettsiden», skriver fakultetsdirektør Eva Helene Mjelde til Khrono.
Hun sier at feilen skyldes «menneskelig svikt ved tildeling av leserettigheter til ansettelsesrådets medlemmer».
I meldingen til Datatilsynet skriver UiO at siden, der saksdokumentene ble publisert, ble opprettet 23. februar 2011.
Dette innebærer ikke nødvendigvis at alle UiO-ansatte har hatt tilgang til dokumentene helt siden da. Det vet ikke universitetet, siden det mangler logger for endring av tilganger.
Men universitetet legger til at det ikke kan utelukke at hvert enkelt saksdokument «i perioder på omkring en uke har vært tilgjengelige for UiO-ansatte, siden 23. februar 2011».