PERSONVERN
Informasjon om studenter som strøk lå åpent i fem år
142 teamsrom sto åpne og tilgjengelige for alle tilknyttet Høgskolen i Østfold. På flere av disse lå det informasjon som ikke skulle deles.
Fra 2019 til høsten 2024 sto 142 teamsrom åpne og tilgjengelige for alle med en tilknytning til Høgskolen i Østfold (HiØ).
Flere av disse skulle være lukkede rom. Det går fram av en avviksmelding til Datatilsynet.
I et teamsrom inviteres aktuelle deltakere inn, og kan chatte og ha videomøter en-til-en eller i grupper. Det kan også deles arbeidsdokumenter, samt settes opp lister og planer, som står tilgjengelig for alle med tilgang til rommet.
Når 142 teamsrom sto åpne betyr det at alle ansatte, studenter og tilknyttede kunne se informasjon som skulle vært begrenset. Dermed har informasjon om enkelte studenters fravær og bestått/ikke-bestått-vurdering av praksis vært åpent tilgjengelig for flere tusen studenter og ansatte.
— Det er svært beklagelig at innhold kan ha blitt delt med HiØ-brukere som informasjonen ikke var ment for. Rutinen og opplæringen for opprettelse av teamsrom har ikke vært gode nok. Dette har høgskolen tatt tak i for å forhindre at dette skal skje igjen, skriver digitaliseringsdirektør ved HiØ, Jørgen Grølund, i en e-post til Khrono.
Seks personer har sett
I tre teamsrom lå det åpent tilgjengelig røde data, som er informasjon institusjonen er pliktige å begrense tilgang til.
Det er snakk om lister over studenter med bestått/ikke bestått praksis og lister over studenter med fravær, samt en fagforening som hadde en medlemsliste med navn, opplyser Grølund.
Umiddelbart etter at feilen ble oppdaget ble tilgang begrenset i de aktuelle rommene.
— Basert på logger ser det ut til at det er seks personer som kan ha sett innhold de ikke skulle hatt tilgang til, skriver Grølund.
— Det er alvorlig når opplysninger ligger tilgjengelig for personer som ikke skal ha det. Det er ingen tvil om. Det er viktig at man sikrer studentenes personopplysninger og sørger for å ha gode rutiner på høgskolen for lagring av data, sier studentombud og seniorrådgiver ved HiØ, Aina Karlstad.
Flere tusen har hatt tilgang
Høgskolen har omtrent tusen ansatte og tilknyttede, og omtrent 7000 studenter. Rundt 2500 studenter er nye hvert år. Det betyr at over de fem årene kan mange tusen personer ha sett informasjon som skulle vært begrenset.
— Dette krevde imidlertid at personer aktivt søkte opp informasjon, da denne ikke lå synlig ved vanlig bruk, skriver Grølund.
Studentombud Karlstad har ikke blitt kontaktet av noen studenter som er berørt av hendelsen. Hun har blitt orientert av høgskolen og sier de raskt tok tak i situasjonen da de ble klar over den.
— Da avviket ble oppdaget, ble det straks igangsatt et arbeid i samarbeid med Høgskolens personvernombud for å iverksette tiltak for å skadebegrense og få oversikt over omfang og konsekvenser, skriver Grølund.
Han sier at alle eiere av rom og områder er orienterte.
— Men vi vet at ikke alle berørte har fått informasjon og beklagelse på nåværende tidspunkt. Dette er fulgt opp internt, og vil følges opp videre.
Feilen skjedde ved oppretting
Høgskolen i Østfold oppdaget hendelsen sent i september. Tilgangen på rommene har etter dette blitt satt til privat, slik at kun eksisterende medlemmer kan se innholdet.
I tillegg til at røde data var tilgjengelig, var det også noen rom med såkalte gule data, altså informasjon som skal begrenses, men ikke er sensitivt, som lå åpent for alle. De gule dataene i disse rommene er primært samlede oversikter over navn, e-post og telefonnummer på ansatte og studenter, samt referater, søknader og gruppeoppgaver.
Det er ikke sensitive opplysninger, opplyser Grølund, men sammenstillingen av informasjonen gjør det til gule data.
— Gjennomgangen viser slikt innhold av et svært begrenset omfang, og primært informasjon som kan fremskaffes i andre åpne kanaler på høgskolen, skriver Grølund.
Grunnen til at teamsrommene var åpne, var en tilgangsstyring som gjorde at de sto åpne ved opprettelse.
Høgskolen har jobbet med personvernombud for å rette opp i feilene, og å styrke rutiner. Det er satt en teknisk sperre på opprettelse av nye teamsrom for å sikre hvilke brukere som får tilgang, og slik at eier av rommet kjenner retningslinjer for lagring og bruk av informasjon.