PERSONVERN

Informasjon om studenter som strøk lå åpent i fem år

142 teamsrom sto åpne og tilgjengelige for alle tilknyttet Høgskolen i Østfold. På flere av disse lå det informasjon som ikke skulle deles. 

Studenter og ansatte kunne gå inn på 142 teamsrom som var åpent tilgjengelig ved en feiltakelse.
Elise Lystad
Tekst: Elise Lystad
Publisert

Fra 2019 til høsten 2024 sto 142 teamsrom åpne og tilgjengelige for alle med en tilknytning til Høgskolen i Østfold (HiØ). 

Flere av disse skulle være lukkede rom. Det går fram av en avviksmelding til Datatilsynet. 

FAKTA

Informasjonsbehandling

  • Informasjon, eller data, kan klassifiseres med ulike farger basert på hvordan den skal behandles, for eksempel om tilgang skal begrenses. Den som har ansvar for informasjonen må klassifisere den etter hvorvidt noen blir skadelidende som resultat av at informasjonen er kjent. 
  • Grønne data kan være åpent tilgjengelig for alle, og vil si data som ikke forårssaker skade for noen om det blir kjent for uvedkommende.
  • Gule data betegnes som «begrenset», og vil kunne forårsake en viss skade for offentlig interesser, universitetet, enkeltpersoner eller samarbeidspartnere hvis uvedkommende får tak i den. Eksempler på dette er karakterer, studentarbeider, eksamensbesvarelser, flere typer personopplysninger. 
  • Røde data betegnes som «fortrolig», og vil kunne forårsake skade for noen hvis informasjonen blir kjent for uvedkommende eller endres utilsiktet. Derfor er universiteter lovpålagt å begrense tilgang til slik informasjon. 
  • Røde data kan være sensitive personopplysninger, data underlagt eksportkontroll, personalmapper, helseopplysninger og sikring av bygninger og it-systemer. 
  • Svarte data er «strengt fortrolig», og henviser til informasjon som kan forsårsake betydelig skade dersom den blir kjent for uvedkommende. 

Kilde: UiO

I et teamsrom inviteres aktuelle deltakere inn, og kan chatte og ha videomøter en-til-en eller i grupper. Det kan også deles arbeidsdokumenter, samt settes opp lister og planer, som står tilgjengelig for alle med tilgang til rommet. 

Når 142 teamsrom sto åpne betyr det at alle ansatte, studenter og tilknyttede kunne se informasjon som skulle vært begrenset. Dermed har informasjon om enkelte studenters fravær og bestått/ikke-bestått-vurdering av praksis vært åpent tilgjengelig for flere tusen studenter og ansatte. 

— Det er svært beklagelig at innhold kan ha blitt delt med HiØ-brukere som informasjonen ikke var ment for. Rutinen og opplæringen for opprettelse av teamsrom har ikke vært gode nok. Dette har høgskolen tatt tak i for å forhindre at dette skal skje igjen, skriver digitaliseringsdirektør ved HiØ, Jørgen Grølund, i en e-post til Khrono. 

Seks personer har sett

I tre teamsrom lå det åpent tilgjengelig røde data, som er informasjon institusjonen er pliktige å begrense tilgang til. 

Det er snakk om lister over studenter med bestått/ikke bestått praksis og lister over studenter med fravær, samt en fagforening som hadde en medlemsliste med navn, opplyser Grølund. 

Umiddelbart etter at feilen ble oppdaget ble tilgang begrenset i de aktuelle rommene. 

— Basert på logger ser det ut til at det er seks personer som kan ha sett innhold de ikke skulle hatt tilgang til, skriver Grølund. 

— Det er alvorlig når opplysninger ligger tilgjengelig for personer som ikke skal ha det. Det er ingen tvil om. Det er viktig at man sikrer studentenes personopplysninger og sørger for å ha gode rutiner på høgskolen for lagring av data, sier studentombud og seniorrådgiver ved HiØ, Aina Karlstad. 

Flere tusen har hatt tilgang

Høgskolen har omtrent tusen ansatte og tilknyttede, og omtrent 7000 studenter. Rundt 2500 studenter er nye hvert år. Det betyr at over de fem årene kan mange tusen personer ha sett informasjon som skulle vært begrenset. 

— Dette krevde imidlertid at personer aktivt søkte opp informasjon, da denne ikke lå synlig ved vanlig bruk, skriver Grølund. 

Studentombud Karlstad har ikke blitt kontaktet av noen studenter som er berørt av hendelsen. Hun har blitt orientert av høgskolen og sier de raskt tok tak i situasjonen da de ble klar over den.

— Da avviket ble oppdaget, ble det straks igangsatt et arbeid i samarbeid med Høgskolens personvernombud for å iverksette tiltak for å skadebegrense og få oversikt over omfang og konsekvenser, skriver Grølund. 

Han sier at alle eiere av rom og områder er orienterte. 

— Men vi vet at ikke alle berørte har fått informasjon og beklagelse på nåværende tidspunkt. Dette er fulgt opp internt, og vil følges opp videre. 

Feilen skjedde ved oppretting

Høgskolen i Østfold oppdaget hendelsen sent i september. Tilgangen på rommene har etter dette blitt satt til privat, slik at kun eksisterende medlemmer kan se innholdet. 

I tillegg til at røde data var tilgjengelig, var det også noen rom med såkalte gule data, altså informasjon som skal begrenses, men ikke er sensitivt, som lå åpent for alle. De gule dataene i disse rommene er primært samlede oversikter over navn, e-post og telefonnummer på ansatte og studenter, samt referater, søknader og gruppeoppgaver. 

Det er ikke sensitive opplysninger, opplyser Grølund, men sammenstillingen av informasjonen gjør det til gule data. 

— Gjennomgangen viser slikt innhold av et svært begrenset omfang, og primært informasjon som kan fremskaffes i andre åpne kanaler på høgskolen, skriver Grølund. 

Grunnen til at teamsrommene var åpne, var en tilgangsstyring som gjorde at de sto åpne ved opprettelse. 

Høgskolen har jobbet med personvernombud for å rette opp i feilene, og å styrke rutiner. Det er satt en teknisk sperre på opprettelse av nye teamsrom for å sikre hvilke brukere som får tilgang, og slik at eier av rommet kjenner retningslinjer for lagring og bruk av informasjon. 

datatilsynet student personvern høgskolen i østfold nyheter
LES VIDERE ETTER ANNONSEN

FÅ NYHETER PÅ MOBILEN
Last ned Khrono-appen!

Download on the App Store Tilgjengelig på Google Play
Siste fra forsiden:

Nyeste artikler

Mest lest

Powered by Labrador CMS