Storebror HiOA ser deg, men bare innimellom
Høgskolen følger ikke loven når de ikke informerer om hva slags personopplysninger som registreres. Nå skal det installeres over 100 nye overvåkingskameraer og et nytt system for adgangskontroll.
OBS! Denne artikkelen er mer enn tre år gammel, og kan inneholde utdatert informasjon.
Høgskolen i Oslo og Akershus (HiOA) er i gang med å bytte ut systemet for adgangskontroll. Det er derfor ulik praksis for lagring av personopplysninger alt ettersom hvilket bygg man besøker.
Høgskolen innrømmer at den har brutt bestemmelsen i personopplysningsloven som omhandler informasjonsplikt til tilsatte og studenter. Den som samler personopplysninger plikter, ifølge Datatilsynet og loven, å informere de som blir registrert om hvilke opplysninger som registreres og lagres, hvor lenge, hvordan og hvorfor, men dette har ikke blitt gjort på høgskolen så langt.
Med det nye adgangskontrollsystemet og blant annet 100 overvåkningskameraer i Pilestredet vil langt flere opplysninger enn i dag bli registrert og lagret.
Sikkerhet for millioner framover
HiOA skal oppgradere sikkerheten ved skolen og har nettopp ansatt en ny sikkerhetssjef. Den tidligere politimannen begynner i jobben 20. mars.
Høgskolen har også nylig inngått avtale med sikkerhetsselskapet NOKAS som skal stå for vakttjenesten ved å være tilstede på campus Pilestredet hver dag fram til midnatt. Avtalen med sikkerhetsselskapet har en økonomisk ramme på 19 millioner kroner ifølge tildelingsdokumentene.
Anbudsforespørsel om oppgradering og vedlikehold av systemet for adgangskontroll er nettopp lagt ut på den offentlige anbudsportalen doffin.no og har svarfrist i juni. Den økonomiske rammen her er maksimalt 11,5 millioner kroner (eks.mva) over to år.
Det skal også ifølge anbudsforespørselen, installeres rundt 100 utvendige overvåkingskameraer i Pilestredet. (Bildet under er overvåkingskameraer fra HiOAs campus på Kjeller).
Vi lagrer veldig lite i det gamle systemet - ingenting faktisk.
Odd Harald Johansen
Universiteter lagrer ulovlig
Både Universitetet i Bergen (UiB), Universitetet i Oslo (UiO) og Universitetet i Nordland har innrømmet at de har lagret personopplysninger ulovlig. De er nå i ferd med å rydde opp, slik at de har en praksis i tråd med bestemmelsene i personopplysningsloven som forvaltes av Datatilsynet.
I første rekke handler dette om at hver gang et adgangskort blir brukt, registreres og lagres bevegelsene med alle personopplysningene til brukerne på universitetenes server. I enkelte tilfeller har informasjonen vært lagret lengre enn de 90 dagene loven tillater.
Høgskolen i Oslo og Akershus (HiOA) har også system for adgangskontroll i dag, der alle, både tilsatte og studenter, får utlevert et kort med kode. Koden må brukes for å komme inn i høgskolens bygninger etter stengetid på ettermiddagen og før åpningstiden mellom kl 07.00 og 08.00 hver morgen.
— Akkurat når det gjelder informasjon om hvordan opplysningene fra adgangskort brukes og lagres, tror jeg vi skal være så ydmyke å si at vi ikke har vært flinke nok, sier kommunikasjonsdirektør Anne Christel Johnsgaard ved høgskolen til Universitas og fortsetter:
— Vi jobber nå med å finne en løsning på dette, og fra neste semester vil alle måtte skrive under en avtale før de får utlevert adgangskort, bekrefter Johnsgaard overfor Khrono.
Få opplysninger som lagres i Oslo
Brannvern- og sikkerhetsleder ved HiOA, Odd Harald Johansen (bildet over), bekrefter at høgskolen har forsømt seg med informasjon til ansatte og studenter om hvorfor og hvordan de lagrer personopplysninger via adgangskontrollsystemet.
Også han lover at informasjonsskriv skal være på plass til semesterstart høsten 2014.
— Bør ikke alle informeres så snart som mulig?
— Jo, det ble i og for seg lagt ut noe informasjon på hioa.no for et par uker siden, etter at saken om registrering ved universiteter ble kjent i media, sier Johansen.
Her er opplysningene som ble lagt ut 12.februar.
— Men utover den manglende informasjonen til de som registreres, bryter ikke høgskolen noen bestemmelser i personopplysningsloven når det gjelder systemet for adgangskontroll, sier han.
Lagrer ingenting i gammelt system
— Hvor mye personopplysninger registrerer og lagrer høgskolen på hver enkelt gjennom systemet for adgangskortene?
— Vi lagrer veldig lite i det gamle systemet - ingenting faktisk, sier Johansen,
— Her i Oslo er det bare det nye helsefagbygget, Andrea Arntzens Hus i Pilestredet 32, som har nytt og oppdatert adgangskontrollsystem der personopplysninger om hvem som går inn i bygget utenom kjernetiden lagres. Vi har så langt skiftet ut noen av de gamle kortterminalene i Pilestredet 52 og 35 også, men langt ifra alle ennå, sier han.
I Pilestredet 40, 44, 46, 48 og 50 er det fortsatt det gamle systemet som gjelder.
— Så ved HiOA er det i grunnen et motsatt «problem» enn ved de største universitetene? Dersom det skulle være behov for å spore noen hendelser så vil det ikke være mulig fordi det ikke er noen kontroll?
— Det er ikke helt riktig. På studiested Kjeller har vi et helt moderne og tidsriktig sikkerhetssystem for adgangskontroll, kameraovervåkning og ytre skallsikring. Det er dette systemet som skal overføres til resten av høgskolen i løpet av de neste to årene, sier Johansen.
Kjeller har hatt systemet i seks år allerede og Johansen er veldig fornøyd da han tar med Khrono til Kjeller for å vise hvordan systemet fungerer. Han har selv vært med på å innføre systemet og fra oktober i fjor ble han ansatt sentralt i eiendomsavdelingen i Pilestredet for å innføre tilsvarende her også.
Mest mulig åpenhet og sikkerhet
— Prinsippet er jo mest mulig åpenhet, samtidig som vi skal ha størst mulig sikkerhet for ansatte, studenter, bygninger og utstyr, sier Johansen.
Allerede ved inngangen til campus Kjeller blir vi møtt med skilt der det opplyses om at det pågår kameraovervåkning hele døgnet - i regi av høgskolen.
Inne i et sikkerhetssenter i 1.etasje kan de som jobber med sikkerheten følge med på tre ulike skjermer, blant annet opptak fra de utvendige overvåkningskameraene. Filmene herfra lagres i sju dager.
Byggetegninger av hele campus der det registreres alarmer dersom en dør som ikke skal være åpen står oppe for lenge eller det er andre uregelmessigheter som skjer, kan også sees på skjermen. Alarmmeldinger merket rødt, gult og grønt tikker inn regelmessig.
— Dersom det går en alvorlig alarm, innbrudd eller knusing av ruter f.eks, går denne rett til sikkerhetsvaktene i NOKAS som vil rykke ut med en gang, forteller Johansen.
Etter 16.00 og før 07.00
Innvendig på campus er det ingen kameraer. På dagtid er det heller ingen som skal trenge og bruke koden på adgangskortet sitt for å komme inn i bygget og blir dermed ikke registrert. Men etter klokka 16 og før kl 07 blir all aktivitet inn i bygget registrert og lagret i 90 dager.
— Dette er jo på grunn av sikkerheten, sier Johansen som forteller at det er strenge restriksjoner for både hvem som skal få se, og hva som skal brukes av opplysningene som registreres av den enkelte.
Av ansatte er det kun Johansen som kan gå inn og sjekke registreringene av opplysninger i adgangskortsystemet. Det var disse opplysningene som ble lagret for lenge og for mye ved Universitetet i Oslo og Bergen, og på en slik måte at man i prinsippet kunne følge bevegelsene til hver enkelt.
Til og med inn på noen av toalettene hadde UiO registrert bruk av kort og kode og lagret personopplysningene. Universitetsdirektøren har lagt seg falt og lover å rydde opp.
Hjalp politiet med å oppklare grovt ran
— Det er bare politiet som kan be om å se gjennom filmene fra overvåkingskameraene, dersom det er berettiget mistanke om at noe ulovlig har skjedd, sier Johansen.
Han kan fortelle at bare for et par måneder siden bidro kameraovervåkningen ved campus Kjeller til å hjelpe politiet med å arrestere en person som var ettersøkt for grovt ran.
— Den ettersøkte raneren gikk inn på høgskolen på Kjeller på dagtid, og brøt opp flere studentskap (bildet over) inntil han fant en bilnøkkel. Han forsvant ut igjen, stjal bilen og kjørte. Her hadde vi faktisk nytte av kameraene for å hjelpe politiet med å spore mannen. Et par dager senere var han arrestert. Å gå gjennom filmen var litt som på detektimen, sier han.
Adgangskort på avveie
— Men nå har HiOA vært fusjonert i over to år, hvorfor tar det enda to år til før en har fått samordnet adgangskontrollsystemene ved Kjeller og Pilestredet?
— Det har blitt brukt mye tid på å kartlegge systemet, låser og beslag, som allerede er i Pilestredet. De enkelte anbudsrundene er også tidkrevende. I tillegg har vi hatt mange lånekort på avveie, som vi har brukt tid på å slette, sier Johansen, som kan opplyse at det er 22.000 adgangskort i omløp ved skolen.
— Har Datatilsynet vært på kontroll og godkjent systemet på Kjeller og i Pilestredet 32?
— Nei, men vi har meldeplikt annethvert år, og det følger vi opp, sier Johansen. Han legger til at både overvåkningskamera og skallsikring (utvendig alarmering) er viktig for beredskapen og i krisesituasjoner.
— Det er viktig å huske på at dette er en del av terrorberedskapen vår også, med tanke på mulige skyteepisoder o.l. på campus, sier han.
Lagringen må ha mål og mening
Personopplysningsloven trådte i kraft i 2001 som følge av et EU-direktiv. Loven blir også fulgt av en forskrift. Det er Datatilsynet som forvalter loven i Norge.
Her kan du se hva tilsynet sier om innsynrett og informasjonsplikt på sine hjemmesider.
Juridisk rådgiver i Datatilsynet, Henok Tesfazghi, sier til Khrono at det må være et klart definert formål ved bruk av adgangskort og lagring av opplysningene av slik bruk.
— De som samler inn personopplysninger må spørre seg om slik adgangskontroll og loggføring strengt tatt er nødvendig. Det skal ligge en risikovurdering bak. Mange kjøper bare inn et system uten å tenke over konsekvensene, sier Tesfazghi.
Han legger til at hvis bruk av adgangskort skal være for å hindre uvedkommende adgang og loggføres, så må det brukes kode for at man skal kunne lagre informasjonen.
— Ellers har man jo ingen garanti for at ikke kortet er stjålet, for eksempel, sier han og mener at det er grundige risikovurderinger som skal ligge bak praksisen til bedrifter og institusjoner på dette området.
— Hvor ofte kontrollerer dere universitet og høgskoler for disse tingene?
— Det hender vi tar stikkprøver. Nå virker det som om sektoren ønsker å rydde opp i rutiner og internkontroll så vi får følge med på det, sier Henok Tesfazghi.
Intet lagret
Forfatteren av denne artikkelen ba brannvern- og sikkerhetsleder ved HiOA, Odd Harald Johansen, om å sjekke hvor mye opplysninger som var lagret i hennes adgangskort.
Svaret var ingenting, selv om koden og kortet er i bruk flere ganger per uke.
Her finner du informasjonen som ligger på hioa.no om adgangskontroll.
Logg inn med en Google-konto, eller ved å opprette en Commento-konto gjennom å trykke på Login under. (Det kan være behov for å oppdatere siden når man logger inn første gang)
Vi modererer debatten i etterkant og alle innlegg må signeres med fullt navn. Se Khronos debattregler her. God debatt!