personvern 

UiT meldte Borch-lekkasje til Datatilsynet

Universiteter og høgskoler har i år meldt inn rekordmange brudd på personvernreglene. En av sakene handler om masteroppgaven til tidligere statsråd Sandra Borch.

Forsknings- og utdanningsminister Sandra Borch (Sp)
Fra pressekonferansen 19. januar da daværende forsknings- og utdanningsminister Sandra Borch (Sp) innrømmet fusk og kunngjorde at hun trakk seg som statsråd. Senere ble saken formelt behandlet av UiT. Dagbladet fikk tilgang til konfidensielle opplysninger UiTs behandling av saken, og dette meldte universitetet til Datatilsynet.
Jørgen Svarstad
Tekst: Jørgen Svarstad
Publisert Sist oppdatert

«Frikjennes», lød tittelen på en sak i Dagbladet 6. mars i år. 

FAKTA

Dette er et avvik

  • Et brudd på personopplysningssikkerheten (avvik) er i personvernforordningen definert som utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet.
  • Dersom det skjer et brudd på personopplysningssikkerheten, har den behandlingsansvarlige som hovedregel plikt til å melde det til Datatilsynet. Den behandlingsansvarlige trenger ikke melde bruddet til Datatilsynet dersom «bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter».
  • Eksempler på typiske brudd som skal meldes er forsendelsesfeil (f.eks. brev eller e-post som inneholder personopplysninger er sendt til feil mottaker), angrep mot datasystemer, sikkerhetshull som er oppdaget, at tilgangsstyring mangler eller har feilet, uautorisert eller utilsiktet publisering av personopplysninger og kastede dokumenter som skulle vært makulert.
  • Avviket skal meldes til Datatilsynet innen 72 timer etter at det skjedde. 
  • Datatilsynet gjør en alvorlighetsvurdering av avviket. Rundt 80 % av meldingene avsluttes med et standard avslutningsbrev. Dette betyr at sakene ikke følges opp med ytterligere undersøkelser eller sanksjoner. De resterende 20 % blir vurdert for mulig videre oppfølging eller tiltak
  • Datatilsynet kan gjennomføre tilsyn, gi pålegg om retting eller ilegge administrative sanksjoner som overtredelsesgebyrer i de mest alvorlige sakene.

    • Kilde: Datatilsynet 

Det handlet om politiker Sandra Borch (Sp) som to måneder tidligere hadde gått av som forsknings- og høyere utdanningsminister etter at hun innrømmet å ha fusket i masteroppgaven. 

Nå ble fuskesaken formelt behandlet av studentnemnda ved UiT Norges arktiske universitet.

I artikkelen, som ble publisert en uke før nemnda gjorde sitt vedtak, skrev Dagbladet at nemndas «foreløpige konklusjon» fastslo at Borchs masteroppgave ikke skulle strykes for fusk eller tekstlikheter.

Ledelsen ved UiT vet fortsatt ikke hvordan Dagbladet fikk tak i disse taushetsbelagte opplysningene, som svært få ved UiT hadde tilgang til.

Saken er meldt som et avvik, altså et sikkerhetsbrudd som berører personopplysninger, til Datatilsynet.

Mer om denne saken lenger ned i artikkelen.

Rekordmange brudd 

Slike brudd skal som hovedregel meldes til Datatilsynet innen 72 timer etter at de oppdages. 

Khrono har kartlagt antall avviksmeldinger til Datatilsynet de siste fem årene. 

Antall meldinger fra universiteter og høgskoler har økt betraktelig. Så langt i år (per 22. november) har det kommet 68 avviksmeldinger. Det er rekordmange, og over dobbelt så mange som i 2019.

Tallene har Khrono hentet inn ved å søke etter avviksmeldinger i Datatilsynets postjournal. Vi har også fått innsyn i de fleste avviksmeldingene de siste to årene. 

Det er meldinger om stort og smått.

Inkludert i tallene er en sak fra Universitet i Agder (UiA), der blant annet fødselsnummeret til nesten 14.000 personer kunne leses av alle UiA-ansatte. For dette fikk universitetet en bot på 150.000 kroner.

En annen sak ved samme universitet året før involverer en robot og pasienter med funksjonshemninger. En ph.d.-kandidat møtte pasienter for intervjuer og oppfølging, og brukte en robot for å vise muligheter for assistanse. Roboten gjorde lydopptak av de ni pasientene. Da roboten ble levert tilbake til leverandøren, var ikke lyd- og bildefilene slettet.

I en tredje sak hentet en ansatt ved Universitetet i Oslo ut studenters e-postadresser. Han sendte dem reklame for egen virksomhet, der han «leser» mennesker ved å «gå inn i energifeltet» deres.

I tabellen nedenfor er et større utvalg av innmeldte personvernavvik fra universiteter og høgskoler de siste to årene. Du kan bla og søke i tabellen. Dette er foreløpige meldinger, som kan være meldt inn før institusjonen har fått fullstendig oversikt over hva som har skjedd. 

Borch-saken: — Noen har brutt taushets­plikten 

I Sandra Borch-saken var det en foreløpig innstilling til nemnda Dagbladet hadde fått tilgang til. 

Denne var ifølge UiT tilgjengelig i rett under fem timer dagen før Dagbladet publiserte sin sak. 

Kun noen få hadde tilgang til innstillingen. Dette var enkelte i UiTs administrasjon og studentnemndas medlemmer, skriver UiT i avviksrapporten til Datatilsynet. 

«Noen har enten bevisst eller ved uforsiktighet brutt taushetsplikten», skriver UiT.

Universitetet skriver videre at det ikke vet hvordan Dagbladet fikk opplysningene, for eksempel om noen med tilgang har tatt kontakt med avisen eller om noen har snakket om dette til en tredjepart, og informasjonen så har nådd avisa.

Til Khrono opplyser UiT at de ikke har avdekket svikt i rutinene.

«Det er fremdeles ikke avklart hvordan Dagbladet fikk tilgang til opplysningene, og det er ikke sannsynlig at det vil bli avklart gjennom UiTs interne undersøkelser.» 

Da studentnemnda til slutt behandlet fuskesaken, konkluderte den som kjent med at Sandra Borch hadde fusket forsettlig i masteroppgaven.

Statsråd Ingvild Kjerkol (Ap) gikk også av etter at hun ble felt for fusk. Også i den  fuskesaken kom konfidensiell informasjon ut i media, blant annet vedtaket der hun ble felt. 

Til Khrono opplyser utdanningsdirektør Anne Ringen Pedersen ved Nord universitet at de ikke har meldt dette til Datatilsynet.

Universitetet skriver at det har konkludert med at det «ikke forelå noen indikasjon på lekkasje fra Nord universitet», da deres undersøkelser viser at informasjon ble håndtert forsvarlig og det ikke er avdekket indikasjon på datainnbrudd eller annen mistenkelig trafikk. 

600.000 nordmenn fikk delt fødselsnummer

Blant de innmeldte sakene til Datatilsynet er flere større saker som har fått mediedekning og som involverer flere utdanningsinstitusjoner, med flere avviksmeldinger per  institusjon.

For eksempel et alvorlig sikkerhetsbrudd i innloggingstjenesten Feide, der nesten 600 000 personer fikk delt fødselsnummeret. 

Dette berørte også universiteter og høgskoler.

Blant annet meldte Universitetet i Oslo at persondata fra opptil 10.000 ansatte og studenter kunne ha blitt eksponert for uautoriserte brukere i Feide-tjenester, mens Universitetet i Agder meldte at nesten 2600 personer tilknyttet dem var berørt.

Enorm økning siden 2017 

Antallet avviksmeldinger til Datatilsynet øker ikke bare i universitets- og høgskolesektoren, men i hele samfunnet.

Fra 2022 til 2023 var det totalt en økning på 25 prosent, i alle sektorer. Siden 2017 har antallet økt med hele 790 prosent, framgår det av årsmeldingen.

Innføringen av EUs personvernregler GDPR i 2018 angis som en viktig årsak, da kravene til rapportering ble strammet inn.

Seksjonssjef Kristine Stenbro i Datatilsynet sier at det ikke bare er negativt at det har skjedd en økning. 

Det kan også bety at regelendringene har fått tid til å sette seg, at virksomhetene har etablert rutiner for å avdekke og følge opp avvik, og blitt flinkere til å melde fra.

— Det å ha gode mekanismer for å kunne oppdage og melde fra om avvik, er det veldig mange som blir stadig bedre på, sier hun.

Cyberangrep på UiO 

En annen grunn til økningen, som Datatilsynet ikke er glad for, er at antallet cyberangrep har økt. 

Kategorien «tilsiktede angrep» er blant avvikene som øker raskest, og hadde i 2023 en økning på hele 143 prosent. 

Det er flere eksempler på slike angrep i universitets- og høgskolesektoren. For eksempel opplevde Universitetet i Oslo en såkalt phishingkampanje i august i år.

I sin avviksmelding til Datatilsynet skriver UiO at «ondsinnede aktører har kompromittert et begrenset antall UiO-kontoer og ved hjelp av disse iverksatt masseutsending av e-post med forfalsket UiO avsender.»

Ved hjelp av kontoene de overtok, fant de svakheter i universitetets IT-infrastruktur. Dette utnyttet de ved å sende ut e-post fra UiO med forfalsket avsender.

UiO skrev i august at foreløpige undersøkelser tilsier at målet med kampanjen var å sende ut mer phishing, ikke å hente ut data fra brukerkontoene.

Kristine Stenbro i Datatilsynet opplyser at rapporterte angrep har fortsatt å øke i 2024, med 111 prosent i tredje kvartal 2023 til tredje kvartal 2024.

Med tilsiktede angrep menes angrep utført med overlegg fra en ekstern part, både mot enkeltindivider og større angrep rettet mot en virksomhets infrastruktur, for eksempel løsepengeangrep, forklarer Stenbro. 

Dette er de vanligste syndene 

Det vanligste bruddet Datatilsynet får, er «personopplysninger til feil mottaker». 

— Det er veldig fort gjort, og årsaken er som ofte oppgis er menneskelig svikt. Man har rett og slett bare tråkket feil når man for eksempel har sendt ut brevet, og ikke sjekket navnet på mottakeren godt nok. Dette gjelder både e-post og vanlig post, sier Stenbro. 

Et eksempel var da Høgskolen i Østfold tidligere i år sendte en e-post med opplysninger om sykdomsforhold, eksamenskarakter og tap av studierett, til feil student.

Det nest vanligste er mangler eller feil i «tilgangsstyring», altså at noen som ikke skal ha det, har fått tilgang til personopplysninger. 

For eksempel fikk HR-ansatte ved et NTNU-fakultet ved en feil tilgang til sykemeldinger fra andre fakulteter. 

datatilsynet nyheter personvern sandra borch
LES VIDERE ETTER ANNONSEN

FÅ NYHETER PÅ MOBILEN
Last ned Khrono-appen!

Download on the App Store Tilgjengelig på Google Play
Siste fra forsiden:

Kortnytt

  • Millionstøtte til psykologistudium på UiS

    Hege Larsen

    Universitetet i Stavanger (UiS) får et bidrag på 10 millioner kroner fra Ulla-Førrefondet til å starte opp profesjonsstudiet i psykologi. Dette kommer i tillegg til inntil 20 millioner kroner som Universitetsfondet i Rogaland ga tilsagn om i juni.

    Med støtten fra de to fondene er UiS halvveis til 60 millioner, som er nødvendig for å dekke oppstartskostnadene til det nye studiet, skriver UiS på sine nettsider.

    Bidragene forutsetter finansiering av selve studieplassene, som UiS håper skal komme på plass under budsjettforhandlingene mellom regjeringspartiene og SV.

    I regjeringens forslag til statsbudsjett er ikke studieplassene inne, men både SV, Høyre, Venstre, Frp og Rødt har plassene inne i sine alternative budsjetter for 2025.

    Rektor Klaus Mohn sier at han er veldig takknemlig for bidraget fra de to fondene.

    — Dette vil hjelpe oss å få etablert et studium som vil møte samfunnets behov for psykologer, sier han.

    Håper det gir et push

    Styreleder Jonas Andersen Sayed i Ulla-Førrefondet sier at det er en forutsetning for deres bidrag at studieplassene blir finansiert.

    — Med dette tilskuddet gjør Ulla-Førrefondet det mulig å dekke deler av oppstartskostnadene for tilbudet, med en tydelig forutsetning at regjeringspartiene og SV prioriterer midler til selve studieplassene. Vi håper denne nyheten kan gi en ekstra push i innspurten av budsjettforhandlingene på Stortinget, sier han.

    Ulla-Førrefondet er eid av Rogaland fylkeskommune, Lyse og Sunnhordland Kraftlag, mens Universitetsfondet i Rogaland er eid av Rogaland fylkeskommune, Stavanger kommune, Sandnes kommune, Haugesund kommune og Sola kommune.

    Rektor Klaus Mohn er takknemlig for støtte til oppstart av psykologistudiet og venter spent på om det kommer midler til studieplasser på statsbudsjettet for 2025.

  • Husbanken gir støtte til å oppgradere eldre studentboliger

    Elise Lystad

    Nye retningslinjer gjør at eldre studentboliger kan få et løft med støtte fra Husbanken.

    Eksisterende studentboliger kan, med de nye retningslinjene, få tilskudd til rehabilitering og oppgradering dersom det er behov for å løfte boligen til dagens standard.

    — SiO har over 1300 nye studentboliger under bygging eller utvikling, og vi skal fortsette å bygge, da etterspørselen etter studentboliger i Oslo er særlig høy. Samtidig er cirka 1500 av våre 9000 studentboliger i Oslo av eldre dato og har behov for oppgradering til dagens standard, sier Andreas Eskelund, administrerende direktør i SiO, i en pressemelding.

    Ifølge Husbanken er over halvparten av årets studentboliger eldre enn 30 år og over 7000 studentboliger vil ha behov for oppgradering innen 2030.

    — Dette er veldig gode nyheter fra Husbanken! Samskipnadsrådet har arbeidet i flere år for å sikre tilskudd til både nye og oppgradering av eldre studentboliger. Dette er en seier for studentene, sier Rita Hirsum Lystad, styreleder i Samskipnadsrådet i en pressemelding.

  • Ny dekan på Universitetet i Agder

    Elise Lystad

    Anne Cathrine Gjærde er tilsatt som ny dekan ved Fakultet for teknologi og realfag ved Universitetet i Agder (UiA).

    — Jeg ser frem til oppgaven og å bli kjent med det som fremstår som et solid og spennende fagmiljø med dedikerte ansatte innen både vitenskapelige og teknisk/administrative stillinger. Teknologi og realfag har stor betydning for utviklingen av samfunnet og den grønne omstillingen, sier Gjærde på UiA sine nettsider.

    Gjærde har til nå vært dekan ved Fakultet for realfag og teknologi ved NMBU. Hun starter i sin nye stilling våren 2025 og har et fireårig åremål.

    — Vi er veldig glade for å få Anne Cathrine med på laget. Vi mener hennes erfaringsbakgrunn er en perfekt match for fakultetet, og gleder oss til å få henne inn i dekangruppen, sier rektor Sunniva Whittaker.

  • NTNU feirer at det er ti år siden nobelprisen

    Solveig Mikkelsen

    Det er i år ti år siden Edvard Moser og May-Britt Moser ble tildelt nobelprisen i medisin eller fysiologi. 27. november slår NTNU på stortromma for å feire sine mest prominente forskere.

    Først ble det arrangert en konferanse for ungdom, der de blant annet kunne høre på et inspirasjonsforedrag med May-Britt Moser.

    Deretter var det duket for en forskerkonferanse, der blant annet følgende spørsmål blir stilt: «Er Norge på kollisjonskurs med Europa, som vil satse massivt på forskning og innovasjon?» Innledere her er blant annet nobelprisvinnerne og Nicola Spaldin, som blir beskrevet som en av verdens fremste materialforvaltere. De skal diskutere verdens utvikling.

    På kveldstid blir det konsert i Nidarosdomen. Det blir musikalske innslag av Trondheimsolistene, domkoret og John Pål Inderberg Trio. Her skal publikum tas med på en reise om rom, tid og minner, skriver NTNU i ei pressemelding.

    Edvard Moser og May-Britt Moser har gjort det stort også etter at de fikk nobelprisen. Her er det jubel i forbindelse med tildeling av senter for fremragende forskning i 2022.

  • Fagskolen NKI Nettstudier vinner pris

    Elise Lystad

    Fagskolen NKI Nettstudier vant i går prisen Årets nettpedagog.

    Prisen deles ut hvert år til noen som har tilrettelagt for kvalitet i fleksible læringsprosesser, har brukt teknologi på en pedagogisk måte, og har bidratt til videreutvikling av fleksibel undervisning.

    NKI Nettstudier har utviklet sin egen metodikk, praksisnær dybdelæring i et interaktivt univers (PLIS). Juryen skriver at PLIS «fremstår som en tilnærming til pedagogisk design som bidrar til studentenes læringsprosess, blant annet gjennom bevisst bruk av språk og teknologi.»

    Prisen deles ut av Fleksibel utdanning Norge (FUN). De hadde sin årskonferanse på Høyskolen Kristiania den 26. november.

  • Første kull med samiske sykepleiere er uteksaminert

    Elise Lystad

    Studentene er nå sykepleiere med samisk spisskompetanse.

    Uteksamineringen ble markert i Kautokeino 26. november, skriver UiT Norges arktiske universitet på sine nettsider.

    Alle studentene har samisk bakgrunn. De fem uteksaminerte studentene startet på den samiske sykepleierutdanningen i 2021. Programmet er et samarbeid mellom UiT og Samisk høgskole.

    — Tenk hvor viktig det er for de samiske barna som er syke at de kan møtes av sykepleiere som snakker samisk, og tenk på de gamle samiske pasientene som kanskje ikke er så gode i norsk, og tenk på de samiske pasientene som er psykisk syke og som kanskje har et spesielt behov for at sykepleierne også forstår den samiske kulturen, sa Gunbjørg Svineng, dekan ved Det helsevitenskapelige fakultet ved UiT, på markeringen i går.

    Dekanen ytret også et ønske om at de samiske sykepleierne i framtiden kommer tilbake og underviser nye kull på utdanningen.

    Første kull fra samisk sykepleieutdanning er uteksaminert. Fire av de fem er representert, femtemann var på jobb som ambulansepersonell.

  • Forskingsrådets formidlingspris til ekstremisme­forsker

    Elise Lystad

    Forskningsrådets formidlingspris går til ekstremismeforsker Cathrine Thorleifsson.

    Prisen kommer med en pengepott på 500.000 kroner.

    — For meg som formidler er det en stor ære og anerkjennelse å få denne prisen, sier Cathrine Thorleifsson til UiO.

    Thorleifsson er førsteamanuensis ved Sosialantropologisk institutt ved UiO. I mange år var hun tilknyttet C-REX Senter for ekstremismeforskning, og hun ledet i fjor arbeidet med Ekstremismekommisjonen på oppdrag fra regjeringen. Hun syns det er stas å få pris fra Forskningsrådet:

    — At de også har en pris som anerkjenner formidling, som ikke alltid når tellekantene i universitetet, er fantastisk stort. For universitetets rolle i formidling er viktig. Å kunne ta ledelse og eierskap og formidle kunnskapen vi forsker frem inn i både offentlig forvaltning, næringsliv og offentligheten generelt, er veldig gøy, sier hun.

    Formidling om temaer som høyreekstremisme, terror og vold har ført til at Thorleifsson i perioder har blitt utsatt for alvorlige trusler. Juryen nevner i begrunnelsen sin at Thorleifsson står støtt i å formidle innen et felt hvor forskere ofte utsettes for trusler og hets.

    Juryen skriver: «I en tid med press på demokrati og ytringsfrihet hvor det ikke lenger er like selvfølgelig at kunnskapsbasert informasjon og beslutninger vinner frem, er prismottakerens forsknings- og formidlingsarbeid innen politisk radikalisering et godt eksempel på hvorfor forskningsformidling er et viktig demokratisk ansvar.»

    Portrettfoto av en blond smilende kvinne som står foran et stort maleri. Det er gule og røde horisontale striper i bakgrunnen av maleriet, og i front en mørk blå figur og to nakne mennesker i blått og rødt.
    Cathrine Thorleifsson syns det er stas å få formidlingspris fra Forskningsrådet.

  • Forsker og journalister vinner Forskningsrådets innovasjonspris

    Elise Lystad

    Forskningsrådet deler ut Innovasjonsprisen til seniorforsker Zander Venter ved Norsk institutt for naturforsking (NINA) og NRK-journalistene Mads Støstad, Ruben Solvang, Anne Linn Kumano-Ensby og Su Thet Mon.

    Vinnerne får 500.000 kroner. Gruppen får prisen for samarbeidet sitt mellom forskning og journalistikk i prosjektet «Norge i rødt, hvitt og grått».

    — Som samfunn er vi avhengig av innovasjon i alle deler av samfunnet for å lykkes med den grønne, digitale omstillingen. Vi i Forskingsrådet vil hedre den forskningsbaserte innovasjonskraften med innovasjonsprisen. Jeg er imponert over hvordan prisvinnerne har kombinert vitenskapelig tilnærming og nye teknologier sammen med journalistisk historiefortelling, sier administrerende direktør i Forskingsrådet Mari Sundli Tveit i en pressemelding.

    Prosjektet har brukt kunstig intelligens til å kartlegge alle naturinngrepene i Norge de siste fem årene, ved å analysere satellittbaserte kart. Deretter har gruppen fremstilt ulike visualiseringer av dataene sine.

    Forskningsrådet skriver i pressemeldingen at prosjektet setter en ny standard for fremtidige KI-drevne samarbeidsprosjekter på tvers av fagområder. Saken til NRK har fått over en million sidevisninger, NRK har fått over 2000 e-poster fra publikum og det er skrevet over 1800 artikler i norske medier som direkte henviser til prosjektet.

    Innovasjonsprisen deles ut årlig til en person eller virksomhet som har brukt forskning strategisk i sitt innovasjonsarbeid.

    Prisutdelingen foregikk på Forskningssamtalen 2024. F.v. adm.dir i Forskningsrådet Mari Sundli Tveit; NRK-journalister Anne Linn Kumano-Ensby, Su Thet Mon og Ruben Solvang; Zander Venter fra Nina og NRK-journalist Mads Støstad.
Powered by Labrador CMS