Universitetet beklager: Person­data om over 14.000 personer kunne leses av alle ansatte

Totalt har personopplysninger om godt over 14.000 eksterne, ansatte og studenter vært eksponert for uvedkommende på UiA. Universitetet forteller selv om de til sammen ni avvikene fra egne rutiner på sin nettside. 

­— Det er et alvorlig brudd på UiAs rutiner knyttet til sikker lagring at personer på UiA uten tjenstlig behov har hatt tilgang til å finne disse, og vi beklager overfor de berørte, sier universitetsdirektør Seunn Smith-Tønnessen.

UiA skal varsle alle direkte berørte i åtte av avvikene, mens berørte i ett avvik får beskjed gjennom nettsiden. De har meldt inn avvikene til Datatilsynet. 

Ansatt oppdaget avvik

En ansatt fant først fire ulike avvik, der det største enkeltavviket rammer over 13.000 personer:

• Fødselsnummeret til rundt 10.000 eksterne (gjesteforelesere og lignende), 700 sensorer og 3000 ansatte var mulig å lese for alle ansatte ved UiA. I tillegg kunne man finne faktainformasjon om ansettelsesforholdet deres
• En liste med personalia på 568 studenter kunne leses av alle ansatte. Der sto det opplyst personalia inkludert fødselsnummer, informasjon om tilrettelegging av eksamen, samt opplysninger om studietilhørighet
• Personalia inkludert fødselsnummer på en liste fra 2015 med alle ansatte på biblioteket
• Fra 2022 ligger en liste knyttet til UiAs akademiske dugnad for flyktninger lå i en åpen kanal på Microsoft Teams. Denne listen inneholdt personalia for 64 flyktninger, som inkluderte kontaktinformasjon, utdanningsinformasjon og bosettingsstatus. Denne kunne leses av ansatte og studenter

Sykemeldt ansatt og eksamensforsøk

I tillegg ble fem nye avvik funnet etter oppfølging av de fire første. I disse avvikene er det mindre omfang og flere studenter enn ansatte som er rammet:

• Fra 2014 en liste som inneholdt informasjon om at en navngitt ansatt var sykmeldt. Alle ansatte kunne finne denne listen. 
• 177 studenter i en liste fra 2014 med personalia inkludert fødselsnummer og eksamensmelding for hver student kunne leses av alle ansatte
• En liste fra 2012 over 84 studenter med informasjon om navn, emne og type tilrettelagt eksamen var mulig å finne for alle ansatte
  
• En liste fra 2012 over 60 studenter med personalia inkludert fødselsnummer og antall eksamensforsøk, var mulig å finne for alle ansatte
• 13 studenter sine personalia inkludert fødselsnummer var mulig å finne for alle ansatte i en liste fra 2013.

Avvikene skal ha skjedd i forbindelse med at UiA byttet lagringsløsning til Microsoft Teams og Sharepoint. Dermed har sannsynligvis alle dokumentene vært tilgjengelig for ansatte uten tjenstlig behov siden 2018. 

Unntaket er listen som ble opprettet i 2022 og som var tilgjengelig i en åpen Teams-kanal.

Glad det ble oppdaget før KI

I forbindelse med at kunstig intelligens skal tas mer i bruk, er universitetet glad for at avvikene ble oppdaget nå.

— Selv om vi beklager at feilene har skjedd, er vi samtidig glade for at det ble oppdaget nå, før vi har KI-assistenter som indekserer og tilgjengeliggjør dokumenter og informasjon på en helt annen måte, sier direktør Seunn Smith-Tønnessen.

Endringslogg. Kl. 12:14 den 21.februar har ordet "sensitive" blitt fjernet foran "personopplysninger" i første setning, da det kun er et fåtall tilfeller der informasjonen som har vært tilgjengelig er sensitiv. 

Kl. 12:36 har det blitt lagt inn at UiA har meldt avvikene til Datatilsynet.