Flere tusen personopplysninger på avveie:

Det skriver UiA på egne hjemmesider onsdag morgen.

– Det er et alvorlig brudd på UiAs rutiner knyttet til sikker lagring at personer på UiA uten tjenstlig behov har hatt tilgang til å finne disse, og vi beklager overfor de berørte, sier universitetsdirektør Seunn Smith-Tønnessen i pressemeldingen.

Avvikene dreier seg om at dokumenter med ulike grader av sensitive personopplysninger var lagret i åpne Teams-mapper, hvor ansatte og studenter uten behov for tilgang og studenter kunne finne dem.

Fødselsnummer og informasjon om eksamen

Personopplysningene som er på avveie er blant annet fødselsnummer, informasjon om tilrettelegging av eksamen, samt opplysninger om studietilhørighet og informasjon om navngitt ansatt som var sykemeldt.

Det var en ansatt som 13. februar oppdaget fire avvik etter å ha søkt i åpne Teams-grupper. Senere har det blitt oppdaget ytterligere fem avvik om personopplysninger på avveie.

(Se avvikene i egen faktaboks)

Dette er avvikene

1 – En liste fra 2014 med rundt 10.000 eksterne (gjesteforelesere og lignende), 700 sensorer og 3.000 ansatte var mulig å finne for alle ansatte. Lista inneholdt fødselsnummer (elleve siffer), samt faktainformasjon om ansettelsesforholdet ved UiA
2 – En liste fra 2014 med 568 studenter var mulig å finne for alle ansatte. Lista inneholdt personalia inkludert fødselsnummer, informasjon om tilrettelegging av eksamen, samt opplysninger om studietilhørighet
3 – En liste fra 2015 over ansatte på biblioteket var mulig å finne for alle ansatte. Lista stammet fra et prosjekt, og inneholdt personalia inkludert fødselsnummer
4 – En liste fra 2022 knyttet til UiAs akademiske dugnad for flyktninger fra Ukraina lå i et åpent team i Microsoft Teams. En liste over 64 flyktninger inneholdt personalia, kontaktinformasjon, utdanningsinformasjon og bosettingsstatus. Teamet var mulig å melde seg inn i for ansatte og studenter.

I oppfølgningen av de fire avvikene, er det funnet ytterligere fem avvik.

5 – En liste fra 2014 inneholdt informasjon om at en navngitt ansatt var sykmeldt. Lista var mulig å finne for alle ansatte.
6 – En liste fra 2014 over 177 studenter med personalia inkludert fødselsnummer og eksamensmelding for hver student var mulig å finne for alle ansatte
7 – En liste fra 2012 over 60 studenter med personalia inkludert fødselsnummer og antall eksamensforsøk, var mulig å finne for alle ansatte
8 – En liste fra 2009 over 13 studenter med personalia inkludert fødselsnummer var mulig å finne for alle ansatte
9 – En liste fra 2012 over 84 studenter med informasjon om navn, emne og type tilrettelagt eksamen var mulig å finne for alle ansatte

Vært tilgjengelig siden 2018

Universitetet skriver videre at de har gått gjennom logger, og følger opp nedlastingene av dokumentene med sensitiv personinformasjon.

Det er ikke funnet spor etter ureglementert tilgang, men det kan ikke utelukkes, opplyser de.

Dokumentene i alle avvikene har sannsynligvis vært tilgjengelig for ansatte uten tjenstlig behov siden 2018, da UiA byttet lagringsløsning til Microsoft Teams og Sharepoint, heter det videre på UiAs hjemmeside.

Universitetet opplyser at de har informasjon om sikker lagring på sitt intranett. Det har til tider vært hengt opp plakater rundt om i ansattområder, og med jevne mellomrom gjort ulike kampanjer og opplæring.

– Likevel ser vi at vi har en jobb å gjøre når det gjelder etterlevelse av de rutinene som skal sikre våre studenters og ansattes personvern. Det vil vi jobbe med i tida framover, sier Smith-Tønnessen.

Datatilsynet er varslet.

Oppdateres.