RISIKOFYLT: Personopplysninger er ikke i de tryggeste hender i UiOs databaser.

– Datatilsynet må gripe inn

En ny personnummerlekkasje fører til skuldertrekk fra universitetet. Nå krever Studentparlamentet at Datatilsynet må ty til sanksjoner i stedet for kun å kritisere.

Emil Flatø
Torbjørn Sundal Holen (foto)
Publisert Sist oppdatert
RISIKOFYLT: Personopplysninger er ikke i de tryggeste hender i UiOs databaser.

- Datatilsynet er medvirkende til at ingenting skjer når de fortsetter å varsle sanksjoner de aldri gjennomfører. Mari Helén Varøy, leder i Studentparlamentet

Hovedovertredelser

  • 2006: Personnumrene til 5300 vitenskapelig ansatte ble lagt ut på nett 18. mai 2005. I mars 2006 ble disse kodet om så de var lett tilgjengelige på Google i flere dager.
  • 2007: 3400 personnummer til medisinstudenter lå tilgjengelig på nettet i to måneder, og USIT lovet at saken var løst før det faktisk var tilfellet.
  • 2009: En glipp ved TF førte til at 207 studenter fikk personnumrene sine publisert på web. En server i Asia lastet ned opplysningene. Det er første gang det er registrert at lekkasjen er forsøkt misbrukt.

I forbindelse med et seminar i Sørmarka sendte Institutt for soiologi og samfunnsgeografi i forrige uke en e-post med studenters personnumre til uvedkommende. De 31 berørte fikk dagen etter en oppfordring til å sperre for kredittsjekk.

– Dette er tredje gang på litt over et år at noe lignende skjer. Det er minst to ganger for mye, sier Mari Helén Varøy, leder i Studentparlamentet.

– Nok er nok

Datatilsynet har til tider tatt sterke ord i bruk i sin kritikk av personvernkulturen ved UiO. Den verste overtredelsen så langt skjedde i 2006, da det viste seg at flere tusen personnummer ble liggende tilgjengelig på nett i nesten et år. Nå synes Varøy at nok er nok.

– Universitetet kan ikke fortsette å komme unna med unnskyldninger når retningslinjene åpenbart ikke dekker alle ledd i systemet. USIT (Universitetets IT-avdeling, red.anm.) burde reagere sterkere, og hvis ikke det gjøres, er det på tide at Datatilsynet foretar seg noe, sier Varøy.

– Tilsynet er mye ute og kritiserer, men de er også medvirkende til at ingenting skjer når de fortsetter å varsle sanksjoner de aldri gjennomfører, legger Varøy til.

Passivt datatilsyn

– Grunnen til at vi har holdt oss til sterke ord hittil er at anmeldelse var det eneste sanksjonsmidlet vi hadde til rådighet inntil mars i år. Det hadde blitt litt i overkant, sier informasjonsdirektør i Datatilsynet Ove Skåra.

Han mener at om saken fra 2006 hadde inntruffet i dag, er det fullt mulig at de ville bøtelagt universitetet. På tross av dette valgte Datatilsynet å henlegge saken der 207 studenter fra Det teologiske fakultet i mars fikk sine personnumre lastet ned til en server i Asia etter en UiO-glipp. Konsekvensen for dem er fare for identitetstyveri resten av livet.

UiO vil ikke beklage

– UiO er på størrelse med Kristiansand by. Å forhindre at småsaker forekommer er tilnærmet umulig, sier direktør for informasjonssystemer Arne Laukholm. Han vil ikke innrømme at kontrollrutinene er mangelfulle.

– I den grad overtramp skjer, skyldes det at informasjonen vår ikke har nådd frem til alle ansatte som har tilgang på personnummer. Det er ikke rutinene i seg selv det er noe galt med, sier han.

På forespørsel om han vil beklage på vegne av ledelsen til de studentene som nå må sperre for kredittsjekk, svarer han kontant nei.

– E-posten nådde innboksen til et fåtall mennesker som kjenner hverandre og sannsynligvis ikke vil misbruke opplysningene.

Skåra i Datatilsynet mener like fullt det ikke er riktig å bagatellisere at sånne ting skjer en gang i blant, særlig med tanke på universitetets historie på feltet.

– En unnskyldning hadde vært på sin plass, sier Skåra.

Det synes Mari Helen Varøy også.

– Når universitetet påfører studenter ekstraarbeid trass i at de har lovet gang på gang at dette ikke skal gjenta seg, høres det rart ut for meg at ledelsen ikke vil beklage.

personvern nyhet
Powered by Labrador CMS