SKEPTISK: Leif T Aanesen hos Datatilsynet er svært skeptisk til bruken av personnummer i rundt 13, 5 av dataregistrene til Universitetet i Oslo.

– Reell fare for misbruk

Pålegg fra Datatilsynet til tross: Universitetet i Oslo har ingen planer om å slutte å bruke personnummer som registreringsform ved universitetet.

Thea Nathalie Finstad
Brian Olguin (foto)
Publisert Sist oppdatert
Universitas 18. april 2007
Universitas 30. mai 2007

Dette er saken:

  • I april ble det oppdaget at 3400 navn og personnumre til studenter og ansatte ved Det medisinske fakultet hadde ligget ute på Internett i over to måneder.
  • Grunnen til at de hadde havnet på nett var en glipp, informasjonen hadde blitt glemt slettet da den skulle flyttes fra en server til en annen.
  • Informasjonen ble umiddelbart fjernet, og Datatilsynet utførte tilsyn ved UiO.
  • UiO ble pålagt å begrense bruken av fødselsnummer i databasene, fordi dette lett kan misbrukes.
  • Fortsatt er det en utstrakt bruk av personnummer i datasystemet til UiO, noe Datatilsynet anser som uforsvarlig.
  • Ved universitetene i Trondheim og Bergen brukes også personnummer som hovedidentifikasjon

– Vi mener det er en unødig bruk av personnummer ved Universitetet i Oslo, sier Leif T. Aanensen, avdelingsdirektør i Datatilsynet.

I dag bruker Universitetet i Oslo (UiO) personnumre som registreringsform i en rekke av sine dataregistre. Nå har Datatilsynet pålagt UiO å finne alternative registreringsformer. Dette skjer etter at Universitas i april avslørte at over tre tusen personnumre, navn og e-postadresser til studenter og ansatte ved Det medisinske fakultet ved UiO hadde ligget ute på nettet i over to måneder. Søkemotoren Google hadde da snappet opp personnumrene fra en mellomserver som ble tatt i bruk da det skulle utveksles informasjon mellom to servere.

Som en følge av overtrampet av personopplysningsloven, har nå Datatilsynet kommet med en utredning hvor et av kravene er at praksis i forhold til bruk av personnummer endres.

– Fødselsnummer brukes i hele 30-35 systemer inne i databaser ved UiO, blant annet i bibliotekets søketjeneste Bibsys. Hvorfor i all verden gjør de det? De har lånenummer på studentene, er ikke det tilstrekkelig?, spør Aanensen, som mener det finnes bedre alternativer.

– De kan jo rett og slett bruke student- eller ansattnummer, som alle ved UiO innehar, eller så kan de opprette et slags unikt nummer innenfor UiO-systemet, foreslår han.

– Ressurskrevende

GODT NOK: Dirketør for informasjonssystemene ved UiO Arne Laukholm mener UiO har fjernet personnumre der det lar seg gjøre.

Arne Laukholm, direktør for informasjonssystemene ved UiO, mener det ikke er så enkelt.

– Problemet er at vi må ha en unik indikator som gjør at vi identifiserer personer på tvers av institusjoner. Vi har to hovedsystemer; et for studenter og et for ansatte, men vi har også en ganske stor gruppe som er både studenter og ansatte – studenter som jobber deltid, eller ansatte som samtidig studerer deltid, sier han.

Laukholm peker på at endringer i datasystemet vil være svært ressurskrevende, og at det derfor ikke vil være mulig å innføre et system basert på bare student- og ansattnummer.

– Dette ville kreve en omfattende redesign av systemet slik strukturen er nå. Hvis vi hadde tilstrekkelig med midler å sette inn, ville det vært mulig. Men UiO bruker allerede mye ressurser på sine informasjonssystemer. Betydelige endringer i lønns- og personalsystemet er derfor både økonomisk og personressursmessig vanskelig å få til, sier han.

– Hvordan kan UiO være sikre på at glippen fra i vår ikke vil gjenta seg?

– Det finnes innenfor it ikke en hundre prosents forsikring for noe som helst, men vi kan minske sannsynligheten for at det skjer, og UiO har nå fjernet personnumre der de mener det lar seg gjøre, sier Laukholm.

Rektor Geir Ellingsrud vil ikke uttale seg om saken i særlig grad, men bekrefter at universitetet ikke kan bevilge mer penger til bedring av sikkerheten.

– Vi er i en dialog med Datatilsynet, men når det gjelder ressurser er vi en relativt vanskelig budsjettsituasjon akkurat nå, sier han.

– Alvorlige konsekvenser

Aanensen i Datatilsynet mener at bruk av personnumre i databaser, som ved UiO, fører til en reell fare for misbruk. Han forteller at tilgang til personnumre er en grunndatabase for kriminelle.

– Får vedkommende tak i ytterligere informasjon, kan dette kobles sammen med personnummeret, noe som kan få alvorlige konsekvenser, sier han.

Det er ikke bare direkte økonomisk kriminalitet, som tømming av bankkonto og liknende som kan bli resultatet om feil person får tak i personnummeret ditt eller andre opplysninger om deg.

– Det er bare fantasien som setter grenser for hvordan denne type opplysninger kan misbrukes. Økonomisk vinning er bare ett motiv, slik informasjon om andre kan også brukes til å plage eller true folk, sier Aanensen

Økende problem

I følge Aanensen var det 750 000 registrerte identitetstyverier i USA i 2001. I 2006 var tallet ti millioner.

– Det er en skremmende økning på fem år, sier han.

Politiinspektør ved datakrimavdelingen i Kripos, Berit Ørset Solstad, forteller at det ikke foreligger tilsvarende tall for Norge.

– Det finnes ikke en egen kode som plukker ut id-tyverier, det kan innebære mange former for kriminalitet, men generelt sett har vi sett flere tilfeller av omfattende id-tyveri det siste halvåret, sier hun.

Også Solstad mener god sikkerhet rundt personnumre er nødvendig.

– Slik informasjonen kan gi kriminelle tilgang til annen informasjon, som de kan bruke til kriminell aktivitet.

personvern nyhet
Powered by Labrador CMS