Personvernet ved UiO slaktes

Dårlige rutiner, manglende internkontroll, uklare ansvarsforhold. Dette er Datatilsynets dom over omgangen med personopplysninger ved Universitetet i Oslo (UiO). Konklusjonen er at UiO gjør seg skyld i alvorlige brudd på personopplysningsloven. Lignende tilstander er også avdekket ved Universitetet i Tromsø og Høgskolen i Stavanger. Men UiO utmerker seg, ifølge Datatilsynet.

– Selv om UiO nå er enig i vår konklusjon, synes vi de har brukt svært lang tid på å skjønne at dette har vært et problem. Det er svært alvorlig at personvern er så lite i fokus ved en så stor institusjon, med så stor kompetanse på feltet, sier Gunnel Helmers i Datatilsynet.

Rapporten går på forskning, men de har også funnet at manglene i stor grad gjelder den administrative delen. UiO bruker Norsk samfunnsvitenskapelig datatjeneste som personvernombud for forskning, og har et eget personvernombud for det administrative. Datatilsynet mener ikke denne ordningen er tilfredsstillende gjennomført.

– Ansvarsfordelingen er uklar. Det er spørsmål om det interne personvernombudet har fått tildelt midler og myndighet til å løse oppgavene sine, og om Universitetet har trodd NSD hadde mer ansvar en det avtalen deres legger opp til, sier Helmers.

Vanskelig dialog

Universitetet innrømmer i hovedsak forholdene.

– Vi ser at rapporten har avdekket betydelige svakheter i våre interne rutiner, og erkjenner at vi har en jobb å gjøre. Men datatilsynets mangelfulle kjennskap til de behov man har i forskning har ført til en litt vanskelig dialog, sier rektor Arild Underdal.

Han avviser at UiO utmerker seg med å være lite opptatt av personvern.

– Det tror jeg bestemt ikke er riktig. Men vi er en stor og kompleks organisasjon, så de finner nok mer uklarhet og tvil om dette her.

Krever handling

Professor ved Avdeling for forvaltningsinformatikk Dag Wiese Schartum er ikke overrasket over Datatilsynets kritikk. Sammen med professor Jon Bing tok han tidligere i år opp flere overtramp av personopplysningsloven i bruken av Classfronter og

Studentweb.

– Vi kunne ikke sitte å se på klare ulovligheter, og tok opp noen graverende eksempler. Det er ikke tvil om at overtrampene i bruken av Studentweb og Classfronter kunne vært unngått hvis Universitetet hadde hatt på plass rutinene, ansvarsfordelingen og internkontrollen de nå får kritikk for å mangle. Det ble lovet bot og bedring, men det ser ikke ut til å ha skjedd så mye.

Schartum mener Universitetet har mye å vinne på en opprydning.

– Å skaffe seg oversikt over hva det er vi har av opplysninger om studenter og ansatte er gull verdt i for eksempel arbeid med reformer og omstilling av universitetets virksomhet.

Han etterlyser nå at Datatilsynets rapporten blir offentliggjort gjennom personvernombudets hjemmesider.

I en annen rapport fra Datatilsynet påpekes det at ansvarsproblemer særlig rammer studentprosjekter.

– Det er helt klart at bedre rutiner for behandling av personopplysninger hadde kunne spart meg for mye, sier sosiologistudent Elisabeth Holmberg (26).

I sitt mastergradsarbeid intervjuer hun ungdommer under myndighetsalderen, og hun opplevde å få motstridende informasjon om hva hun måtte melde fra om til personvernombudet.

– Opplysningen om at prosjektet kunne være meldepliktig kom lenge etter jeg hadde begynt på oppgaven, og jeg måtte forskyve arbeidet ettersom det tok tid å ordne med konsesjon.

Hun forteller at det er flere som har hatt problemer med dette, og at det nå ser ut som instituttet gjør noe med rutinene.

– I verste fall kan du oppleve at forskningsresultatene ikke kan publiseres, og det ønsker jo ingen.

Instituttleder ved Sosiologi Geir Høgset innrømmer at dette har vært et problem.

– Ved kvalitative intervju har det nok blitt syndet noe med meldeplikten og informasjon rundt dette. Vi har nå innskjerpet dette, sier Høgset.