Universitetsavisen
Nørregade 10
1165 København K
Tlf: 21 17 95 65 (man-fre kl. 9-15)
E-mail: uni-avis@adm.ku.dk
—
Arbejdsmiljø
Datasikkerhed — KU's it-chef forklarer, at aldrende systemer er årsag til fejlen, hvor udvalgte medarbejdere gennem en længere årrække uretmæssigt har haft adgang til personfølsomme oplysninger fra 310.000 studerende og ansatte.
En alvorlig fejl har betydet, at personfølsomme oplysninger fra 310.000 studerende og ansatte på Københavns Universitet i strid med reglerne har ligget tilgængeligt for en gruppe medarbejdere i en længere årrække.
De personfølsomme oplysninger dækker blandt andet over CPR-numre og private adresser.
Selvfølgelig skal det her ikke ske
Karen Bjernemose Rahbek, vicedirektør og it-ansvarlig på KU
Det var en af universitetets egne ansatte, der opdagede fejlen, som nu er meldt til Datatilsynet.
LÆS OGSÅ: KU erkender it-brøler: Ansatte har haft adgang til 310.000 personers følsomme oplysninger
Uniavisen har talt med KU’s vicedirektør Karen Bjernemose Rahbek, som har ansvaret for universitets it-afdeling, for at blive klogere på den alvorlige datafejl.
Hvordan kan sådan en fejl ske?
»Vi har mange forskellige it-systemer, og der er tale om nogle af vores ret aldrende systemer, som er kodet for rigtig mange år siden. Det betyder, at her er der altså et system, der lægger en fil ned på et drev, som selvfølgelig har skullet være mere afgrænset. Og det er desværre sådan, at det er kodet for så længe siden, så det har vi ikke haft kendskab til, at det har været kodet på den måde,« siger Karen Bjernemose Rahbek.
Men uanset om det er aldrende systemer, er det vel ikke godt nok, at der kan ske sådanne fejl?
»Nej, vi tager det netop også rigtig alvorligt, og selvfølgelig skal det her ikke ske. Nu har vi opdaget denne fejl og har på den baggrund haft lejlighed til at lave en større afgrænsning.«
Hvad mener du, når du siger ‘en større afgrænsning’?
»Der er tale om et netværksdrev, som for mange personer på KU har haft mulighed for at få adgang til. Efter vi nu har opdaget fejlen, er det kun få udvalgte personer, som nu har mulighed for at få adgang,« siger Karen Bjernemose Rahbek.
Det er ikke alle KU’s ansatte, som har haft adgang til personoplysningerne. Alle medarbejdere, som uretmæssigt har haft adgang til personoplysningerne, er ifølge Karen Bjernemose Rahbek ansat i it-afdelingen – men det burde være en mindre del af KU-IT, som skulle have adgang til oplysningerne, end tilfældet har været.
Muligheden for, at nogle medarbejdere har kunnet tilgå de her oplysninger, har været til stede i en længere årrække. Har I været for blinde for muligheden for fejl?
Det er noget, vi arbejder videre med i en lang årrække frem
Karen Bjernemose Rahbek, vicedirektør og it-ansvarlig på KU
»Vi har rigtig mange it-systemer og en meget stor installation, og vi er jo ikke den eneste organisation, der har oplevet sådan noget her. Det er simpelthen et spørgsmål om, at når man har så meget it, så når man ikke det hele igennem. Det er ikke muligt at sidde og holde øje med det hele, hele tiden. Nu har vi fået øjnene op for noget, og det betyder selvfølgelig også, at vi kan lave en indsats for at kigge på den her problematik andre steder i vores it-systemer,« siger Karen Bjernemose Rahbek.
I har oplyst, at der ikke er fundet tegn på, at personoplysninger er blevet misbrugt. Er det en garanti, eller hvordan skal det forstås?
»I sådan nogle sager her, skal man være forsigtig med at give garantier, så det gør vi ikke. Når vi skriver det på den måde, er det fordi, at vi ikke har konstateret, at der skulle være sket misbrug. Og vi vurderer, at sandsynligheden for, at der skulle være sket misbrug, er meget lav.«
Hvordan undgår man, at sådan en fejl her ikke sker igen?
»Vi har sat nogle analyser i gang og har blandt andet sat nogle værktøjer op, som skal scanne for sådanne fejl. Indtil videre ser det godt ud, men det er selvfølgelig et arbejde, som vi skal gøre færdigt. Og det er noget, vi arbejder videre med i en lang årrække frem,« siger Karen Bjernemose Rahbek.