Universitetsavisen
Nørregade 10
1165 København K
Tlf: 21 17 95 65 (man-fre kl. 9-15)
E-mail: uni-avis@adm.ku.dk
Københavns Universitet
Uafhængig af ledelsen
—
Uddannelse
Læk — Ved en fejl blev en række studerendes cpr-numre lagt ud på intranettet på Det Sundhedsvidenskabelige Fakultet, uden at de efterfølgende blev informeret. Nu får fakultetet kritik af Datatilsynet.
Det var en menneskelig fejl, der var skyld i, at der 9. januar i år blev lagt en holdliste over 277 studerende fra det Sundhedsvidenskabelige Fakultet og deres personnumre ud på universitetets intranet Absalon. Dokumentet blev lagt op af en studiesekretær klokken 8.36 og taget ned igen samme dag klokken 9.33, da fejlen blev opdaget.
Sekretæren var dog ikke opmærksom på, at der på intranettet automatisk gemmes en kopi af dokumenter, som lægges op, i en arkivmappe. Det opdagede en studerende 13. januar og kontaktede fakultetet, hvorefter dokumentet blev fjernet.
Fakultetets it-medarbejdere kontaktede ikke de berørte studerende, da de ikke vurderede, at hændelsen var alvorlig nok. Det skyldes dels, den korte periode, hvor cpr-numrene var tilgængelige og dels, at intranettet kræver login med password.
I en situation, hvor 277 studerendes person-numre har været tilgængelige for uvedkommende, er det Datatilsynets opfattelse, at SUND på Københavns Universitet burde have underrettet de berørte personer
Datatilsynets afgørelse
Men beslutningen om ikke at informere de studerende, der har fået offentliggjort deres personnumre, møder nu kritik i en afgørelse fra Datatilsynet. Cvr-numre kan f.eks. misbruges til identitetstyveri.
»I en situation som den foreliggende, hvor 277 studerendes personnumre har været tilgængelige for uvedkommende, er det Datatilsynets opfattelse, at Det Sundhedsvidenskabelige Fakultet på Københavns Universitet burde have underrettet de berørte personer«, skriver tilsynet i sin afgørelse.
Læs afgørelsen her.
Efter at have modtaget afgørelsen fra Datatilsynet vil fakultetet informere de 277 studerende. Allan Have Sørensen, der er it-chef på SUND, siger til DR, at det var en fejl ikke at informere dem.
»Vi skal have underrettet de personer. Det er en procedurefejl. Der sker menneskelige fejl. Nu er vi blevet gjort opmærksom på det, og så gør vi noget ved det,« siger han til DR Nyheder.
Allan Have Sørensen understreger samtidig, at universitetet har sat gang i tiltag, der skal forbedre datasikkerheden. Det sker blandt andet som forberedelse på, at en ny persondataforordning fra EU træder i kraft til næste år.
Internt på fakultetet har de ansatte fået indskærpet at være særlig opmærksom på holdlister med personnumre.