Universitetsavisen
Nørregade 10
1165 København K
Tlf: 21 17 95 65 (man-fre kl. 9-15)
E-mail: uni-avis@adm.ku.dk
—
Arbejdsmiljø
Datasikkerhed — Vicedirektør beklager fejlen og lover øget kontrol med adgangsbegrænsninger.
Et halvt år efter en omfattende sag om uautoriseret adgang til personfølsomme oplysninger er Københavns Universitet igen ramt af en sikkerhedsbrist. En ny fejl har midlertidigt gjort det muligt for ansatte, der arbejder i universitetets journalsystem at tilgå dokumenter, som indeholder oplysninger om blandt andet CPR-numre, helbredsoplysninger, partshøringer og eksamensbeviser.
Uniavisen har talt med vicedirektør og leder af afdelingen Fælles HR på KU, Thomas Molin, som har ansvaret for den nye sikkerhedsbrist. Han kalder fejlen for »virkelig beklagelig«.
»Vi tager det meget alvorligt. Derfor er det her også en anledning til at få kigget vores procedurer og systemer igennem,« siger han.
Man kan jo altid gøre mere, og man kan altid kontrollere mere. Det vil vi også skrue op for nu i lyset af det her
Thomas Molin, vicedirektør på KU og leder af afdelingen Fælles HR
Ifølge vicedirektøren opstod fejlen under den lovpligtige aflevering af journaliserede dokumenter til Rigsarkivet. En teknisk fejl fjernede adgangsbegrænsningen på nogle dokumenter, hvilket gjorde dem tilgængelige for flere KU-ansatte end planlagt.
Det førte til en undersøgelse, som viste, at flere dokumenter ikke havde den korrekte adgangsbegrænsning, hvilket gjorde det muligt for ansatte, som arbejder i journalsystemet, at se dem.
Fejlen er efterfølgende blevet indberettet til Datatilsynet.
Thomas Molin understreger, at de ansatte, der uretmæssigt har haft adgang til de personfølsomme oplysninger, er underlagt tavshedspligt med strafansvar. Universitetet har ikke fundet tegn på, at oplysningerne er blevet tilgået eller misbrugt.
Ifølge Thomas Molin er der tale om en gruppe på omkring 2.500 ansatte, som har haft adgang til de personfølsomme oplysninger.
»Fejlen her skyldes, at ansatte ikke har fået sat de korrekte adgangsbegrænsninger på dokumenter,« siger Thomas Molin.
Det er jo fortsat dig og din afdeling, der har det overordnede ansvar for det her. Burde I løbende have haft mere kontrol med, at ansatte på KU gjorde tingene korrekt?
»Vi har ansvar for, at der er en journalplan og en vejledning i, hvordan man skal bruge de her systemer korrekt. Det er der styr på. Men man kan jo altid gøre mere, og man kan altid kontrollere mere. Det vil vi også skrue op for nu i lyset af det her,« siger Thomas Molin.
Ifølge vicedirektøren er det ikke muligt at kontrollere samtlige ansatte og på den måde sikre sig, at dokumenter journaliseres korrekt. Fremover vil man foretage en teknisk kontrol af dokumenter for bestemte søgeord, som umiddelbart skal have en adgangsbegrænsning.
»Det kunne for eksempel være et ord som ’lægeerklæring’. Hvis det fremgår i et dokument, må man formode, at det er et dokument, som ikke skal være tilgængeligt for alle,« siger Thomas Molin.
Sagen trækker tråde til en lignende hændelse tidligere i år, hvor en gruppe ansatte i årevis havde uretmæssig adgang til personoplysninger om mere end 300.000 personer tilknyttet universitetet. Dengang omfattede de berørte oplysninger blandt andet CPR-numre, private adresser og lønrelaterede data.
It-chefen på KU, Karen Bjernemose Rahbek, beklagede dengang over for Uniavisen og forsikrede samtidig om, at der blev igangsat et arbejde for at undgå lignende fejl.
LÆS OGSÅ: It-chef skyder skylden for data-brøler på »aldrende it-systemer«
Indimellem sker der ting, der ikke burde ske
Thomas Molin, vicedirektør på KU og leder af afdelingen Fælles HR
Thomas Molin, hvordan kan det her ske igen blot seks måneder efter?
»Det var et helt andet teknisk problem, fordi det handlede om et drev, som man troede var afgrænset til en bestemt gruppe mennesker, og det var det så ikke. Det her er lidt noget andet, men konsekvensen er selvfølgelig den samme, nemlig at der er nogle mennesker, der har haft adgang til dokumenter, de ikke skulle have,« siger han.
Hvad siger det om datasikkerheden på KU, at der sker de her to sammenlignelige fejl inden for seks måneder?
»Jeg tror, det siger det samme som i de fleste andre organisationer, at indimellem sker der ting, der ikke burde ske, og så lærer vi af det og bliver bedre og kommer videre. Det er det, vi skal have ud af den her hændelse, men lige nu er der ikke andet at gøre end at beklage og tage det alvorligt,« siger Thomas Molin og tilføjer:
»Det skal jo ikke finde sted, men man må også bare sige, at KU er en meget, meget stor organisation med rigtig, rigtig mange it-systemer, og derfor er det en kæmpe opgave løbende at forbedre den tekniske sikkerhed og holde styr på, at brugerne anvender systemerne rigtigt af hensyn til vores datasikkerhed.«
Københavns Universitetet vil ifølge Thomas Molin nu arbejde intensivt på at forhindre lignende fejl i fremtiden. Tiltagene inkluderer blandt andet en intern oplysningskampagne om korrekt brug af journalsystemet.
»Vi skal øge vores awareness omkring det og blive bedre til at kommunikere ud, at man skal være opmærksom på at få gjort de her ting korrekt. Vi vil også se på, om vi kan sætte nogle tydelige ikoner ind i systemet, så hvis man gemmer uden en begrænsning, vil der komme et ikon op, som spørger, om man nu også er helt sikker på det,« siger Thomas Molin.
Ifølge vicedirektøren er datasikkerhed et område, som i fremtiden kun vil blive vigtigere i takt med, at it-systemer vil fylde mere og mere.
»Derfor er det også vigtigt, at dem, der bruger systemet er tilstrækkeligt klædt på til at arbejde korrekt i systemet,« siger vicedirektøren.