Fem tidligere ansatte havde utilsigtet adgang til studerendes studieoplysninger
Fem tidligere studievejledere på Natural Sciences og Technical Sciences har haft utilsigtet adgang til 13.000 studerendes oplysninger i et system til studiekontrakter. Nat-Tech Uddannelse opdagede selv databruddet og har indberettet det til Datatilsynet som et brud på persondatasikkerheden.
13.000 nuværende og tidligere studerendes studieoplysninger på fakulteterne Natural Sciences og Technical Sciences har i op til fem år været tilgængelige for fem studievejledere, som var stoppet i jobbet.
Det oplyser Hanne Vester Rasmussen, der er viceadministrationschef på Administrationscenter Nat-Tech. Det er underafdelingen Nat-Tech Uddannelse, som har ansvaret for systemet Kontraktgeneratoren, hvor oplysningerne ligger.
De fem studievejledere er stoppet på afdelingen inden for de seneste 1-5 år, og det er altså i denne periode, at de hver især efterfølgende alligevel har haft adgang til systemet. Nogle af dem arbejder stadig på AU.
I Kontraktgeneratoren ligger der oplysninger om de studerendes studieprogrammer, specialekontrakter, titler på eksamensopgaver, og så er der også et valgfrit tekstfelt, som den studerende kan skrive i. Der er ikke personlige data som CPR eller helbredsoplysninger, medmindre de studerende har skrevet det i et fritekstfelt, oplyser Hanne Vester Rasmussen.
En tidligere medarbejder opdagede selv databristen 9. oktober og kontaktede Nat-Tech for at gøre opmærksom på det.
”Han fortæller, at han stadig kan tilgå systemet, selv om hans ansættelse er ophørt. Derefter slukker studieadministrationen systemet og lukker for adgangen til det for vedkommende og går i gang med at undersøge, om andre har haft adgang. Der spotter de så yderligere fire,” siger Hanne Vester Rasmussen.
Har indberettet sagen til Datatilsynet
Medarbejdernes adgang til systemet skal manuelt fjernes, når de stopper, men det er glippet i disse fem tilfælde.
”Processen er, at der skal sendes en mail til systemejeren om lukning af en specifik medarbejder, og det gør man, når vedkommende er stoppet eller skal stoppe. Og der kan der ske fejl. Det kan være en forglemmelse eller fejltastning enten hos en personaleleder eller hos systemejeren. Det kan vi ikke identificere,” siger Hanne Vester Rasmussen og konstaterer:
”Det er ærgerligt, og det er træls. Vi ser selvfølgelig på det med alvor, for det skal ikke kunne ske, og det arbejder vi på at rette op,” siger viceadministrationschefen.
Nat-Tech har ikke fantasi til at forestille sig, hvordan oplysningerne skulle kunne misbruges, fortæller Hanne Vester Rasmussen. Men databruddet er blevet indberettet til Datatilsynet som et brud på persondatasikkerheden. De 13.000 studerende er ikke blevet kontaktet individuelt om databruddet, men Nat-Tech har udsendt en nyhed om det på sin studieportal. De studerende er velkomne til at henvende sig til Nat-Tech Uddannelse, hvis de har spørgsmål.
Ingen har utilsigtet været inde i systemet inden for de seneste 30 dage, viser loggen, men det er umuligt at sige, om en af de fem tidligere medarbejdere uretmæssigt kan have været inde i systemet inden for de seneste 1-5 år, fortæller Hanne Vester Rasmussen.
Træls fejl, men stolt af håndtering
Nat-Tech var allerede inden databruddet blev kendt i gang med løbende at gennemgå alle sine systemer, forklarer Hanne Vester Rasmussen.
”Det her var et system, vi ikke var nået til. Vi har selvfølgelig sikkerhedskontroller i vores systemer, men her kan vi i hvert fald se, at der er noget, vi kan gøre bedre,” siger hun.
Hanne Vester Rasmussen hæfter sig ved, at de relevante medarbejdere i Nat-Tech Uddannelse reagerede med det samme, da de blev kontaktet om databruddet, og siden løste problemet.
”Jeg har stor ros til medarbejderne, som har håndteret det her databrud. Jeg vil rigtig gerne fremme, at vi ikke putter med vores fejl, men lærer af dem. Det er jeg utroligt stolt af, midt i at det er træls for os,” siger administrationschefen.