– Det er et alvorlig brudd på UiAs rutiner knyttet til sikker lagring at personer på UiA uten tjenstlig behov har hatt tilgang til å finne disse. Vi beklager overfor de berørte.
Det sier universitetsdirektør Seunn Smith-Tønnessen.
Universitetet i Agder (UiA) informerer i en pressemelding at det er avdekket flere tilfeller hvor dokumenter med personopplysninger av både studenter og ansatte ikke er godt nok beskyttet.
Ifølge UiA er det ikke funnet spor etter ureglementert tilgang, men det kan ikke utelukkes.
Datatilsynet er varslet
Avvikene ble oppdaget av en ansatt som søkte i åpne Teams-grupper tidligere denne måneden.
– Det største bruddet er en liste med navn på 10.000 eksterne forelesere, 700 sensorer og 3000 ansatte, sier Smith-Tønnessen.
Student ved UiA Anniken Brattberg Naper, synes saken er oppsiktsvekkende.
– Man forventer jo at de skal ha en bedre rutine for dette, slik at personlige opplysninger ikke skal komme ut, sier hun.
Medstudent Julia Oline Aspenes sier hun er litt overrasket.
– Man har jo ganske stor tillit til et universitet.
Datatilsynet varslet
Datatilsynet er varslet.
– Vi går nøye gjennom saken og ser nærmere på hva som har skjedd, hvorfor det skjedde og hvilke tiltak som settes inn.
Det sier kommunikasjonsdirektør og samfunnskontakt Janne Stang Dahl.
Datatilsynet vil også se nærmere på hvem og hvor mange som er rammet, og hva slags type personopplysninger det handler om.
– Når saken er behandlet ferdig, kan vi si mer om hvordan vi vurderer hendelsene og den samlede alvorlighetsgraden, sier Stang Dahl.
Fødselsnummer på avveier kan i verste fall utnyttes til svindel og forsøk på personforfalsking.
Tilgjengelig siden 2018
Dokumentene i alle avvikene har trolig vært tilgjengelig for alle ansatte siden 2018. Da byttet UiA lagringsløsning til Microsoft Teams og Sharepoint.
– Ansatte som ikke skulle ha tilgang har fått det, fordi informasjonen ble lagret på feil sted i det såkalte «delte dokumenter», sier Smith-Tønnessen.
Dette er mapper hver enhet har for å kunne dele ved samarbeid på tvers internt på UiA.
– Vi har gått gjennom disse dokumentene og varslet de nødvendige avvikene til Datatilsynet. Vi skal varsle hver enkelt som er utsatt. Resten blir offentlig varslet gjennom media, sier hun.
.