Over 14 000 person­opplysninger var tilgjengelige på Teams – advokat reagerer

– Det kan godt tenkes at de litt eldre dataene kanskje skulle ha vært slettet for lenge siden, sier Vebjørn Søndersrud.

Advokaten som har spesialisert seg på personvern og informasjonssikkerhet, mener det er skjerpende at mange av personopplysningene er gamle.

Denne uken informerte Universitet i Agder (UIA) om at personopplysninger om studenter, forelesere og ansatte hadde ligget åpent tilgjengelig for ansatte og studenter i tjenesten Microsoft Teams.

UiA har selv rapportert funnene sine inn til Datatilsynet.

– Jeg tror at dette fort vil ende med at de får et overtredelsesgebyr, altså en bot for brudd på GDPR-regelverket, sier Søndersrud.

Han presiserer at han uttaler seg på grunnlag av det som har kommet frem i NRKs tidligere artikkel.

Mange berørte

Trolig er det over 14.000 personopplysninger som har vært åpent tilgjengelig på Teams.

– Universitetet er alltid opptatt av å prøve og ivareta sikkerheten på best mulig måte, og personvern er noe av de viktigste oppgavene vi har, sier Tord Tjeldnes som er IT-direktør ved Universitetet i Agder.

Universitetsdirektøren Seunn Smith-Tønnessen har tidligere sagt til NRK at det var et alvorlig brudd på UiAs rutiner.

I 2018 gikk UiA over til dagens lagringsløsning med Microsoft-programmene Teams og Sharepoint.

Det er ni dokumenter som skal ha vært lagret med feil gradering.

– Vi vet at disse dokumentene i utgangspunktet ikke lå lagret så åpent, sier hun.

Det eldste dokumentet er 15 år gammelt, mens det nyeste er fra 2022.

– Da har nok disse dokumentene som er blitt flyttet, fått en åpnere gradering i lagringen, sier universitetsdirektøren.

Universitet sjekker rutinene

Etter at feilen ble oppdaget i forrige uke har UiA valgt å være så åpne som mulig. Flere universiteter bekrefter til NRK at de har hatt dialog med UiA den siste tiden.

Universitetet i Stavanger uttaler til NRK at de vil vurdere å innføre enkelte tekniske endringer etter det som har kommet frem hos UiA.

– Vi vil også foreta jevnlige søk for å finne og sikre eventuell informasjon som ikke er tilstrekkelig beskyttet.

Det sier IT-direktør Sjur M. Bjerke ved Universitet i Stavanger, som ser at det blir enda viktigere i fremtiden.

– Vi ser en økende bruk av kunstig intelligens og dermed kan uvedkommende enklere og raskere finne frem til personopplysninger og annen informasjon som ikke er godt nok sikret, sier han.

På NTNU så har de jobbet mye med for å sikre data ved lagring av data de siste årene.

– For tre år siden innførte vi de tiltakene som jeg ser at UiA nå har satt i verk, blant annet å rydde opp i grupper med åpen tilgang, sier Bjørn Haugstad, direktør for organisasjon og infrastruktur ved NTNU.

Både Universitetet i Oslo og Bergen, samt NTNU mener de har systemer hvor samme feil ikke ville ha skjedd.

Velger å være åpne

I januar offentliggjorde Riksrevisjonen en rapport der de konkluderte med at høyere utdanningssektor ikke har ivaretatt sikkerheten på en god nok måte.

De hadde jobbet med ti institusjoner og foreslo en rekke tiltak som UiA har fulgt.

– Dette er en naturlig følge av det som har skjedd der. Samtidig så er det viktig å tenke på at andre skal lære, så vi prøver å være så åpne og ærlige som mulig, med alt det som foregår, sier Tjeldnes ved UiA.

IT-direktøren er for tiden leder for et IT-nettverk for 21 institusjoner i høyere utdanning. Der har han delt informasjon om hvilke funn de har gjort.

– Da har jeg fått litt spørsmål om hvilke tiltak vi har gjort, hvordan vi går fram og hva har vært konsekvensene, sier Tjeldnes.

Må passe på

Etter at UiA oppdaget hendelsen har de varslet datatilsynet. Teams er et verktøy som er mye brukt av mange aktører.

Kommunikasjonsdirektøren i Datatilsynet, Janne Stang Dahl sier til NRK det er for tidlig å si noe om dette kan ha skjedd flere steder.

– Dette er nok en påminnelse om hvor viktig det er å gjøre grundig vurderinger før man tar i bruk slike store verktøy som så mange deltar i, sier Stang Dahl.