17. oktober ble det sendt en e-post fra Psykologisk institutt til et studentkull fra profesjonsstudiet i psykologi i forbindelse med intern klinisk praksis i 2017. Men Excel-dokumentet i e-posten inneholdt tre ark i stedet for ett.
– En veldig ekkel glipp
Opprinnelig skulle kun den delen av dokumentet som inneholder navn bli sendt ut til kullet. Men i tillegg ble det også sendt ut opplysninger om blant annet studentnummer, fødselsdato, om tre personer som hadde stryk i eksamen og at en student hadde merknad om etterslep i studiepoeng.
Marit Reitan, dekan på SVT-fakultetet ved NTNU.
Foto: Thor Nielsen / NTNU– Dette var en veldig ekkel glipp som skjedde fordi det var en e-post som ble benyttet i undervisningssammenheng. Men dette var i hovedsak ikke personsensitive opplysninger, sier Marit Reitan, dekan på SVT-fakultetet ved NTNU.
Men det var vel opplysninger der som ikke skulle ut?
– Ja. Det var en detalj i opplysningene som ble definert til å være personsensitiv informasjon, og vi beklager selvsagt på det sterkeste at den informasjonen gikk ut til flere studenter. Alle fikk en beklagelse etterpå.
Fikk bot på 75.000 kroner i sommer
Dette er andre gang i år at NTNU har vært i kontakt med Datatilsynet i forbindelse med mulig brudd på personopplysningsloven. Aftenposten skrev i juli at universitetet ble ilagt en bot på 75.000 kroner etter at en ansatt delte konfidensielle opplysninger.
Reitan sier at den siste hendelsen ikke har noe med saken fra i sommer å gjøre, og mener at NTNUs systemer har blitt godt utviklet etter at universitetet sist var i kontakt med Datatilsynet.
– NTNU har fulgt loven
Da NTNU ble ilagt boten i juli hadde ikke universitet meldt inn feilen til Datatilsynet slik de er forpliktet til. Tilsynet fikk kjennskap til den gjennom en klage. Denne gang har NTNU fulgt loven ved at de har sendt inn en avviksmelding, ifølge seniorrådgiver i Datatilsynet, Eirin Oda Lauvset.
Eirin Oda Lauvset, seniorrådgiver i Datatilsynet.
Foto: ÅSA MIKKELSEN / DATATILSYNETSaken skal nå behandles av tilsynet som anslår at det vil ta åtte til tolv uker. Først skal de vurdere om det faktisk er begått brudd på personopplysningsloven.
– Vi må se om de har gjort nok for å hindre at dette skjer igjen, eller fjernet årsaken til at dette skjedde. Vi kan gi pålegg om å endre rutiner eller vi kan gi et nytt gebyr hvis vilkårene for det er oppfylt, sier Lauvset.
Frykter ikke ny bot
Reitan forteller at hun ikke har hørt noe fra Datatilsynet etter at avviksmeldingen ble sendt.
– Jeg frykter ikke at NTNU får noen bot i forhold til dette. Denne saken ble rapportert inn til Datatilsynet slik sånne type avvik skal rapporteres inn. Så jeg føler meg trygg på at denne saken er avsluttet nå.
