Spring til indhold
Forside

AAU anmelder brud på persondatasikkerheden

Nyhed

AAU anmelder brud på persondatasikkerheden

Lagt online: 07.07.2023

Aalborg Universitet har anmeldt et brud på persondatasikkerheden til Datatilsynet. Universitetet vurderer, at hændelsen indebærer en lav risiko for de berørte personer. Fejlen er rettet, og AAU skærper de interne procedurer på området.

Nyhed

AAU anmelder brud på persondatasikkerheden

Lagt online: 07.07.2023

Aalborg Universitet har anmeldt et brud på persondatasikkerheden til Datatilsynet. Universitetet vurderer, at hændelsen indebærer en lav risiko for de berørte personer. Fejlen er rettet, og AAU skærper de interne procedurer på området.

Af Lea Laursen Pasgaard, AAU Kommunikation

Aalborg Universitet (AAU) har den 23. juni anmeldt et brud på persondatasikkerheden til Datatilsynet. En søgning i AAU’s journalsystem har vist, at en fil med personnumre på godt 60.000 personer med tilknytning til universitetet ikke er blevet beskyttet med adgangsbegrænsning i to år.

Det betyder, at universitetets ansatte har haft mulighed for at tilgå filen med personnumre. Universitetet har undersøgt de logoplysninger, som gemmes om brug af journaliseringssystemet, og der er ikke fundet beviser for, at personnumrene er set af nogen ansatte, som ikke burde have adgang til dem.

- Vurderingen er, at hændelsen indebærer en lav risiko for de berørte personer. Personnumrene har ikke været offentlige eller på anden måde synlige eller tilgængelige for personer uden for universitetet, og alle ansatte på AAU har tavshedspligt i forhold til forvaltningslovens regler, forklarer universitetsdirektør Søren Lind Christiansen.

Den pågældende fil indeholdt en oversigt over titler på samtlige 254.000 sager, som lå i AAU’s journaliseringssystem i 2021. Langt de fleste titler på oversigten indeholdt ikke personoplysninger. Dog fremgik godt 60.000 personnumre af oversigten sammen med et stikord om sagens emne, fx ansættelse, eksamensbevis, SU, sygefravær, uansøgt afsked etc. Der har ikke været adgang til de sager, som oversigten henviser til. Men fordi personnumrene var synlige, tager universitetet sagen alvorligt.

En menneskelig fejl

I AAU’s retningslinjer står der, at sager med titler, der indeholder fortrolige oplysninger som fx personnumre, skal være beskyttet med adgangsbegrænsning. Sagerne må kun kunne ses og tilgås af ansatte, der har behov for at se sagerne som led i deres arbejde. At retningslinjerne ikke er fulgt, skyldes en menneskelig fejl.

Det er en utrolig ærgerlig og meget beklagelig fejl. Den blev naturligvis rettet, så snart den blev opdaget.

Universitetsdirektør Søren Lind Christiansen.

Universitetsdirektøren fortæller, at AAU vil gennemgå retningslinjerne for adgangsbegrænsning til journalsystemet for at eliminere risikoen for, at en lignende fejl kan ske igen. Mere konkret vil universitetet lave en opdateret monitorerings-funktion, så det bliver muligt at undersøge, om nogen har søgt oplysninger frem i systemet, som de ikke har haft et arbejdsmæssigt behov for at se. Samtidig vil universitetet systematisk følge op på, at retningslinjerne på området bliver fulgt.

De berørte personer er blevet orienteret om hændelsen via digital post. Flere har efterfølgende henvendt sig for at høre mere om sagen. Alle henvendelser vil blive besvaret, men der kan være en vis ventetid grundet sagens omfang.