NTNU: Studenters helsedata lå på nett i over to år

Av Julia Loge

Publisert 20. september 2018

En NTNU-ansatt sikkerhetskopierte data rett til hjemmesiden sin. Det tok to år før feilen ble oppdaget.

Oppdatert 21.09 kl.10.29.

I mars 2014 tok en ansatt ved NTNU kopi av flere harddisker og minnepinner som tilhørte en avdød kollega. Dataene ble lagret på nettverksområdet «hjemmeside» og dermed publisert på offentlig tilgjengelige nettsider. Først i sommer oppdaget NTNU feilen.

«Vedkommende forstod ikke at dette da ble tilgjengelig fra Internett», står det i avviksmeldingen til Datatilsynet.

Helsedata og fagvurderinger

– For en tid tilbake kunne ansatte ved NTNU enkelt oppdatere personlige hjemmesider via en nettverksdisk på egen PC, men ikke nå lenger, forsikrer Vebjørn Slyngstadli. Foto: NTNU

Ifølge NTNU inkluderer dataene for eksempel «fagvurderinger og delvurderinger på navngitte studenter med personnummer i utvalgte kull for flere fag avdøde var professor i, søknader om utsettelse på innleveringer fra studenter, med helsedata, kopi av pass og visum til avdødes barn og reisefeller i forbindelse med konferanser».

Alt som lå på fire ulike disker som hadde tilhørt den avdøde, ble kopiert over. I all hovedsak er det tekniske rådata fra forskning innen blant annet vannkvalitet, ifølge Vebjørn Slyngstadli i NTNUs seksjon for digital sikkerhet. Andelen som inneholder personopplysninger er liten basert på det de har funnet så langt, forsikrer han.

– Noe er skrevet i vurderingssammenheng. Helseopplysningene er for eksempel studenter som har meldt fra om at de ikke kan komme på grunn av influensa, sier Slyngstadli til Forskerforum.

– En lei sak

Forskerforum har vært i kontakt med den ansatte. Han visste ikke omfanget av dataene han fikk overlevert.

– Dette er selvfølgelig en lei sak. Det var en dataglipp og en systemsvakhet som nå er rettet opp. Jeg var ikke klar over at disse dataene lå synlige, og tok dem ned umiddelbart da jeg ble gjort oppmerksom på det. Jeg opplever ikke at jeg kan lastes for noe, jeg fikk overlevert data som jeg trodde var fra laboratorieforsøk og skulle sørge for at disse ble tattvare på.  Jeg tror organisasjonen vår har tatt lærdom av dette og har endret på rutinene slik at denne glippen i alle fall ikke skal gjenta seg, skriver vedkommende.

Ikke oversikt

Det er så store mengder data at NTNU ikke har oversikt over alt. De vet heller ikke sikkert hvor langt tilbake i tid dataene strekker seg, annet enn at de ble lagt ut i 2014.

– Vi har ikke en fullstendig oversikt over hvem det gjelder. Det viktigste nå er å få identifisert og funnet personene, sier Slyngstadli.

Derfor har de berørte studentene ikke fått melding om avviket. NTNU kan heller ikke fastslå hvor mange som kan ha sett informasjonen, men skriver at de ikke har indikasjoner på at opplysningene har blitt misbrukt.

Det er fortsatt mulig å finne spor av filene. Skjermdump/Forskerforum

Menneskelig svikt

Slyngstadli forteller at det er en ansatt som tok en backup av en avdød kollegas PC, og ved en feil lagret denne til hjemmesiden.

– Det er ikke en systemsvikt, det har vært en uheldig ansatt som har misforstått, sier han.

Nå er det ikke lenger mulig å legge ut filer på denne måten, og NTNU har fjernet dataene fra nettsiden.

– Man finner spor av det på Google, men det er ingenting bak det. Du får blanke sider, sier Slyngstadli.

Datatilsynet har mottatt meldingen, men har ikke behandlet den og kan dermed ikke kommentere saken.

  • Les også: