Ved hjelp av et internettsøk kunne hvem som helst finne studentenes vitnemål. De lå åpent på nettet i to måneder.

Ville du synes det var greit at vitnemålet ditt ble lagt åpent ut på nett uten at du visste om det? At man, ved å skrive navnet i ditt i søkemotoren, kan se eksamenskarakterene dine?   Det var det som skjedde med åtte studenter tidligere år. Vitnemålene lå åpent på nett i rundt to måneder.

Nederst i saken finner du oversikt over alle rapporterte personvernbrudd ved norske univesiteter og høyskoler de siste årene. Det er snakk om alt fra ulovlig kameraoveråking til personnummer som ble lagt ut på nett. 

Vitnemålene er en del en stor datalekkasje som ble avdekket i mai i år. Nettavisen Digi.no fant titusenvis av søkeresultater med til dels sensitiv informasjon i Microsofts søkemotor Bing. Her var blant annet kredittinformasjon om kunder i Sparebank1, informasjon om bompengepasseringer fra Statens vegvesen og  informasjon om for eksempel fødselsnumre fra Brønnøysundregisteret.

Dessuten havnet  studenters vitnemål, med studentenes personnummer, i søkemotoren. Det viser et dokument fra Datatilsynet som Forskerforum har fått tilgang til. Dette var vitnemål som lå i den nasjonale Vitnemålsportalen som ble gjort tilgjengelig. Ved å skrive studentens navn i søkemotoren Bing, kunne man finne fram til vedkommendes vitnemål. Portalen, som blant annet gjør det mulig å dele vitnemål med arbeidsgivere, har vitnemål fra studentene ved alle landets universiteter og høyskoler, med unntak av BI.

Les også: – Den store mengden data som samles inn om folk, blir stadig vanskeligere å anonymisere.

– Uheldig

– Det som har skjedd er uheldig. Vi har vært i kontakt med de rammede og informert om det. Vi er i dialog med Datatilsynet for at løsningen skal bli så sikker som mulig, sier underdirektør Joannes Falk Paulsen ved Universitetet i Oslos (UiO) enhet for lederstøtte.

Det er det nasjonale organet Ceres, som er tilknyttet UiO, som leverer Vitnemålsportalen.
Datatilsynet har bedt dem om å sette inn tiltak for å sikre at dette ikke skjer igjen.
– Vi mener at det skulle vært bedre sikkerhet på denne kommunikasjonen, sier avdelingsdirektør Helge Veum i Datatilsynet.

På spørsmål om UiO kunne gjort noe for å unngå at dette skjedde, svarer underdirektør Paulsen:

– Vi burde eventuelt sett på om vi skulle ha gjennomført de tiltakene tidligere. Hva dette dreier seg om, har jeg ikke detaljkunnskap om. Vi er i dialog med Datatilsynet for å iverksette tiltak og tilfredsstille de kravene de stiller. Feilen er rettet slik at disse datatene ikke er tilgjengelige for uvedkommende.

Årsaken til datalekkasjen var at Microsofts søkemotor Bing hadde indeksert og mellomlagret «private» nettadresser. Dette er for eksempel maskingenererte adresser som blir sendt direkte til kunder og som gir tilgang til innhold uten noen form for videre autentisering.

Les også: Universitetets regnetabbe kostet studenten studieplassen. Nå får hun 375 000 kr i erstatning

Bodde på hemmelig andresse – la ut kontaktinformasjon

Dette er ikke første gang Universitetet i Oslo må stå skolerett for Datatilsynet. Her er noen eksempler:

*I 2015 publiserte universitetet personnumrene til 959 studenter via mastergradsarkivet Duo.
*Da Det juridiske fakultet i 2014 utlyste stillingen som sensor for yngre kull, ble personopplysninger om jobbsøkerne lagt ut på Internett. Fødselsnummer, karakterutskrifter, navn og adresser på 22 jusstudenter ble lagt ut i en mappe med åpen tilgang, ifølge studentavisen Universitas. 
*I 2010 gjorde universitetet kontaktinformasjonen til en student som levde på hemmelig adresse og under politibeskyttelse tilgjengelig på nett, skrev Universitas.

Når en virksomhet oppdager at de har brutt personvernreglene – at det har funnet sted en «uautorisert utlevering av personopplysninger som krever konfidensialitet» –  må de melde fra til Datatilsynet. Og ingen har meldt fra om flere personvernsbrudd enn UiO. UiO står for 13 av totalt 27 saker siden 2009.

– Hva er grunnen til dette?

– Vi beklager alle de avvikene vi har hatt, og jobber systematisk for å hindre at slikt skjer i fremtiden, sier underdirektør Joannes Falk Paulsen.
– Vi legger også til rette for en åpenhetskultur der alle avvik systematisk skal meldes inn til Datatilsynet. Vi ønsker å være transparente. Vi har også et eget personvernombud. I tillegg er vi vertskap for en del nasjonale løsninger. Dette innebærer at de faller inn under UiOs paraply, sier han.

Her er oversikten over alle meldingene om personvernsbrudd, såkalte avviksmeldinger, til Datatilsynet fra universiteter og høyskoler siden 2009. Noen av sakene har ikke Datatilsynet oppgitt hva handler om.

2017:
Universitetet i Agder: Melding om avvik
NTNU (Faktultet for samfunnsvitenskap og utdanningsvitenskap): Melding om avvik
Universitetet i Oslo (UiO): Personopplysninger fra vitnemålsportalen tilgjengelig på nett via søkemotoren Bing.
NTNU: Utsendelse av e-post med sensitive personopplysninger om studenter og deres studieprogresjon.
NTNU: Brudd på databehandleravtale med Inspera – utlevering av studenters IP-adresser til tredjepartsverktøy.
Universitetet i Tromsø: Bruk av videoopptak fra pasientkonsultasjoner i forbindelse med undervisning og eksamen.
UiO: Brudd på databehandleravtale mellom Inspera Assessment og Universitetet i Oslo – utlevering av IP adresser til studenter.
UiO (Universitetets senter for informasjonsteknologi): Utlevering av navn på skadelidte i en dom publisert i en masteroppgave i DUO.

2016: 
NTNU (Faktultet for samfunnsvitenskap og utdanningsvitenskap): Feilutsendelse av e-post med vedlegg med personopplysninger til studenter.
UiO (Institutt for medisinske basalfag): Lagring av videopptak uten konsesjon.
NTNU: Utilsiktede lydopptak ved produkttesting.
NTNU (Institutt for nevormedisin): Ulovlig kameraovervåkning.

2015:
Høgskolen i Oslo og Akershus (HiOA): Melding om avvik.
HiOA: Melding om avvik.
UiO:Utlevering av personopplysninger på Internett via DUO.
UiO (Universitetets senter for informasjonsteknologi):Eksponering av fødselsnummer på Universitetets web.

2014:
UiO: Mangel på sladding av personopplysninger i offentlig journal på UiOs nettsider.
UiO: Eksponering av personopplysninger på universitetets web.
UiO: Overvåkingskamera i pauseområde.

2013:
UiO: Eksponering av fødselsnummer på Universitetets web.

2012:
NTNU: Sikkerhetsbrudd
UiO (Universitetets Senter For Informasjonsteknologi): Eksponering av personopplysninger på Universitetets web.

2011:
UiO:  Eksponering av personopplysninger på Universitetets web.

2010: 
UiO:  Eksponering av fødselsnummer i universitetets web.
Universitetet i Agder: Feillagring av personopplysninger i Fronter.
UiO: Sensitiv personinformasjon tilgjengelig via nettsiden til Juridisk fakultet.

2009:
NTNU: Mulig tap av persondata.

Les også: 

Erik Fosse brukte persondata om 50 000 kvinner uten lov