6. juni 2024

Ansatte på Københavns Universitet har kunnet tilgå personoplysninger, de ikke burde have haft adgang til

Personoplysninger

Københavns Universitet beklager at meddele, at grupper af egne ansatte i en periode har haft for vid adgang til personoplysninger på andre med tilknytning til universitetet. Sagen undersøges stadig, men der er ikke fundet tegn på, at personoplysninger er blevet misbrugt.

KU ud mod Frue Plads
Foto: Nikolai Linares

Fejlen blev opdaget af en af Københavns Universitets egne ansatte i forbindelse med en oprydning og er indmeldt til Datatilsynet. Københavns Universitet tager sagen meget alvorligt, men der er ikke tale om oplysninger, der almindeligvis har stort misbrugspotentiale eller har kunnet tilgås af personer uden tilknytning til Københavns Universitet.

Samtidig skal det understreges, at de ansatte, som har haft mulighed for at etablere adgang til oplysningerne, alle er underlagt forvaltningslovens bestemmelser om tavshedsforpligtelse under strafansvar.

Hvilke personoplysninger er der tale om?

Det er primært tale om oplysninger, der er brugt i forbindelse med udbetaling af løn. Det vil sige CPR-numre, stillingskategorier, tiltrædelsesdato (eventuel fratrædelsesdato), private adresser samt en række andre oplysninger, der af øvrige medarbejdere kunne bruges til at få viden om oplysninger relateret til forhandlingsberettigede i forbindelse med lønforhandlinger. Samt en kode, der af KU’s personaleafdeling kan bruges til at bestemme fratrædelsesårsag. Et mindre antal af de berørte er underlagt navne- og adressebeskyttelse.

Herudover har der været visse oplysninger relateret til ansatte, studerendes- og øvrige tilknyttedes fysiske adgange. Sidstnævnte oplysninger har ligeledes været tilknyttet oplysninger om CPR. Disse oplysninger har kunnet tilgås af Københavns Universitets it-afdeling.

Hvem er berørt?

Der er tale om i alt cirka 310.000 berørte, og en del af oplysningerne har været tilgængelige i en længere årrække. Alle berørte er personer, der har haft direkte formaliseret tilknytning til Københavns Universitet. Altså personer, der har modtaget betaling i form af løn eller andre honorarer fra Københavns Universitet eller har været studerende på universitetet.

For de studerendes vedkommende gælder det dog, at deres data kun har været tilgængelige for Københavns Universitets it-afdeling.

Hvem har haft adgang til oplysningerne?

Det er kun ansatte på Københavns Universitet, der har haft adgang til oplysningerne, og langt størstedelen har ikke været bekendt med muligheden for at få adgang. Det skyldes, at oplysningerne har befundet sig på et netværksdrev, der aktivt skulle etableres adgang til.

Risikovurdering

Der er naturligvis tale om en hændelse, som Københavns Universitet tager meget alvorligt, og KU beklager over for alle berørte, men for hovedparten af de berørte er det vurderingen, at risikoen for misbrug er lav. CPR-nummeret er for eksempel en fortrolig personoplysning, men den er ikke let at misbruge til for eksempel identitetstyveri. Læs eventuelt mere herom hos Det Kriminalpræventive Råd: https://dkr.dk/it/identitetstyveri.

Københavns Universitet har heller ikke identificeret muligheder for, hvordan lønoplysninger og øvrigt associerede oplysninger skulle kunne misbruges til skade for de berørte.

I forhold til adresseoplysningerne er det vurderet, at disse potentielt kan medføre risici for de få personer, som har navne- og adressebeskyttelse i Danmark. Københavns Universitet vurderer dog ikke, at der er en høj sandsynlighed for, at uvedkommende ansatte har været opmærksomme på muligheden for at få adgang eller har anvendt den. Fejlen er opdaget af universitetets egne ansatte, og oplysningerne har ligget på en specifik netværkssti, der ikke automatisk blev oprettet forbindelse til.

Endelig har der ikke været en specifik oversigt over personer med navne- og adressebeskyttelse. Det betyder, at man, for at kunne udøve misbrug, både har skullet være blandt den gruppe ansatte, der har adgang til filerne, være bekendt med, at man har adgangen, åbne relevante filer og fremsøge personer med navne- og adressebeskyttelse enkeltvist samt have kendskab til, hvordan man fremsøger netværksplaceringen. I den forbindelse er der i risikovurderingen også lagt vægt på, at antallet af personer, som på tidspunktet for opdagelsen havde oprettet adgangen, var forholdsvis lavt.

Hvad gør Københavns Universitet nu?

Det er en situation, som Københavns Universitet tager meget alvorligt, og der er derfor sat et arbejde i gang, hvor det skal afdækkes nærmere, hvordan fejlen kunne opstå og hvordan universitetets sikkerhedsprocesser kan optimeres, for derigennem at minimere risikoen for, at lignende hændelser kan ske igen. 

Kontakt

Har du spørgsmål, er du velkommen til at kontakte KU’s databeskyttelsesrådgiver på dpo@adm.ku.dk

Emner