277 studerendes cpr-numre lækket

På Københavns Universitets intranet blev der i januar lækket en del studerendes cpr-numre, uden at de efterfølgende er blevet informeret. Det finder Datatilsynet »meget beklageligt«.

Ved en menneskelig fejl blev der i januar i år lagt et dokument indeholdende personnumre på 277 af de studerende ved det Sundhedsvidenskabelige Fakultet på Københavns Universitets personnumre på deres intranet.

Dokumentet, som bestod af en holdliste, blev lagt op på universitets intranet Absalon af en studiesekretær den 9. januar klokken 8:36 og taget ned igen samme dag klokken 9:33, da fejlen blev opdaget.

Læs også: It-fejl: Studerende kunne se hinandens personlige oplysninger

Dog var studiesekretæren ikke opmærksom på, at der i intranettet Absalon automatisk gemmes en kopi af dokumenter, som lægges op, i en arkivmappe på intranettet.

Det opdagede en studerende 13. januar. Vedkommende kontaktede fakultetet for at gøre de ansvarlige opmærksomme herpå, hvorefter også dette dokument blev fjernet.

Ingen studerende er kontaktet

Fakultetets ansvarlige medarbejdere besluttede ikke at kontakte resten af de berørte studerende, da hændelsen ikke mentes at være alvorligt nok. Begrundelsen ligger i, at fakultetspersonalet fandt perioden, hvor data var tilgængelige, kort, samt at intranettet kræver et login med password.

Det finder Datatilsynet ifølge en ny afgørelse »meget beklageligt«, da cpr-numrene kan misbruges til for eksempel identitetstyveri.

Derfor kan det være i de berørte studerendes interesse at være opmærksomme på, om der hæves penge på deres bankkonti eller lignende. Det er desuden grundreglen om god databehandlingsskik i persondataloven §5, stk. 1, at en dataansvarlig myndighed eller virksomhed skal underrette de berørte personer, hvis deres personoplysninger kan risikere at være blevet set af uvedkommende.

Læs også: I ti år har Københavns Universitet sendt CPR-numre ud som fodnoter i mails

De personfølsomme oplysninger var i tidsrummet 9. januar til 13. januar altså tilgængelige for samtlige af de 277 studerende plus i omegnen af 20 undervisere og administratorer.

Internt på fakultetet er det efterfølgende blevet indskærpet at være særlig opmærksom på holdlister med personnumre.

På baggrund af ovenstående påbyder Datatilsynet nu det Sundhedsvidenskabelige Fakultet at kontakte samtlige af de berørte studerende samt at offentliggøre Datatilsynets udtalelse på fakultetets hjemmeside.

Læs også: Digitaliseringsstyrelsen: Myndigheder bør tage positivt imod henvendelser om sikkerhedsbrister

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
Gert Madsen

Det er en uskik at påføre CPRnr. alle vegne.

Hvorfor er der overhovedet CPRnr. på holdlister ?
Når folk er registreret som studerende, har de sandsynligvis et nummer, som kan anvendes, og CPR behøves ikke mere.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017