Alvorlig kritik af dansk universitet: Softwareopdatering gav alle ansatte adgang til jobansøgninger

Tidligere i dag udsendte Datatilsynet en pressemeddelelse, der rejser hård kritik af Syddansk Universitets (SDU) brud på reglerne for databeskyttelse. 

I forbindelse med en opdatering af SDU’s HR-system fik alle universitetets 7.011 ansatte nemlig adgang til 400 ansøgninger, der ellers kun skulle kunne tilgås af ansatte med særlig adgang. 

Datatilsynet skriver i kritikken af SDU, at universitet anvender et HR-system, hvor ansatte kan tildeles en rolle i systemet, så de kan få adgang til ansøgninger.

Men i forbindelse med en opdateringen af systemet blev rettighedsstyringen for alle ansatte sat til default-indstillingen, der gjorde, at de alle fik adgang til ansøgningerne, der indeholdt oplysninger om navn, kontaktoplysninger, personnumre og helbredsoplysninger. 

Syddansk Universitet forklarer bruddet på reglerne for databeskyttelse med, at software-leverandøren ikke havde fortalt universitetet om opdateringens påvirkning på rettighedsstyringen, og at man derfor ikke havde mulighed for at teste, på før den endelige opdatering blev sat i drift. 

Selvom der angiveligt har været manglende kommunikation om opdateringens effekt på HR-systemet og godkendelsesindstillinger fra software-leverandøren Oracle, er det SDU der har ansvaret og hæfter for brøleren. 

Ifølge Datatilsynet fremgår det af sagen, »at Syddansk Universitet, ved hver efterfølgende kvartalsopdatering, vil køre test på testsystemet inden kvartalsopdateringen køres på produktionssystemet. Dette er for at sikre, at adgangen – som i denne sag – ikke fejlagtigt gives igen.«