Københavns Universitet står midt i en alvorlig persondatasag, hvor hundredevis af medarbejdere uberettiget haft haft adgang til privatadresser, eksamenskarakterer, løndata og CPR-numre. Det viser en omfattende datascanning, som universitetet netop har afsluttet efter to måneders arbejde.
For eksempel fik 625 medarbejdere i KU’s administration pludselig adgang til lønstatistik på 13.600 medarbejdere, og statistikkerne var ikke renset for CPR-numre og emailadresser.
Årsagen til det omfattende persondatalæk er, at data har flydt rundt på universitetets mange drev.
Hovedparten af de 625 medarbejdere havde intet at gøre med lønstatistikken og burde derfor ikke have adgang til de mange data om deres kolleger. Siden der ikke var nogen form for logning, der hvor lønstatistikken blev dumpet, er det umuligt at vurdere, om de mange data er blevet misbrugt og i så fald af hvem, oplyser universitetet til Version2.
Brud på persondatasikkerheden er i strid med persondataloven fra 2001, men også i særdeleshed med GDPR, der træder i kraft fredag. Datatilsynet er endnu ikke blevet underrettet.
»Det er en brandslukning, der går i gang, så snart vi finder ud af det, og det er ikke pæne ord, der går gennem hovedet på en. Men skaden er sket, og så må man i gang med at rydde op,« fortæller Poul Nielsen, der er informationsikkerhedschef på Københavns Universitet.
Der er ingen eksempler på persondata, der har ligget ude på internettet, fastslår universitetsdirektør Jesper Olesen.
Mistanke om problemer
Det hele starter med en mistanke om, at der ligger personhenførbare data rundt omkring på universitetets interne servere som, blandt andet på grund af GDPR, skal beskyttes bedre.
Derfor begynder it-afdelingen på KU at køre en scanning på alt, der kunne CPR-numre, telefonnumre og adresser, i universitetets databaser, og da de første hits begynder at tikke ind, igangsættes en større undersøgelse.
»Vi begynder at scanne om natten for ikke at forstyrre den daglige drift, og det viser sig, at vi har flere og større drev og databaser, end vi havde troet,« siger Jesper Olesen.
Og der er adskillige hits.
Private adresser, studerendes eksamenskarakterer og de førnævnte CPR-numre dukker op, men præcis hvor mange alarmer der var sande, og hvor mange der var falske, kan Jesper Olesen og Poul Nielsen ikke oplyse. Men eksemplet med lønstatistikken er ikke den eneste svipser.
»Der er mange eksempler, men fælles for dem er, at de har ligget på interne systemer, som det kun er vores medarbejdere, der har haft adgang til,« siger Jesper Olesen, der samtidig fortæller, at mange af dem har tavshedspligt.
Præcis hvor længe de mange CPR-numre i lønstatistikken har ligget og flydt på det interne drev, ved man ikke. Men lønstatistikken omhandlede medarbejdere på KU mellem februar 2017 og januar 2018.
For alle de andre svipsere er det umuligt på nuværende tidspunkt at sige, hvor længe de har været malplacerede. Blandt andet fordi de nu er fjernet eller flyttet til fora og drev, hvor de hører hjemme, oplyser Poul Nielsen.
I de fleste af tilfældene er der tale om data, der er blevet delt skødesløst mellem medarbejdere. For eksempel var det nødvendigt at dele lønstatistikken, men ikke med alle 625 kolleger.
På den måde er det lykkedes den store mængde data at forlade ellers sikre, isolerede drev. De delte data var dog stadig gemt bag firewalls og andre sikkerhedsforanstaltninger.
Udover det lå en stor del af data-sjuskeriet i data, der blev glemt og lå på usikre drev, alt for længe efter de blev brugt, siger Jesper Olesen.
Han vurderer desuden, at risikoen for, at de medarbejdere, der eksempelvis ikke havde brug for lønstatistikken, har set den, er meget lille.
Ledelsesopgave at sikre data
Københavns Universitet har nu lavet nye processer, der skal styre de mange data, der farer rundt i universitetets store og alsidige medarbejdergruppe.
Blandt andet er der oprettet nye dedikerede drev med logning, så man kan se, hvem der tilgår hvilke data og hvordan. Derudover er der lavet barrierer for udefrakommende som passwords og forskellige brugerniveauer.
»Vi havde vænnet os til, at data og opbevaring af data var gratis. Men nu har alle data en pris, og det er en ny tankegang, man skal ind i. Til andre, der måske kunne stå med de samme udfordringer som os, vil jeg sige, at det er et ledelsesansvar at sikre data. Man kan lige så godt snakke om det før som siden,« siger Poul Nielsen.
Han mener dog ikke, Københavns Universitet har været for langsomme til at opdage data-usikkerheden.
»Vi har arbejdet med at sikre data i mange år og har haft det på dagsordenen længe.«
Kræver kulturændring
Jesper Olesen anerkender, at der skal en helt ny datakultur til på Københavns Universitet.
Professorer er nødt til at holde op med at lægge karakterer ud til offentligt skue, og forskere skal sørge for, at de data, de deler, enten kun deles med dem, der skal bruge dem, eller er anonymiserede.
»Eksempelvis får hver studerende nu et nummer, der er individuelt for dem selv, men ikke er deres CPR-nummer, og på den måde bliver deres data nemmere at sende rundt i systemet,« siger Jesper Olesen.
Samtidig fastholder han, at Københavns Universitet ikke er den eneste institution, der har disse udfordringer og har begået denne type fejl.
»Jeg tror, mange har de samme udfordringer, og jeg håber, at de kan lære af vores fejl,« siger Jesper Olesen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
