Datatilsynet kritiserer Københavns Universitet: Persondata stjålet fra studerende er jeres ansvar

Illustration: Christoffer Regild / www.regild.dk
Hvis håndtering af persondata indgår som et del af et kursus på et universitet og med redskaber, der er ejet af universitetet, så er universitetet - og ikke den studerende - dataansvarlig med de forpligtelser, der følger med, viser sag fra Københavns Universitet.

Der er en røffel fra Datatilsynet til Københavns Universitet for ikke at påtage sig forpligtelserne som dataansvarlig i en sag, hvor en studerende fik stjålet et videokamera med patientoptagelser.

Det fremgår af en nyligt offentliggjort afgørelse fra Datatilsynet.

Sagen handler om en medicinstuderende, der under en praktik i sommer fik stjålet et videokamera, som universitetet ejede og som indeholdt optagelser af patienter.

Opfattelsen hos Københavns Universitets var, at den studerende selv var dataansvarlig for behandlingen af persondata i forbindelse med optagelserne, og derfor anmeldte universitetet ikke databruddet efter tyveriet.

Desuden blev de patienter, der medvirkede på optagelserne, ikke underrettet af universitetet.

Men her er universitet altså galt på den:

»Datatilsynet lagde ved sin afgørelse vægt på, at det er Københavns Universitet, der har fastsat ordningen og reglerne for praktikforløb for kurset i almen medicin,« lyder begrundelsen for, at universitetet - og ikke den studerende - er dataansvarlig med de forpligtelser, der følger med om bl.a. underretning og anmeldelse i tilfælde af et datalæk.

Er en del af et uni-kursus

Datatilsynet argumenterer yderligere med, at kurset for den studerende indgår som en del af den medicinstuderendes fag på Københavns Universitet, »og det er dermed Københavns Universitet, der afgør til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger«.

I første omgang var det lægehuset, som den studerende var i praktik i, der foretog anmeldelsen af databruddet.

Senere gik advokatfirmaet Bruun Hjejle ind i sagen og konkluderede, at Københavns Universitet var mulig dataansvarlig.

Det er Datatilsynet enig i, og tilsynet »har på den baggrund udtalt alvorlig kritik af, at Københavns Universitet behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningen«.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

... i hvor mange andre situationer, der omfatter persondata, Universitetet også misforstår reglerne, så de på forkert grundlag fralægger sig ansvaret for sikkerheden omkring disse? Hvordan med forskere, som har følsomme persondata på deres computere? Hvem har ansvaret - forskerne eller universitetet? Eller - i praksis - ingen?

  • 1
  • 0
Jens Frederik Dalsgaard Nielsen

Hej
Jeg tror vi efterhånden er mange der har fået ryddet op på vores PCere så der intet er tilbage.
et er egentlig rart - men ikke altid praktisk.

Dog er der ting vi skal gemme såsom noter fra eksaminer. De skal gemmes i 1 år aht klagesager.
Jeg har det krypteret den slags ting på min disk og når det rydder i backupen er det stadig krypteret.
Og efter 1 år ryger det i /dev/null

  • 1
  • 0
Log ind eller Opret konto for at kommentere