Sikkerhedsbrud på ITU: CPR-numre på 400 personer var tilgængelige i fem år

16. december 2020 kl. 12:213
ITU pressefoto
Illustration: ITU.
Et sikkerhedsbrud på ITU har gjort 400 menneskers personoplysninger tilgængelige i fem år. Rektor kalder sagen uacceptabel og undskylder.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Navne, stillingsbetegnelser og cpr-numre på 400 personer har ligget tilgængeligt på et internt netværksdrev på IT-Universitetet i København (ITU), skriver universitetet på sin hjemmeside.

Oplysningerne, som tilhører censorer, eksterne lektorer, timelønnede og videnskabelige assistenter, har kunne tilgås af alle med et ITU-brugernavn og -password i perioden 2015-2020.

Det var efter en administrativ medarbejder i 2015 placerede filen på drevet til midlertidig opbevaring og for at dele filer blandt ansatte og studerende.

En medarbejder fandt filen med oplysningerne under et rutinemæssigt tjek af netværksdrevene d. 26. november 2020, og herefter meldte man sikkerhedsbruddet til Datatilsynet d. 28. november.

Artiklen fortsætter efter annoncen

Martin Tvede Zachariasen, rektor på ITU, kalder sagen for uacceptabel og undskylder bruddet overfor alle, der er berørte.

»Vi har klare retningslinjer for, hvordan personoplysninger skal håndteres, og det er naturligvis vigtigt, at alle medarbejdere kender og overholder disse. Vi gør en stor indsats for at uddanne medarbejderne i sikker datahåndtering og kører løbende interne kampagner om datasikkerhed. Om vores indsats er tilstrækkelig, vil vi naturligvis vurdere nu og også løbende,« siger han i pressemeddelelsen.

Da man opdagede bruddet, gjorde man filen utilgængelig og satte en intern undersøgelse i gang, men den har vist, at det ikke er muligt at finde ud af, hvor mange gange filen er blevet åbnet.

ITU har underrettet de berørte personer, og universitetet er ved at udfase alle netværksdrev, for at overgå til en løsning, som giver bedre persondatasikkerhed.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
17. december 2020 kl. 13:07

Det var hændelseshåndteringen.. At det har ligget i 5 år er sørgeligt, men viser bare at GDPR er begyndt at tage effekt (bedre sent end aldrig i det mindste) - så man nu scanner for sådanne ting (og fandt det) - og rent faktisk forsøger at løse det bagvedliggende problem.

2
17. december 2020 kl. 12:57

Som en af de 400 berørte synes jeg ikke det er betryggende, at der gik fem år før problemet blev opdaget. Det er mange tusinde, som i fem år har kunnet tilegne sig mit CPR-nummer, uden at det har kunnet spores. Hændelseshåndteringen i sig selv ser derimod ud til at være glimrende.

1
17. december 2020 kl. 12:00

Og fantastisk at de selv fandt problemet og allerede har en løsning på vej der skulle afhjælpe den slags problemer som netværksdrev (aka. rodebunker :) giver :)