Sendte ut opplysninger om studenter til feil person tre ganger på tre uker

«Rutiner for utsendelse må gjennomgås for å sikre at slike tilfeller ikke inntreffer i fremtiden … … Det er formidlet skriftlig og muntlig beklagelse til den studenten som er berørt av hendelsen.»

Det skrev NTNU i en avviksmelding til Datatilsynet i midten av februar, etter at de hadde sendt vedtak om tilrettelegging til en annen student enn den som skulle ha det.

Begge studentene hadde ifølge avviksmeldingen samme navn, og vedtaket som ble sendt både via Elements og Digipost inneholdt sensitive personopplysninger.

« … det vil være svært sannsynlig at vedkommende som er den utsatte part vil ha kunnet opplevd dette som meget ubehagelig og krenkende.» skriver NTNU.

IT

Gjør klar exit-strategi fra amerikanske skytjenester

Juksepapirer sendt feil

En tilsvarende feil hadde universitetet gjort bare dager tidligere, da vedtakene til innstilling i to saker om grov uaktsom fusk ble forvekslet og en student plutselig satt med et vedtak med feil navn og nummer på.

Også her omtales den dette som noe utsatt part kunne opplevd som «meget ubehagelig og krenkende.»

Men selv med to slike hendelser rett etter hverandre, og en klar tanke om at rutiner for utsendelse må gjennomgås for at det ikke skal skje igjen, tok det ikke mange ukene før NTNU på nytt sendte informasjon om sine studenter til uvedkommende.

Denne gang var det en advokat som skulle representere en student i en klagesak som fikk dokumenter tilhørende en annen student enn sin klient. Dokumentene inneholdt ikke personsensitive data, skriver NTNU i avviksmeldingen, men taushetsbelagt informasjon.

sikkerhet

Svindlerne fikk napp hos Sintef. 9 av 25 ga fra seg passord

Forstår at rutinene ikke oppleves gode

Til Khrono opplyser NTNU at det i to av sakene var menneskelige feil, mens det i den siste var en systemfeil som senere er rettet som var årsak til at feil person fikk opplysninger. 

— Har dere gode nok rutiner?

— Vi har gode rutiner for håndtering av personsensitive opplysninger, men når det er sagt er det veldig forståelig at rutinene ikke oppleves som gode for de som opplever at det gjøres slike feil, sier Annikken Løe, direktør for utdanningsavdelingen ved NTNU.

— Det er heldigvis sjelden vi har slike saker. Totalt melder vi inn mellom sju og ti saker til Datatilsynet per år. Det at det kom tre saker på like mange uker beror sannsynligvis på en tilfeldighet, fortsetter Løe.

personvern

UiT meldte Borch-lekkasje til Datatilsynet

— Har god kontroll

Direktøren forteller at alle saker, uansett hvor små, skal rapporteres inn til Datatilsynet, og at alle avvik blir gjennomgått grundig for å forhindre at det gjentar seg. I de tilfellene der det er feil i datasystemene som fører til avviket rapporteres det umiddelbart til systemoperatør. 

— Kan studentene føle seg trygge på at opplysningen dere har om dem håndteres på en god måte?

— Vi har god kontroll på datahåndteringen, og studentene kan føle seg trygge på at vi hele tiden gjør vårt ytterste for at deres personlige opplysninger ikke kommer på avveie.

— Hva med alle andre former for sensitive data? Har dere — overordnet — god nok kontroll på datahåndteringen?

— Som en stor og viktig samfunnsinstitusjon både må og skal NTNU ha gode og sikre systemer for all type datahåndtering, og det har vi.