Universitetet i Oslo la ut fødselsnummeret til 959 studenter

I månedsvis lå personopplysninger om over 900 studenter ved Universitetet i Oslo fritt tilgjengelig på internett.

Studenter ved Universitetet i Oslo som har fått publisert oppgaver på Universitetets nettsider siden 6. februar i år, har også fått sin adresse og sitt fødselsnummer publisert. Jon Olav Nesvold, NTB Scanpix

17. august 2015

«Etter en feil i UiOs kildekode, har fødselsnummeret til 959 studenter blitt liggende åpent tilgjengelig», opplyser Universitetet i Oslo i en pressemelding.

Fra 6. februar i år

Universitetsdirektør Gunn-Elin Aa. Bjørneboe sier de beklager og at de jobber for å forhindre at noe slikt skal kunne skje igjen. Bommerten gjelder studenter som har fått publisert oppgaver i tidsrommet fra 6. februar til 1. august i år.

— Den 6. august ble vi tipset av en student som hadde googlet sitt eget navn, forteller underdirektør Johannes Falk Paulsen ved Universitetet i Oslo.

Slettet alt omgående

Han forteller at Universitetet samme dag slettet alle de følsomme opplysningene og tok kontakt med de store søkeselskapene for å få fjernet informasjonen permanent.

— Det har vi lyktes med, sier han.

Student: Alvorlig sikkerhetsbrudd

Student Alexandra Agersborg er blant de rammede studentene, og hun fikk mandag e-post fra Universitetet om brøleren. Hun leverte sin masteroppgave ved Det juridiske fakultet i januar, en sammenligning mellom personopplysningsloven og politiregisterloven.

— Dette er et alvorlig sikkerhetsbrudd, sier Agersborg.

I en mail til en av de rammede studentene heter det: «Gjennomgang av systemet viser at informasjonen har vært fanget opp av søkemotorer, og utenforstående har oppnådd tilgang til den. Det er dessverre ikke mulig å finne ut av hvor mange som har oppnådd tilgang til informasjonen, og heller ikke hva informasjonen eventuelt har vært brukt til.»

Råder studenter til å iverksette tiltak

Johannes Falk Paulsen sier de ikke har indikasjoner på at opplysningene er blitt misbrukt, men at de likevel anbefaler de rammede studentene å sperre fødselsnummeret sitt for kredittsjekk.

- Hva gjør dere for å hindre at dette skjer igjen?

— Nå går vi grundig gjennom rutinene. Vi ser på om de er brutt eller om de må skjerpes, sier Johannes Falk Paulsen.

Lå ute over et halvt år for enkelte

Feilen oppstod 31. oktober i fjor.

— Men på grunn av en karenstid før oppgaver blir publisert, lå ikke slike opplysninger ute før 6. februar i år. Fødselsnummeret til enkelte av studentene har ligget ute siden da, forteller Paulsen.

Har tabbet seg ut før

Dette er ikke første gang Universitetet i Oslo har gått på en smell med personopplysninger. I fjor meldte Universitas at 22 jusstudenter som søkte jobb, opplevde at deres fødselsnummer lå tilgjengelig på nett. I 2007 ble det avslørt at fødselsnumrene til hele 3400 studenter og ansatte ved Det medisinske fakultet var lagt ut.

Datatilsynet ser på saken

Universitetet i Oslo meldte mandag ettermiddag om sin glipp til Datatilsynet.

Kommunikasjonsdirektør Ove Skåra i Datatilsynet sier at alvoret i saken til dels må vurderes opp mot at Universitetet i Oslo ikke har det beste rullebladet i saker om fødselsnumre. Han forteller at de har flere saker fra UiO enn de andre universitetene til sammen.

— De fant i 2012 ut at de ikke trengte å bruke personnummeret - de siste fem sifrene i fødselsnummeret - i sin interne registrering av masteroppgaver. Ved en glipp fortsatte de likevel å bruke det. Hadde de droppet det, ville ikke problemet oppstått når trinn to av tabben skjer og interne opplysninger blir lagt ut offentlig, sier Skåra.

- Ikke noe på nett å gjøre

Han minner om at fødselsnumre ofte er utgangspunktet for identitetstyver.

— Fødselsnumre har ingenting på internett å gjøre, sier Skåra.

Datatilsynet vil nå gjennomgå den siste saken fra Universitetet i Oslo, men Skåra sier det er for tidlig å si om blemmen utløser bot for UiO, såkalt overtredelsesgebyr.