Publisert 7. oktober 2017 kl. 10:13
I begynnelsen av mai ble det meldt om at omtrent 9000 filer med personopplysninger lå åpent tilgjengelig på internett via NKI Nettstudiers hjemmeside. Det var dokumenter som vitnemål, CVer, selvangivelser og informasjon om arbeidsforhold som hadde blitt lastet opp på NKIs nettside ved opptak av nye studenter.
Filene antas å være fordelt på rundt 3-4000 studenter. Tall fra Google analytics viser, ifølge NKI, at rundt 120-125 filer ble åpnet minst en gang.
Datatilsynet påla NKI å betale et overtredelsesgebyr til staten på 150.000 kroner, da tilfellet var et brudd på personopplysningsloven. Gebyret er det høyeste noen gang gitt til et studiested.
Et tilfeldig søk
En privatperson oppdaget feilen og varslet både NKI og Datatilsynet. Denne personen vil ikke stå frem med navn, og forteller at vedkommende fant filene gjennom tilfeldige søk på nettet.
– Jeg så på en Finn-annonse, så googlet jeg navnet til selger og der kom det opp en link til NKI. Jeg pleier å være nøye på hva jeg trykker på, så jeg så på URLen. Der fikk jeg se et vitnemål, og da ble jeg nysgjerrig. Ved å fjerne dokumentnavnet på URLen, kom jeg inn til en mappestruktur med mange tusen filer.
I saksdokumenter fra Datatilsynet kommer det frem at NKI ennå ikke har fått klarhet i hvordan avviket oppstod. NKI påpeker selv at det fremstår som en kommunikasjonssvikt mellom webleverandør og driftsleverandør.
– Slike brudd skjer ikke ofte
Knut Kaspersen er fagdirektør i Datatilsynet og har behandlet saken. Han mener saken faller innenfor kategorien svært alvorlig.
– Et institutt som tar sikte på å ha undervisningen via nett har et enda større ansvar for sikkerheten, det er blant annet derfor vi har gitt dem gebyr. En sak er av denne størrelsesordenen er ikke hverdagskost, det er også derfor overtredelsesgebyret er såpass høyt, sier han.
– Skjer dette ofte hos utdanningsinstitusjoner?
– Ikke i denne størrelsesordenen. Denne typen avvik forekommer ofte i noen institusjoner i offentlig sektor, men sjelden i undervisningsinstitusjoner. Det kan for eksempel skje gjennom fulltekstpublisering hos fylkesmannen. Offentlig sektor må forholde seg til offentlighetsloven som krever at mange dokumenter er tilgjengelige på nett, og da hender det at informasjon som ikke skal være synlig, likevel blir det.
Lørdagsunderholdning
Dokumentene som ligger ute; CV, vitnemål og selvangivelser, er å kategorisere som sensitive opplysninger. Kaspersen forklarer hvordan man kan misbruke denne typen informasjon:
– Med tilgang på fødselsnummer kan man bygge det videre til et ID-tyveri. Det kan dessuten gi en ekkel følelse at andre får kunnskap om ting de ikke har noe med. De fleste vil ikke at vitnemålene deres blir tilgjengelig for andre og brukt som lørdagsunderholdning. Det kan også være sensitive opplysninger om sykdom, som ingen andre har noe med.
Fagdirektøren påpeker at det som oftest i slike saker er mangelfulle rutiner, som har som konsekvens at risikoen for feil øker.
– I denne saken har det vært svake rutiner. Man må gå tilbake i faktum i saken og spørre: Hva gikk feil? Hvilke rutiner har en for å hindre at dette skal kunne skje? Det er ofte menneskelig svikt som er grunnen, og rutiner kan hindre at slike feil skjer.
I vedtakene til Datatilsynet står det at en av grunnene til at NKI må betale gebyret er fordi straffen får en virkning utover den konkrete saken. Kaspersen mener det er svært viktig at denne typen saker blir kjent, på grunn av det allment preventive.
Problemet løst neste dag
Wenche Halvorsen er administrerende direktør på NKI og mener de gjorde en god innsats med å ordne opp i problemet. Feilen ble varslet om mandag 1. mai sent på kvelden, og dagen etterpå ble innstillingene, som gjorde at informasjonen var tilgjengelig på nett, slått av.
– Vi tok umiddelbar kontakt med våre IT-leverandører og varslet Datatilsynet. Sikkerhetshullet ble tettet straks det ble oppdaget. Umiddelbart fikk vi fjernet tilgang til all informasjon som lå ute. Vi har videre satt i gang ekstern granskning for å finne ut hvordan dette kunne skje og hva vi kan gjøre for å sikre oss mot at noe lignende ikke kan skje igjen.
– Hva tenker dere om at dere har gjort en så stor feil?
– Vi er svært opptatt av, og bruker derfor store ressurser på, å behandle personopplysninger korrekt og i henhold til gjeldende lover og regler. Denne type feil er alvorlig og skal ikke skje.
Etter hendelsen har NKI gått gjennom rutinene sine med IT leverandører, og lagt på et ekstra lag med sikkerhet, som innebærer en ny sikkerhetssjekk ved publisering/oppbevaring av sensitivt innhold. NKI har bestilt en rapport hvor de håper å få mer detaljert svar på akkurat hva som gikk galt.
– Gjennom rapporten ønsker vi en granskning og objektiv vurdering av hendelsen og ansvarsforhold, sier Halvorsen.
Les også: