En fejslagen software-opdatering i det store HR-system, som Syddansk Universitet anvender, har givet samtlige medarbejdere adgang til at kigge i ellers fortrolige dokumenter.
Disse dokumenter har indeholdt ansøgninger, helbredsoplysninger, cpr-numre og lignende.
Det udløser nu alvorlig kritik fra Datatilsynet, som for alvor løfter pegefingeren og skælder ud over, at universitetet ikke havde testet software-opdateringen ordentligt, inden den blev implementeret.
Det betød, at nøjagtigt 7.011 medarbejdere i august 2021 fik adgang til at kigge i 417 ansøgninger, som universitetet havde liggende.
Problemet blev blot forstærket af, at universitetet ikke havde nogen log-funktion på systemet. Det betød, at ingen kunne se, hvem der havde kigget i dokumenterne.
Ifølge Datatilsynet peger universitet på, at det ikke havde “kendskab til, at opdateringen ville foretage en ændring i rollestyringen og af den grund ikke havde mulighed for at udføre en 14 dages test på testsystemet, der ellers var praksis.”
Universitetet meddeler desuden, at man ikke har “undersøgt om adgangen til de berørte personoplysninger er blevet udnyttet i perioden.”
“Det er SDU’s vurdering, at oplysningerne har en ringe udnyttelsesgrad og at sandsynligheden for, at de er blevet tilgået er lille,” hedder det.
Du finder hele afgørelsen fra Datatilsynet her.
