I flere år – sandsynligvis siden 2020 og frem til august 2022 – var det muligt for alle med en brugerprofil til Aalborg Universitets systemer, at tilgå personoplysninger om universitets ansatte.
AAU-brugerprofiler bliver benyttet af studerende, medarbejdere og gæstemedarbejdere på universitet, men ved en fejl havde profilen også givet adgang til et system, der var forbeholdt it-medarbejdere, kaldet Webmanageren.
Den nødvendige adgangsbegrænsning var imidlertid ikke sat op i systemet, hvilket ifølge Aalborg Universitet sandsynligvis skyldtes en menneskelig fejl, da der ikke blev foretaget testning af adgangskontrollen efterfølgende.
Kritik fra Datatilsynet
Alle med profilen havde altså utilsigtet adgang til systemet, der ifølge Aalborg Universitet ikke indeholdt følsomme oplysninger.
I stedet var det primært oplysninger, som man også kunne finde på Aalborg Universitets hjemmeside eller internt i Outlook eller Aalborg Universitets intranet, hvor alle medarbejdere har adgang.
Desuden var dog også adgang via systemet til tekniske oplysninger om eksempelvis medarbejderprofilens oprettelse, sidste login og ændringer.
Selvom det altså bliver understreget, at der har været tale om ikke-følsomme oplysninger om universitetets medarbejdere, udløser det kritik fra Datatilsynet.
Her lyder konstateringen, at Aalborg Universitets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.
Ikke tilstrækkelig løbende kontrol
I sin afgørelse skriver Datatilsynet, "at det er en forudsætning, at der foretages test efter en ændring eller opdatering af et system for at sikre, at de fastsatte sikkerhedskrav i et system fortsat er implementeret efter ændringen eller opdateringen."
"Derudover har Datatilsynet lagt vægt på, at uvedkommende har haft adgang til systemet i flere år, og at der dermed ikke har været foretaget tilstrækkelig løbende kontrol af brugeradgange i systemet," lyder det videre.
Aalborg Universitet anmeldte selv bruddet på persondatasikkerheden til Datatilsynet 5. august 2022.
Desuden er det oplyst, at der 29 minutter efter konstateringen af hændelsen, blev lukket ned for alle adgange til Webmanager-systemet.
Adgangsbegrænsningen blev sikret og testet, inden der blev åbnet for adgangen igen for autoriserede medarbejdere.
Du kan læse hele afgørelsen her.