Studerende og ansatte på Aalborg Universitet har i flere år haft fri adgang til personoplysninger

I flere år har det være muligt for studerende, medarbejdere og gæstemedarbejdere med brugerprofil til Aalborg Universitet at tilgå personoplysninger universitetets ansatte. Datatilsynet retter nu kritik.

Artikel top billede

(Foto: Povl D. Rasmussen)

I flere år – sandsynligvis siden 2020 og frem til august 2022 – var det muligt for alle med en brugerprofil til Aalborg Universitets systemer, at tilgå personoplysninger om universitets ansatte.

AAU-brugerprofiler bliver benyttet af studerende, medarbejdere og gæstemedarbejdere på universitet, men ved en fejl havde profilen også givet adgang til et system, der var forbeholdt it-medarbejdere, kaldet Webmanageren.

Den nødvendige adgangsbegrænsning var imidlertid ikke sat op i systemet, hvilket ifølge Aalborg Universitet sandsynligvis skyldtes en menneskelig fejl, da der ikke blev foretaget testning af adgangskontrollen efterfølgende.

Kritik fra Datatilsynet

Alle med profilen havde altså utilsigtet adgang til systemet, der ifølge Aalborg Universitet ikke indeholdt følsomme oplysninger.

I stedet var det primært oplysninger, som man også kunne finde på Aalborg Universitets hjemmeside eller internt i Outlook eller Aalborg Universitets intranet, hvor alle medarbejdere har adgang.

Desuden var dog også adgang via systemet til tekniske oplysninger om eksempelvis medarbejderprofilens oprettelse, sidste login og ændringer.

Selvom det altså bliver understreget, at der har været tale om ikke-følsomme oplysninger om universitetets medarbejdere, udløser det kritik fra Datatilsynet.

Her lyder konstateringen, at Aalborg Universitets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Ikke tilstrækkelig løbende kontrol

I sin afgørelse skriver Datatilsynet, "at det er en forudsætning, at der foretages test efter en ændring eller opdatering af et system for at sikre, at de fastsatte sikkerhedskrav i et system fortsat er implementeret efter ændringen eller opdateringen."

"Derudover har Datatilsynet lagt vægt på, at uvedkommende har haft adgang til systemet i flere år, og at der dermed ikke har været foretaget tilstrækkelig løbende kontrol af brugeradgange i systemet," lyder det videre.

Aalborg Universitet anmeldte selv bruddet på persondatasikkerheden til Datatilsynet 5. august 2022.

Desuden er det oplyst, at der 29 minutter efter konstateringen af hændelsen, blev lukket ned for alle adgange til Webmanager-systemet.

Adgangsbegrænsningen blev sikret og testet, inden der blev åbnet for adgangen igen for autoriserede medarbejdere.

Du kan læse hele afgørelsen her.

Læses lige nu

    Navnenyt fra it-Danmark

    IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

    Lasse Hounsgaard

    IFS Danmark A/S

    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect

    Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

    Mikkel Bernt Buchvardt

    Elbek & Vejrup A/S

    IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

    Marlene Gudman

    IFS Danmark A/S