Studerende og ansatte på Aalborg Universitet har i flere år haft fri adgang til personoplysninger

I flere år har det være muligt for studerende, medarbejdere og gæstemedarbejdere med brugerprofil til Aalborg Universitet at tilgå personoplysninger universitetets ansatte. Datatilsynet retter nu kritik.

Artikel top billede

(Foto: Povl D. Rasmussen)

I flere år – sandsynligvis siden 2020 og frem til august 2022 – var det muligt for alle med en brugerprofil til Aalborg Universitets systemer, at tilgå personoplysninger om universitets ansatte.

AAU-brugerprofiler bliver benyttet af studerende, medarbejdere og gæstemedarbejdere på universitet, men ved en fejl havde profilen også givet adgang til et system, der var forbeholdt it-medarbejdere, kaldet Webmanageren.

Den nødvendige adgangsbegrænsning var imidlertid ikke sat op i systemet, hvilket ifølge Aalborg Universitet sandsynligvis skyldtes en menneskelig fejl, da der ikke blev foretaget testning af adgangskontrollen efterfølgende.

Kritik fra Datatilsynet

Alle med profilen havde altså utilsigtet adgang til systemet, der ifølge Aalborg Universitet ikke indeholdt følsomme oplysninger.

I stedet var det primært oplysninger, som man også kunne finde på Aalborg Universitets hjemmeside eller internt i Outlook eller Aalborg Universitets intranet, hvor alle medarbejdere har adgang.

Desuden var dog også adgang via systemet til tekniske oplysninger om eksempelvis medarbejderprofilens oprettelse, sidste login og ændringer.

Selvom det altså bliver understreget, at der har været tale om ikke-følsomme oplysninger om universitetets medarbejdere, udløser det kritik fra Datatilsynet.

Her lyder konstateringen, at Aalborg Universitets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Ikke tilstrækkelig løbende kontrol

I sin afgørelse skriver Datatilsynet, "at det er en forudsætning, at der foretages test efter en ændring eller opdatering af et system for at sikre, at de fastsatte sikkerhedskrav i et system fortsat er implementeret efter ændringen eller opdateringen."

"Derudover har Datatilsynet lagt vægt på, at uvedkommende har haft adgang til systemet i flere år, og at der dermed ikke har været foretaget tilstrækkelig løbende kontrol af brugeradgange i systemet," lyder det videre.

Aalborg Universitet anmeldte selv bruddet på persondatasikkerheden til Datatilsynet 5. august 2022.

Desuden er det oplyst, at der 29 minutter efter konstateringen af hændelsen, blev lukket ned for alle adgange til Webmanager-systemet.

Adgangsbegrænsningen blev sikret og testet, inden der blev åbnet for adgangen igen for autoriserede medarbejdere.

Du kan læse hele afgørelsen her.

Annonceindlæg fra Barco

Hvorfor enkelhed er den stille drivkraft bag succes på hybride arbejdspladser

Hvordan usynlig teknologi forvandler sikkert hybridarbejde til en daglig virkelighed

Forsvarsministeriets Materiel- og Indkøbsstyrelse

MLOps Engineer til opbygning af Forsvarets nye AI-platform

Københavnsområdet

Forsvarets Efterretningstjeneste

IT-direktør til Forsvarets Efterretningstjeneste

Københavnsområdet

Netcompany A/S

Network Engineer

Nordjylland

Navnenyt fra it-Danmark

Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

Daniel Eriksson

Sharp Consumer Electronics

Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

Jeppe Spanggaard

Pinksky ApS

Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

Michael Schou

Netip A/S

Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

Lauren De Ventura

emagine Expertise A/S