Studerende og ansatte på Aalborg Universitet har i flere år haft fri adgang til personoplysninger

I flere år har det være muligt for studerende, medarbejdere og gæstemedarbejdere med brugerprofil til Aalborg Universitet at tilgå personoplysninger universitetets ansatte. Datatilsynet retter nu kritik.

Artikel top billede

(Foto: Povl D. Rasmussen)

I flere år – sandsynligvis siden 2020 og frem til august 2022 – var det muligt for alle med en brugerprofil til Aalborg Universitets systemer, at tilgå personoplysninger om universitets ansatte.

AAU-brugerprofiler bliver benyttet af studerende, medarbejdere og gæstemedarbejdere på universitet, men ved en fejl havde profilen også givet adgang til et system, der var forbeholdt it-medarbejdere, kaldet Webmanageren.

Den nødvendige adgangsbegrænsning var imidlertid ikke sat op i systemet, hvilket ifølge Aalborg Universitet sandsynligvis skyldtes en menneskelig fejl, da der ikke blev foretaget testning af adgangskontrollen efterfølgende.

Kritik fra Datatilsynet

Alle med profilen havde altså utilsigtet adgang til systemet, der ifølge Aalborg Universitet ikke indeholdt følsomme oplysninger.

I stedet var det primært oplysninger, som man også kunne finde på Aalborg Universitets hjemmeside eller internt i Outlook eller Aalborg Universitets intranet, hvor alle medarbejdere har adgang.

Desuden var dog også adgang via systemet til tekniske oplysninger om eksempelvis medarbejderprofilens oprettelse, sidste login og ændringer.

Selvom det altså bliver understreget, at der har været tale om ikke-følsomme oplysninger om universitetets medarbejdere, udløser det kritik fra Datatilsynet.

Her lyder konstateringen, at Aalborg Universitets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Ikke tilstrækkelig løbende kontrol

I sin afgørelse skriver Datatilsynet, "at det er en forudsætning, at der foretages test efter en ændring eller opdatering af et system for at sikre, at de fastsatte sikkerhedskrav i et system fortsat er implementeret efter ændringen eller opdateringen."

"Derudover har Datatilsynet lagt vægt på, at uvedkommende har haft adgang til systemet i flere år, og at der dermed ikke har været foretaget tilstrækkelig løbende kontrol af brugeradgange i systemet," lyder det videre.

Aalborg Universitet anmeldte selv bruddet på persondatasikkerheden til Datatilsynet 5. august 2022.

Desuden er det oplyst, at der 29 minutter efter konstateringen af hændelsen, blev lukket ned for alle adgange til Webmanager-systemet.

Adgangsbegrænsningen blev sikret og testet, inden der blev åbnet for adgangen igen for autoriserede medarbejdere.

Du kan læse hele afgørelsen her.

Læses lige nu

    Annonceindlæg fra Bluecircle

    Partiklerne ingen taler om: Den oversete risiko i datacentre og serverrum

    Støv, fibre og metalliske partikler kan påvirke både uptime, levetid og driftssikkerhed. Derfor arbejder flere datacentre systematisk med contamination control.

    Rambøll Management Consulting

    Senior AI Engineer

    Midtjylland

    Rambøll Management Consulting

    Senior Software Engineer

    Midtjylland

    Navnenyt fra it-Danmark

    SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

    Plamena Cherneva

    SAP SuccessFactors Partner Pentos

    Immeo har pr. 1. maj 2026 ansat Sofie Amalie Buur som Consultant. Hun kommer fra en stilling som Frontend Engineer & UI/UX Designer hos Valyrion. Hun er uddannet Cand.it. Softwaredesign ved ITU. Nyt job
    Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

    Claus Berg

    Netip A/S

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S