Du har ingen artikler på din læseliste

Hvis du ser en artikel, du gerne vil læse lidt senere, kan du klikke på dette ikon

Så bliver artiklen føjet til din læseliste, som du altid kan finde her, så du kan læse videre hvor du vil og når du vil.

Læs nu
Du har ingen artikler på din læseliste

Næste:
Næste:
Artiklen er føjet til din læseliste Du har ulæste artikler på din læseliste
Lars Just
Foto: Lars Just

Studerende går fra toget ned mod Roskilde Universitet. Hundredvis af tidligere elevers personfølsomme oplysninger har ligget online i årevis.

Danmark
Læs artiklen senere Gemt (klik for at fjerne) Læst

Datalæk på RUC: CPR-numre på over 1.000 studerende har ligget online i årevis

Personfølsomme oplysninger om 1.184 studerende og studentermedhjælpere fra Roskilde Universitet har ligget offentligt tilgængelig i årevis. Universitetsdirektør undskylder og lover at rette op.

Danmark
Læs artiklen senere Gemt (klik for at fjerne) Læst

Der er ikke oplæsning af denne artikel, så den oplæses derfor med maskinstemme. Kontakt os gerne på automatiskoplaesning@pol.dk, hvis du hører ord, hvis udtale kan forbedres. Du kan også hjælpe ved at udfylde spørgeskemaet herunder, hvor vi spørger, hvordan du har oplevet den automatiske oplæsning.

Spørgeskema om automatisk oplæsning

Navne, e-mail-adresser og CPR-numre på 1.184 studerende og studentermedhjælpere fra Roskilde Universitet (RUC) har ligget frit tilgængelige på internettet i årevis.

Datalækket kan i værste fald misbruges til at købe varer i deres navn, optage kviklån eller ændre deres postadresser. Det skriver Roskilde Universitet i et orienteringsbrev, sendt ud til personerne onsdag, som første gang blev beskrevet af ComputerWorld.

Til Politiken oplyser universitetsdirektør Peter Lauritzen, at de personfølsomme oplysninger har ligget på to filer, som ved en fejl har ligget åbent på internettet. Ifølge RUC krævede det dog, at man kendte den præcise linkadresse, og at filerne ikke kunne søges frem via en søgemaskine som Google. RUC vurderer på den baggrund, at det er usandsynligt, at uvedkommende har fundet oplysningerne.

Den ældste af de to filer indeholder 199 studerendes personfølsomme oplysninger og har ligget tilgængelig i næsten ti år - siden 2009. Den anden og største fil med oplysninger om 985 studentermedhjælpere har ligget online siden 2015.

»Vi er afsindigt kede af, at det er gået ud over flere end 1.000 studerende og medhjælpere«, siger Peter Lauritzen. »Vi har rigtig meget fokus på datasikkerhed, så vi er enormt ærgelige på vegne af dem, som er ramt. Det er ikke sådan, at filerne er blevet sendt ud til nogen. Men de har ligget, så man kunne finde dem, hvis man søgte på de helt specifikke links«.

Af RUC’s logfiler fremgår det, at ingen har tilgået de to filer siden 2017. Men eftersom filerne har ligget mange år på nettet inden da, ved RUC ikke, hvorvidt oplysningerne er blevet kompromitteret. RUC ved heller ikke, hvorfor filerne i første omgang er blevet lagt ud, så de var tilgængelige på nettet.

»Den ældste fil blev brugt i forbindelse med et system, hvor studerende kunne aflevere opgaver. Den anden fil blev brugt til at registrere timer for timelønnede studentermedhjælpere. Begge filer har altså haft et formål. Men vi kan ikke se af hvem eller hvorfor, filerne er blevet lagt op, fordi det ligger nogle år tilbage«, siger Peter Lauritzen.

Svært at håndtere data

Hændelsen på Roskilde Universitet er et af flere store datalæk bare i denne uge. Mandag måtte Gladsaxe Kommune oplyse 20.000 borgere om, at deres personfølsomme oplysninger ved en fejl var blevet gemt i et regneark på en computer, som for nylig blev stjålet fra rådhuset.


Læk af personfølsomme oplysninger såsom CPR-nummer er alvorligt for den enkelte, fordi data kan misbruges af andre. En datatyv kan eksempelvis købe varer og ydelser med fakturabetaling i offerets navn, ansøge om kviklån, oprette et kreditkort eller få adgang til følsomme dokumenter hos den berørte, f.eks. et testamente.

Datalæk kan også være strafbart. 25. maj trådte EU’s databeskyttelsesforordning i kraft. Den giver Datatilsynet hjemmel til at uddele bøder til private og offentlige virksomheder, der ikke håndterer borgernes data efter loven.

Hvorvidt RUC står til bødestraf, vil Datatilsynet på nuværende tidspunkt ikke udtale sig om.

»Skadens omfang - over 1.000 berørte - ligger over midten på alvorsskalaen. Nu skal vi ind og vurdere på forholdene omkring sikkerhedsbruddet - hvad RUC vidste, hvornår, og hvor hændelig uheldet kan siges at være. Ud fra det udmåler vi en passende reaktion«, siger Allan Frank, cand.jur. og it-sikkerhedsspecialist hos Datatilsynet.

Det var RUC’s IT-afdeling, der opdagede datalækagen 26. oktober i år. Kort efter blev Datatilsynet orienteret. Når RUC ventede med at orientere de berørte frem til 12. december, skyldes det ifølge Peter Lauritzen, at man først ville være helt sikker på, at oplysninger var fjernet fra nettet.

»I det øjeblik, vi sender 1.000 orienteringsbreve ud, begynder pressen at skrive om det. Og så vil nogen måske forsøge at finde oplysningerne. Derfor ville vi første sikre os, at alt var slettet og væk, før vi meldte noget ud«, siger Peter Lauritzen.

Annonce

Artiklen fortsætter efter annoncen

Annonce

Meld misbrug til politiet

Datalækket afdækker ifølge direktøren et behov for, at RUC’s personale gennem en »awareness-kampagne« skal gøres bedre bekendt med reglerne om håndtering af data og borgernes digitale rettigheder. Dertil vil IT-afdelingen gennemgå universitetets systemer og sikre sig, at der ikke er sket andre læk.

For de berørte borgere er der ikke meget andet at gøre end at håbe, at deres oplysninger ikke er blevet stjålet med henblik på misbrug.

»Borgerne har ret til at klage til Datatilsynet, men da vi allerede behandler sagen, vil det ikke ændre væsentligt i sagsbehandlingen«, siger Allan Frank fra Datatilsynet.

Han opfordrer de over 1.000 berørte til at holde øje med, at deres oplysninger ikke misbruges:

»De skal være opmærksomme på, de ikke pludselig modtager ordrebekræftelser på varer i deres navn eller lignende former for identitetsmisbrug«.

Roskilde Universitet opfordrer i sit brev til de berørte til, at de i tilfælde af misbrug øjeblikkeligt kontakter deres bank eller serviceudbyder, samt anmelder formodede kriminelle forhold til politiet.

Annonce

For abonnenter

Annonce

Podcasts

Forsiden