Ny afgørelse

Alvorlig kritik af Syddansk Universitets utilstrækkelige testning af softwareopdatering

Dato: 30-05-2022
Nyhed

I forbindelse med en softwareopdatering i Syddansk Universitets HR-system blev rettighedsstyringen nulstillet, hvilket betød, at alle 7011 ansatte på universitetet fik adgang til at se 417 ansøgninger. Universitet havde ikke testet softwareopdateringen tilstrækkeligt forud for implementeringen og opdagede derfor først den ændrede rettighedsstyring efterfølgende.

Datatilsynet har truffet afgørelse i en sag, hvor Syddansk Universitet har anmeldt et brud på persondatasikkerheden.

Syddansk Universitet (SDU) anvender et HR-system, hvor ansatte kan tildeles en rolle, så de kan få adgang til ansøgninger. I forbindelse med en softwareopdatering blev systemets rettighedsstyring imidlertid nulstillet, hvilket betød, at alle ansatte på Syddansk Universitet fik se-adgang til ansøgningerne. Ifølge SDU betød dette, at i alt 7011 ansatte havde haft potentiel adgang til at tilgå ansøgninger fra i alt 417 ansøgere. Ud af disse havde ca. 400 ansatte et adgangsbetinget behov for at kunne tilgå personoplysninger i HR-systemet. Universitet førte endvidere ikke log på adgangen til ansøgningsmaterialet og kunne derfor ikke identificere, hvad der var blevet tilgået.

Utilstrækkelig testning

Universitet havde ikke udført en tilstrækkelig testning af softwareopdateringen inden den blev implementeret i produktionssystemet, og opdagede derfor først den ændrede rettighedsstyring .

SDU bemærkede i sagen, at de ikke havde kendskab til, at opdateringen ville foretage en ændring i rollestyringen og af den grund ikke havde mulighed for at udføre en 14 dages test på testsystemet, der ellers var praksis.

Datatilsynet konstaterede, at den dataansvarlige som led i udvikling og tilpasning af it-løsninger til behandling af personoplysninger, skal teste en løsning med henblik på at kunne identificere og vurdere forhold, der f.eks. kan føre til ændring eller nulstilling af tidligere valgte indstillinger. Dette er særligt væsentligt, når der er tale om en grundlæggende funktion som rettighedsstyring.

Den dataansvarliges ansvar kan ikke bortfalde, blot fordi softwareleverandøren ikke fyldestgørende har oplyst om opdateringens omfang.

På den baggrund udtalte Datatilsynet alvorlig kritik.

Vil du vide mere?

Læs afgørelsen her.

Læs mere om behandlingssikkerhed i Datatilsynets vejledning Behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger.

Journalister kan kontakte presseansvarlig Anders Due på tlf. 29 49 32 83