Datatilsynet har truffet afgørelse i en sag, hvor Aalborg Universitet har anmeldt et brud på persondatasikkerheden.
Aalborg Universitet konstaterede, at det i flere år – sandsynligvis siden 2020 og frem til august 2022 – havde været muligt for alle med en AAU-brugerprofil (studerende, medarbejdere og gæstemedarbejdere) at tilgå ikke-følsomme oplysninger om universitetets medarbejdere i et system. Systemet havde således ikke haft den nødvendige adgangsbegrænsning, da det kun er IT-medarbejdere på universitetet, der har behov for at anvende systemet i deres daglige arbejde.
I den pågældende sag oplyste Aalborg Universitet, at der i forbindelse med migrering til ny server og omskrivning af kode i systemet i sommeren 2020 højst sandsynligt er sket en menneskelig fejl, idet der ikke er foretaget testning af adgangskontrol i systemet efterfølgende. I den forbindelse har Aalborg Universitet oplyst, at universitetets retningslinjer ikke er blevet fulgt.
Datatilsynet har i sin afgørelse lagt vægt på, at det er en forudsætning, at der foretages test efter en ændring eller opdatering af et system for at sikre, at de fastsatte sikkerhedskrav i et system fortsat er implementeret efter ændringen eller opdateringen. Derudover har Datatilsynet lagt vægt på, at uvedkommende har haft adgang til systemet i flere år, og at der dermed ikke har været foretaget tilstrækkelig løbende kontrol af brugeradgange i systemet.
Vil du vide mere?
Læs afgørelsen her.
Læs mere om behandlingssikkerhed i vejledningen om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger her.