SIKKERHET

Kraftig kritikk av dansk universitet: Programvare-oppdatering ga alle ansatte tilgang til jobbsøknader

7011 ansatte kunne lese alle universitetets jobbsøknader og hadde tilgang til kontaktinformasjon.

Syddansk Universitet i Odense er universitetets største campus. Nesten alle universitetets utdannelser finnes her.
Syddansk Universitet i Odense er universitetets største campus. Nesten alle universitetets utdannelser finnes her. Foto: Syddansk Universitet/Version 2
Mikkel Bjerg Kristensen, Version 2
5. juni 2022 - 14:00

Det danske datatilsynet retter hard kritikk mot Syddansk Universitets (SDU) brudd på reglene for databeskyttelse.

I forbindelse med en oppdatering av SDUs HR-system fikk alle universitetets 7011 ansatte tilgang til 400 søknader som ellers kun kunne leses av ansatte med spesiell tilgang.

Datatilsynet skriver i kritikken mot SDU at universitetet bruker et HR-system der ansatte kan tildeles en rolle i systemet som gjør at de får tilgang til søknader.

Men i forbindelse med en oppdatering av systemet ble rettighetsforvaltningen for alle ansatte satt til standardinnstillingen, noe som medførte at alle hadde tilgang til applikasjonene som inneholdt informasjon om navn, kontaktinformasjon, personnummer og helseopplysninger .

Syddansk Universitet forklarer bruddet på reglene for databeskyttelse med at programvareleverandøren ikke hadde fortalt universitetet om oppdateringens innvirkning på rettighetsforvaltningen, og at det derfor ikke var mulig å teste før den endelige oppdateringen ble satt i drift.

Selv om det angivelig har vært mangelfull kommunikasjon om effekten av oppdateringen på HR-systemet og godkjenningsinnstillinger fra programvareleverandøren Oracle, er det SDU som er ansvarlig for tabben.

Ifølge det danske datatilsynet fremgår det av saken at »Syddanmarks Universitet ved hver påfølgende kvartalsvise oppdatering vil kjøre tester på testsystemet før den kvartalsvise oppdateringen kjøres på produksjonssystemet. Dette for å sikre at tilgangen – som i dette tilfellet – ikke feilaktig gis flere ganger».

Denne artikkelen ble først publisert på Version 2

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.