Det danske datatilsynet retter hard kritikk mot Syddansk Universitets (SDU) brudd på reglene for databeskyttelse.
I forbindelse med en oppdatering av SDUs HR-system fikk alle universitetets 7011 ansatte tilgang til 400 søknader som ellers kun kunne leses av ansatte med spesiell tilgang.
Datatilsynet skriver i kritikken mot SDU at universitetet bruker et HR-system der ansatte kan tildeles en rolle i systemet som gjør at de får tilgang til søknader.
Men i forbindelse med en oppdatering av systemet ble rettighetsforvaltningen for alle ansatte satt til standardinnstillingen, noe som medførte at alle hadde tilgang til applikasjonene som inneholdt informasjon om navn, kontaktinformasjon, personnummer og helseopplysninger .
Syddansk Universitet forklarer bruddet på reglene for databeskyttelse med at programvareleverandøren ikke hadde fortalt universitetet om oppdateringens innvirkning på rettighetsforvaltningen, og at det derfor ikke var mulig å teste før den endelige oppdateringen ble satt i drift.
Selv om det angivelig har vært mangelfull kommunikasjon om effekten av oppdateringen på HR-systemet og godkjenningsinnstillinger fra programvareleverandøren Oracle, er det SDU som er ansvarlig for tabben.
Ifølge det danske datatilsynet fremgår det av saken at »Syddanmarks Universitet ved hver påfølgende kvartalsvise oppdatering vil kjøre tester på testsystemet før den kvartalsvise oppdateringen kjøres på produksjonssystemet. Dette for å sikre at tilgangen – som i dette tilfellet – ikke feilaktig gis flere ganger».
Denne artikkelen ble først publisert på Version 2
