I alt har 8.711 dokumenter vært tilgjengelig gjennom Google-søk, et søk som også ga direkte tilgang til databasen med de opplastede dokumentene som inneholder personopplysninger fra studenter fra hele landet. I databasen er også en rekke tromsøværingers fortrolige dokumenter.
Stikkprøver gjort av iTromsø viser at det har vært mulig å finne fram til vitnemål, CV og en rekke attester med personlige vurderinger av søkeren, gjort av tidligere arbeidsgivere. Vi fant også en selvangivelse.
LES OGSÅ: La ut Monas selvangivelse: – Uvirkelig! Jeg trodde ikke det skulle være mulig (For abonnenter)
Fant personopplysninger på slump
Filene er lastet opp i forbindelse med søknad på studier som er tilbudt av NKI AS. Selskapet tilbyr i dag mer enn 330 studiemuligheter. Ifølge dem selv er de i dag Nordens ledende aktør på nettbasert utdanning med rundt 10.000 studenter i året.
Tidligere iTromsø-journalist Terje Petter Leiros kom nylig over dokumentene i NKIs databaser ved en tilfeldighet.
– Jeg googlet en fagkode i forbindelse med egne studievalg. Søkeresultatet viste linker til en rekke vitnemål med samme fagkode. Etter nærmere undersøkelse viste det seg at de kom fra samme sted – en database hos NKI Nettstudier, sier Leiros til iTromsø.
Enkelt navnesøk ga treff
Leiros testet ut å google kun navnene på vitnemålene han fant på slump.
– Da jeg søkte på navnet til den som eide vitnemålet, kom også vitnemålet opp i Googles søkeresultat, sier Leiros.
iTromsø fikk samme resultat ved å bruke samme metode på forskjellige typer dokumenter.
Googles system har indeksert dokumentene, altså lest innholdet og gjort det søkbart. Det er uklart hvor lenge personopplysningene har vært tilgjengelig. De eldste filene på databasen kan stamme tilbake til minst 2014, da flere av dem er registrert som «sist endret» i fil-loggen. Databasen inneholder dokumenter som tilsynelatende ser ut til å være lastet opp så sent som i forrige uke.
Den åpne adgangen til databasen ble stengt tirsdag. Søkeresultater leder nå til en informasjonsside hos NKI.
– Noen har tabbet seg ut
Gisle Hannemyr er ansatt som universitetslektor og forsker ved Institutt for Informatikk ved Universitetet i Oslo (UiO). Han er også medlem av Personvernnemnda, som er oppnevnt av Kongen i statsråd.
– Når du forvalter dokumenter med personopplysninger, skal du sikre at kun de som har en berettiget, saklig grunn til å få dem, har tilgang. Om det ligger åpent på internett og blir indeksert av Google, har noen tabbet seg ut, sier Hannemyr til iTromsø.
Lektoren viser til flere tilfeller der lignende informasjon har kommet på avveie.
– Som regel er det ikke gjort med viten og vilje. Det skyldes ofte at de det gjelder ikke har de tekniske løsningene på stell, sier Hannemyr, og legger til:
– Det er ironisk at noen som tilbyr studier over nett ikke har nettsikkerheten på plass.
Høye straffegebyrer
Ifølge Hannemyr kan det få konsekvenser å gjøre slik informasjon tilgjengelig, som NKI Nettstudier har gjort.
– Ja, det er brudd på personopplysningsloven. Datatilsynet kan ilegge et gebyr som teknisk sett ikke er en straff. Med satser opp mot én million kroner, vil nok de fleste likevel oppfatte et slikt gebyr som en straff, sier Hannemyr.
En rekke forhold kan påvirke størrelsen på gebyret. Blant annet om lovbruddet er gjort med overlegg, for egen vinnings del, om det er gjort flere ganger og i hvor stor grad overtredelsen har krenket noen.
– Skal ikke på nett
Datatilsynet er klar på at personopplysninger som er gjort søkbare på nett er en feil de skal ha beskjed om.
– Slike dokumenter som beskrevet skal ikke bli liggende åpent tilgjengelig på nettet. Dette er noe som tilhører den enkelte personen. Det skal behandles som konfidensielle opplysninger som ikke skal slippes ut. Dersom det dreier seg om et sikkerhetshull, skal vi ha en avviksmelding der bedriften redegjør for hva som har gått galt og hva som er gjort for å rette opp i feilen, samt hvilke opplysninger som er kommet på avveie. De må også vurdere om det er aktuelt å varsle berørte parter, sier direktør Bjørn Erik Thon i Datatilsynet til iTromsø.
Avdelingsdirektør i Datatilsynet, Helge Veum, anser ikke eksempelvis vitnemål som sensitive opplysninger.
– For at et dokument skal karakteriseres som sensitivt, må det gjerne inneholde helseopplysninger eller opplysninger om politiske preferanser. Men dokumentene som har kommet på avveie i denne saken er uten tvil personopplysninger med behov for sikring for å ivareta konfidensialiteten, sier Veum.
Daglig leder Wenche Halvorsen i NKI AS, som driver NKI Nettstudier, opplyser til iTromsø at de har kontaktet Datatilsynet.
– Vi ble varsel om feilen tirsdag. Datatilsynet ble varslet omgående, sier Halvorsen.
– Hvor lenge har de personlige dokumentene vært tilgjengelige?
– Det har jeg ikke oversikt over på nåværende tidspunkt.
– Hvordan har opplysningene blitt tilgjengelige gjennom et enkelt søk på nettet?
– Jeg kjenner ikke detaljene i det, men skal få en rapport fra dem som leverer datatjenesten til oss. Det er hos dem sikkerhetshullet har vært.
– Men det er vel deres ansvar?
– Ja, det er vårt overordnede ansvar og noe som ikke skal skje. Jeg må bare beklage at det likevel har skjedd.
– Kommer NKI til å kontakte dem som har fått eksponert fortrolige personopplysninger?
– Vi kommer til å sende ut informasjon på hjemmesiden vår og direkte til hver enkelt student.
– Kan studenter ved NKI stole på at dokumenter de laster opp er sikre hos dere?
– De skal kunne stole på oss. Vi har retningslinjer som vi prioriterer veldig høyt. Konfidensialitet er noe vi tar veldig alvorlig.
– Selv om flere tusen personlige dokumenter, deriblant selvangivelse, er gjort tilgjengelig via nettsøk?
– Vi har ikke noen annen forklaring enn at dette ikke skal skje, sier daglig leder Wenche Halvorsen i NKI AS.