CV: Svært mange CV-er var å finne i databasen. (Foto: ss)

CV: Svært mange CV-er var å finne i databasen.Foto: ss

(Foto: s)

Foto: s

KARAKTERUTSKRIFT: Denne utskriften av en tromsøværings karakterer lå åpent tilgjengelig på nett. (Foto: s)

KARAKTERUTSKRIFT: Denne utskriften av en tromsøværings karakterer lå åpent tilgjengelig på nett.Foto: s

1 / 3

Stort sikkerhetshull: 8.711 dokumenter på avveie – Tromsøværinger har fått offentliggjort vitnemål, attester, CV og selvangivelse

Flere tusen fortrolige dokumenter lastet opp av studenter hos det private NKI Nettstudier er gjort tilgjengelige gjennom et enkelt Google-søk. Dokumentene inneholder personopplysninger som vitnemål, CV, motivasjonsbrev, selvangivelse og attester med personlige vurderinger.
Last inn siden på nyttSaken oppdateres...

I alt har 8.711 dokumenter vært tilgjengelig gjennom Google-søk, et søk som også ga direkte tilgang til databasen med de opplastede dokumentene som inneholder personopplysninger fra studenter fra hele landet. I databasen er også en rekke tromsøværingers fortrolige dokumenter.

Stikkprøver gjort av iTromsø viser at det har vært mulig å finne fram til vitnemål, CV og en rekke attester med personlige vurderinger av søkeren, gjort av tidligere arbeidsgivere. Vi fant også en selvangivelse.

Fant personopplysninger på slump

Filene er lastet opp i forbindelse med søknad på studier som er tilbudt av NKI AS. Selskapet tilbyr i dag mer enn 330 studiemuligheter. Ifølge dem selv er de i dag Nordens ledende aktør på nettbasert utdanning med rundt 10.000 studenter i året.

Tidligere iTromsø-journalist Terje Petter Leiros kom nylig over dokumentene i NKIs databaser ved en tilfeldighet.

– Jeg googlet en fagkode i forbindelse med egne studievalg. Søkeresultatet viste linker til en rekke vitnemål med samme fagkode. Etter nærmere undersøkelse viste det seg at de kom fra samme sted – en database hos NKI Nettstudier, sier Leiros til iTromsø.

Enkelt navnesøk ga treff

Leiros testet ut å google kun navnene på vitnemålene han fant på slump.

– Da jeg søkte på navnet til den som eide vitnemålet, kom også vitnemålet opp i Googles søkeresultat, sier Leiros.

iTromsø fikk samme resultat ved å bruke samme metode på forskjellige typer dokumenter.

Googles system har indeksert dokumentene, altså lest innholdet og gjort det søkbart. Det er uklart hvor lenge personopplysningene har vært tilgjengelig. De eldste filene på databasen kan stamme tilbake til minst 2014, da flere av dem er registrert som «sist endret» i fil-loggen. Databasen inneholder dokumenter som tilsynelatende ser ut til å være lastet opp så sent som i forrige uke.

Den åpne adgangen til databasen ble stengt tirsdag. Søkeresultater leder nå til en informasjonsside hos NKI.

– Noen har tabbet seg ut

Gisle Hannemyr er ansatt som universitetslektor og forsker ved Institutt for Informatikk ved Universitetet i Oslo (UiO). Han er også medlem av Personvernnemnda, som er oppnevnt av Kongen i statsråd.

– Når du forvalter dokumenter med personopplysninger, skal du sikre at kun de som har en berettiget, saklig grunn til å få dem, har tilgang. Om det ligger åpent på internett og blir indeksert av Google, har noen tabbet seg ut, sier Hannemyr til iTromsø.

Lektoren viser til flere tilfeller der lignende informasjon har kommet på avveie.

– Som regel er det ikke gjort med viten og vilje. Det skyldes ofte at de det gjelder ikke har de tekniske løsningene på stell, sier Hannemyr, og legger til:

– Det er ironisk at noen som tilbyr studier over nett ikke har nettsikkerheten på plass.

Høye straffegebyrer

Ifølge Hannemyr kan det få konsekvenser å gjøre slik informasjon tilgjengelig, som NKI Nettstudier har gjort.

– Ja, det er brudd på personopplysningsloven. Datatilsynet kan ilegge et gebyr som teknisk sett ikke er en straff. Med satser opp mot én million kroner, vil nok de fleste likevel oppfatte et slikt gebyr som en straff, sier Hannemyr.

En rekke forhold kan påvirke størrelsen på gebyret. Blant annet om lovbruddet er gjort med overlegg, for egen vinnings del, om det er gjort flere ganger og i hvor stor grad overtredelsen har krenket noen.

– Skal ikke på nett

Datatilsynet er klar på at personopplysninger som er gjort søkbare på nett er en feil de skal ha beskjed om.

– Slike dokumenter som beskrevet skal ikke bli liggende åpent tilgjengelig på nettet. Dette er noe som tilhører den enkelte personen. Det skal behandles som konfidensielle opplysninger som ikke skal slippes ut. Dersom det dreier seg om et sikkerhetshull, skal vi ha en avviksmelding der bedriften redegjør for hva som har gått galt og hva som er gjort for å rette opp i feilen, samt hvilke opplysninger som er kommet på avveie. De må også vurdere om det er aktuelt å varsle berørte parter, sier direktør Bjørn Erik Thon i Datatilsynet til iTromsø.

Avdelingsdirektør i Datatilsynet, Helge Veum, anser ikke eksempelvis vitnemål som sensitive opplysninger.

– For at et dokument skal karakteriseres som sensitivt, må det gjerne inneholde helseopplysninger eller opplysninger om politiske preferanser. Men dokumentene som har kommet på avveie i denne saken er uten tvil personopplysninger med behov for sikring for å ivareta konfidensialiteten, sier Veum.

– Beklager feilen

Daglig leder Wenche Halvorsen i NKI AS, som driver NKI Nettstudier, opplyser til iTromsø at de har kontaktet Datatilsynet.

– Vi ble varsel om feilen tirsdag. Datatilsynet ble varslet omgående, sier Halvorsen.

– Hvor lenge har de personlige dokumentene vært tilgjengelige?

– Det har jeg ikke oversikt over på nåværende tidspunkt.

– Hvordan har opplysningene blitt tilgjengelige gjennom et enkelt søk på nettet?

– Jeg kjenner ikke detaljene i det, men skal få en rapport fra dem som leverer datatjenesten til oss. Det er hos dem sikkerhetshullet har vært.

– Men det er vel deres ansvar?

– Ja, det er vårt overordnede ansvar og noe som ikke skal skje. Jeg må bare beklage at det likevel har skjedd.

– Kommer NKI til å kontakte dem som har fått eksponert fortrolige personopplysninger?

– Vi kommer til å sende ut informasjon på hjemmesiden vår og direkte til hver enkelt student.

– Kan studenter ved NKI stole på at dokumenter de laster opp er sikre hos dere?

– De skal kunne stole på oss. Vi har retningslinjer som vi prioriterer veldig høyt. Konfidensialitet er noe vi tar veldig alvorlig.

– Selv om flere tusen personlige dokumenter, deriblant selvangivelse, er gjort tilgjengelig via nettsøk?

– Vi har ikke noen annen forklaring enn at dette ikke skal skje, sier daglig leder Wenche Halvorsen i NKI AS.

Lik itromso.no på Facebook:



iTromsø ønsker en åpen og saklig debatt. Vi fjerner fortløpende innlegg som er rasistiske, sjikanøse eller strider mot etikk eller lovverk. Vi oppfordrer alle til å være saklig og vise respekt for andres meninger, og forbeholder oss retten til å utestenge brukere som ikke overholder våre retningslinjer i kommentarfeltet.

Mer å lese på iTromsø:
 
NKI AS
  • NKI AS
  • NKI var i 1987 først i Europa med å tilby elektronisk fjernundervisning.
  • NKI en del av utdanningskonsernet Anthon B Nilsen Utdanning AS, som er blant Skandinavias største private leverandører av utdanning og kursvirksomhet.
  • NKI tilbyr i dag mer enn 330 studiemuligheter innen de fleste fagområder, og er i dag Nordens ledende aktør på nettbasert utdanning.
  • Selskapet omsatte i fjor for 92 millioner kroner.
Leses nå