Hændelse februar 2019
Indberettet til Datatilsynet 8. februar 2019:
Københavns Universitet har opdaget et brud på sikkerheden, hvor ca. 3000 personnumre har været tilgængelige for en gruppe medarbejdere, der har arbejdsopgaver i et IT-bestillingssystem. Bedre begrænsning af adgang til persondata i IT-systemet, sletning af data og nye procedurer skal sørge for, at det ikke sker igen.
Personnumrene har været tilgængelige i et IT-system, der benyttes til sagsbehandling af bestillinger, og som ca. 400 medarbejdere på Københavns Universitet arbejder med. Personnumrene har kun været synlige, hvis en medarbejder aktivt har søgt efter dem.
Sikkerhedshændelsen er opstået i KU's bestillingssystem IT-Self service, når en bruger har oprettet en af tre forskellige bestillingssager. Bestillingssagerne kræver, at man udfylder sit personnummer og kontaktoplysninger, for at sagen kan løses af en medarbejder på Københavns Universitet. De berørte bestillingssager er:
- Sammenkædning af cpr-numre
- Adgang til RejsUd/CWT
- Scanpas adresseændring
Ca. 3000 personer har oprettet en af de nævnte bestillingssager og er derfor berørt af sikkerhedshændelsen. Sikkerhedshændelsen er anmeldt til Datatilsynet.
Sikring af data i fremtiden
KU-IT – Københavns Universitets IT-afdeling som er administratorer på systemet - har stoppet sikkerhedsbruddet ved at begrænse adgangen til bestillingssagerne til tre personer, hvis arbejde det er at løse sagerne. Uvedkommende har derfor ikke længere adgang, hverken til fremtidige eller allerede eksisterende sager.
KU-IT er i gang med at slette data i systemet, som universitetet ikke længere har behov for og vil også indføre en bedre og mere systematisk sletning af persondata fra IT-systemet, og vil sørge for sikrere procedurer fremover.
De ansatte, som har haft adgang til de persondataene, er alle underlagt tavshedspligt.
Har du spørgsmål?
Hvis du har spørgsmål er du velkommen til at kontakte Københavns Universitets Databeskyttelsesrådgiver: dpo@adm.ku.dk