Beklager: Organisasjonsdirektør Ida Munkeby i NTNUs beklager overfor studenten at sensitiv informasjon kom på avveie. Foto: NTNU

For første gang har Datatilsynet ilagt gebyr i en sak som handler om håndtering av sensitive opplysninger om en students skikkethet.

NTNU har brutt både personopplysningsloven og personopplysningsforskriften, mener Datatilsynet.

NTNU blir størst på informasjonssikkerhet

Gebyret har sammenheng med saken der en student ble stengt ute fra studiet etter at NTNU og den nasjonale Felles klagenemnd mente studenten var uskikket til å bli psykolog. Sør-Trøndelag tingrett konkluderte imidlertid med at vedtaket var ugyldig. Dermed får studenten starte på studiene igjen – hvis saken ikke ankes.

Nå må NTNU i tillegg tåle hard kritikk for sin håndtering av sensitive opplysninger i samme sak.

Trykket «svar alle»

Saken startet da det ble sendt ut en epost om inndeling av studentkullet i grupper som skulle ut i praksis. En ansatt ved psykologisk institutt besvarte eposten for å informere om at en av studentene var under vurdering om skikkethet, og ikke skulle ut i praksis. I stedet for å trykke «svar», trykket den ansatte på «svar alle». Dermed gikk eposten ut til alle studentene på kullet og flere ansatte. Fakultet for samfunnsvitenskap og teknologiledelse informerte ikke Datatilsynet om glippen.

Kritiserer NTNU-ledelsen

Datatilsynets kritikk er langt mer grunnleggende enn tabben med å trykke «svar alle». Vurdering av skikkethet er en svært alvorlig sak for enkeltpersonen og vil omfatte dokumentasjon av svært sensitiv karakter. Derfor kreves en høy grad av informasjonssikkerhet. NTNU må sørge for at kommunikasjonen i slike saker foregår via sikre kanaler, for eksempel gjennom kryptering, mener Datatilsynet. Universitetet har vist en fraværende bevissthet om hvordan så sensitive opplysninger skal håndteres forsvarlig, og tilsynet pålegger NTNU å sørge for skikkelige rutiner og at medarbeidere har nødvendig kunnskap om dem.

Har ikke ledelsen ved NTNU kommunisert hvor viktig konfidensiell korrespondanse er i slike sensitive saker, kan man heller ikke forvente at ansatte er seg dette bevisst, er den klare beskjeden. Å legge ut informasjon på intranettet er ikke nok.

- Bare initialene

Underveis i saken har NTNU argumentert med opplysningene ikke kunne knyttes til en enkeltperson, fordi bare studentens initialer var brukt. NTNU hevdet også at opplysningene ikke kunne være konfidensielle, fordi et flertall av mottakerne av eposten allerede var kjent med at det var levert en bekymringsmelding om den aktuelle studenten. Dette kaller Datatilsynet en alvorlig feilvurdering. Tilsynet mener at NTNU har bagatellisert forhold som kan ha fått alvorlige konsekvenser for enkeltpersonen. NTNU erkjente heller ikke alvoret i saken etter at Datatilsynet grep inn. Det reageres også på at NTNU, etter at universitetet måtte redegjøre for saken, ikke så behov for lage en plan for hindre at lignende feil skjer igjen.

Tilsynet kaller NTNUs handlemåte en betydelig krenkelse av grunnleggende interesser som er vernet av loven. Opplysningene om at det foregår en skikkethetsvurdering kan alene ha betydning både for hvordan studenten blir møtt av sine medstudenter, og for senere jobbsøking og utøvelse av yrket. Det er heller ikke mulig å forsikre seg om at den sensitive informasjonen er slettet hos alle som mottok eposten, understreker Datatilsynet.

Håper på læring

- At mennesker gjør feil har vi en god porsjon forståelse for, sier direktør Bjørn Erik Thon i Datatilsynet.

- Her har manglende rutiner gjort at feil ikke fanges opp og at sensitiv informasjon kommer på avveie. For eksempel finnes god teknologi som hindrer at «svar alle» kan brukes på informasjon som er merket som sensitiv. I saker som handler om skikkethet kan informasjonen være svært sensitiv og få store konsekvenser for den det gjelder, hvis den kommer ut. Jeg håper universiteter og høyskoler er seg dette bevisst og tar lærdom av denne saken. Det er et paradoks at dette skjer ved en institusjon som utdanner folk i informasjonssikkerhet, men vi har ikke grunn til å tro at NTNU er en versting. Mitt inntrykk er at ledelsen nå tar dette på alvor, sier Thon.

Foreløpig dreier det seg om et varsel om et gebyr på 75 000 kroner, eventuelt nye opplysninger kan endre beløpet eller også føre til at gebyret frafalles.

Studenttinget kritisk

- Åpenbart kritikkverdig av NTNU, sier Jone Trovåg, leder for Studenttinget ved NTNU.

- En student skal være sikker på å bli rettferdig og korrekt behandlet. Det er ikke bra at et universitet med så mye kunnskap om informasjonssikkerhet kan bomme så mye, sier Trovåg.

Studentlederen forventer at NTNU får på plass rutiner som sikrer behandlingen av følsom informasjon og at avvik blir rapportert.

- Det har vært veldig få skikkethetssaker ved NTNU. Det virker som de ikke var forberedt på denne type saker, sier studenttingslederen.

Han tror imidlertid ikke saken vil skade merkevaren NTNU.

- Saken må tas på alvor, men jeg er ikke bekymret for NTNUs gode navn og rykte.

Forventer sikkerhet: Jone Trovåg, leder i Studenttinget, forventer at NTNU får på plass sikre rutiner for sensitiv informasjon. Foto: Stundenttinget