Personuppgiftspolicy

Vi vill informera dig om vår policy som beskriver hur vi behandlar personuppgifter och cookies.

Läs mer

Skolan mörkade IT-larm om studenternas sexliv

Här är fler av dagens inrikes-toppnyheter.
Högskolan i Skövde har anmält ett tekniskt kryphål till Datainspektionen, men studenterna informerades aldrig. Foto: Högskolan i Skövde

Högskolan mörkade säkerhetsrisken för studenterna.

Risk för läckage av elevernas ”sexualliv och sexuella läggning” larmades till Datainspektionen – men de drabbade studenterna informerades aldrig.

– Vi står för den bedömning som vi har gjort, säger Ulf Nylén på Högskolan i Skövde.

Den interna incidentrapporten, som GT begärt ut, visar att larmet om felet kom den 30 augusti.

Meddelandet löd:

”Det går att komma åt dokument från W303 som ska vara skyddade genom att ändra fileId i funktionen i WebDiariet som returnerar filerna.”

Det till synes kryptiska larmet betyder att personal på högskolan kunde komma åt känsliga uppgifter om skolans elever. 

Läckagerisk

En anmälan gjordes till Datainspektionen den 2 september. Enligt anmälan fanns uppgifter om ”sexualliv och sexuell läggning” bland de uppgifter som omfattades av läckagerisken och som obehöriga på skolan kunde komma åt.

Felet ska ha upptäckts under ett samtal mellan anställda på skolan. 

”Under ett resonemang mellan registrator och systemutvecklare gällande utveckling av befintligt webdiarium framkom att sekretessmärkta dokument eller filer i vårt vårt diarium W303 kunde kommas åt via det öppna web-diariet, om man var tekniskt driftig...”

Ärendet är nu under handläggning hos Datainspektionen, varefter beslut tas om en tillsyn ska inledas. Foto: Högskolan i Skövde

Enligt anmälan gäller incidenten bland annat läckagerisk för uppgifter om hälsa, sexualliv eller sexuell läggning, personnummer, födelsedatum och kontaktinformation. 

Av anmälan framgår också att skolan valt att inte informera de drabbade studenterna om incidenten. 

Och att man inte heller har för avsikt att göra det i det framtiden. 

Högskolan i Skövde har enligt senaste årsredovisningen 542 anställda och 8 418 studenter, varav 3 492 helårsstudenter.

Ulf Nylén är tillförordnad chef för rektors kansli och ledningskommunikatör på Högskolan i Skövde. Foto: Högskolan i Skövde

Ulf Nylén är tillförordnad chef för rektors kansli och ledningskommunikatör på Högskolan i Skövde. 

– Det här rör vårt interna webbdiarium. Det fanns en risk för att man kunde komma åt ärenden i diariet som var sekretessklassade. Med ett viss tekniskt kunnande fanns det en risk att man kunde komma åt det, men vi har inga indikationer på att så har skett. 

Nylén säger att det förekommit trakasseriärenden där uppgifter om sexuell läggning kan ha framkommit i uppgifterna som funnits tillgängliga. 

Varför hade ni uppgifter om sexuell läggning?

– Vi registrerar inte sexuell läggning. Men diskrimineringslagen gör att vi är skyldiga att utreda saker som kan inträffa mellan studenter. Utredningen diarieförs då under sekretess. Om det finns minsta risk att någon obehörig kan ha kommit åt dessa sekretessklassade ärenden, då blir en automatiskt följd att man kryssar rutan vid anmälan till Datainspektionen.

– Låt säga att man utreder ett trakasseriärende mellan två studenter. Till exempel en stormig kärleksrelation som gör att något händer på campus. Av en sådan utredning kan det indirekt framgå vilken sexuell läggning någon har. Därför är den också diarieförd under sekretess.

Varför har ni inte informerat studenterna om händelsen?

– Vi har gjort bedömningen att det var en incident på sådan nivå att vi ej behövde informera. Vi står för den bedömning som vi har gjort i rapporteringen till Datainspektionen. Sen får de avgöra om vi skulle ha gjort en annan bedömning. 

– Viktigt här är att betona att vi inte har några indikationer på att uppgifter läckt, att vi själva upptäckte och täppte till hålet genast, att vi sen anmälde oss själva samt att webbdiariet ej är tillgängligt utåt utan endast för högskolans personal.

Ärendet hos Datainspektionen 

GT har sökt rektorn, professorn i datavetenskap Lars Niklasson, som enligt Ulf Nylén inte funnits tillgänglig för en kommentar. 

Ärendet är nu under handläggning hos Datainspektionen, varefter beslut tas om en tillsyn ska inledas. 

En sådan granskning kan mynna ut reprimander, förelägganden eller administrativa sanktionsavgifter.

”Datainspektionen har tagit emot en anmälan om personuppgiftsincident från Högskolan i Skövde. Den anmälan är under handläggning och det kan ta ett par månader innan slutligt beslut fattas i ärendet”, uppger Per Lövgren, pressekreterare på Datainspektionen, i ett mejl.