Boka kurs

Norge: Universitetet Agder får 150 000 norska kronor i sanktionsavgift för att ha gett anställda och studenter tillgång till personuppgifter

Linkedin Facebook X-twitter Envelope

Datatilsynet har utfärdat en sanktionsavgift på 150 000 norska kronor mot Universitetet Agder (UiA) för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att en medarbetare vid UiA upptäckte att en öppen Microsoft Teams-mapp gav alla anställda och studenter tillgång till dokument som innehöll personuppgifter. Till exempel hänvisade fyra dokument till 4 851 anställda och 10 419 externa personer som nämndes med namn, personnummer, anställningsnummer, uppsägningsdatum och organisatorisk enhet. Andra dokument innehöll exempelvis en examensöversikt för 568 studenter eller personuppgifter för 64 ukrainska flyktingar. Efter att ha fått meddelandet från den anställde ändrade UiA omedelbart åtkomstinställningen för mapparna. Den nya inställningen innebar att varje anställd som ville få tillgång till mappen måste godkännas av mappens ägare.

UiA underrättade Datatilsynet i enlighet med artikel 33 GDPR och berörda registrerade i enlighet med artikel 34 GDPR om personuppgiftsincidenten. Dessutom publicerade UiA en detaljerad beskrivning av händelsen på sin webbplats. UiA kunde inte bekräfta om de anställda och studenterna hade interagerat med eller laddat ner uppgifterna.

Efter en utredning av incidenten konstaterade Datatilsynet att sekretessen för uppgifterna kränkts. Personuppgifterna blev fritt tillgängliga för cirka 1 200 anställda och 12 000 studenter hos UiA. UiA inte heller någon adekvat loggkontroll, vilket gjorde det omöjligt att bedöma hur många personer som hade tillgång till uppgifterna. Samtidigt underlät UiA att införa interna rutiner och utbildning av de anställda när det gällde användningen av Microsoft Teams. Dessutom var den ursprungliga inställningen felaktig, eftersom det inte fanns någon kontroll över vilka anställda som hade tillgång till uppgifter som lagrats i Microsoft Teams eller någon möjlighet att upptäcka obehörig åtkomst i förväg. Datatilsynet ansåg därför att UiA underlåtit att vidta lämpliga säkerhetsåtgärder i enlighet med artiklarna 24 och 32 GDPR, vilket ledde till personuppgiftsincidenten.

Mer information

Myndighet: Datatilsynet

Land: Norge

Lagrum: Art. 24 GDPR, art. 32 GDPR, art. 58 GDPR, art. 83 GDPR

Sanktionsavgift: 150 000 norska kronor

etMottagare: Universitetet Agder

Beslutsnummer: 24/00793-9

Beslutsdatum: 2024-09-04

Källa: Beslut

Relaterade nyheter

Italien: Företag får 5 000 euro i sanktionsavgift för olaglig direktmarknadsföring

Sverige: IMY bedömer rättsliga förutsättningar för AI-transkribering i socialtjänsten

Italien: Bank får 31,8 miljoner euro i saktionsavgift för bristande säkerhetsåtgärder och otillräcklig incidenthantering

Spanien: Biluthyrningsföretag får 3 600 euro i sanktionsavgift för olaglig kamerabevakning

Italien: Mediabolag får 40 000 euro i sanktionsavgift för otillåten publicering av privata ljudinspelningar i dokumentärserie

Sverige: Myndigheten för civilt försvar remitterar nya cybersäkerhetsföreskrifter

Spanien: Företag får 120 000 euro i sanktionsavgift för spridning av personuppgifter

Spanien: Restaurang får 800 euro i sanktionsavgift för olaglig kamerabevakning

EU: Parlamentet antar ståndpunkt om ändringar i AI-förordningen

Sverige: IMY inleder granskning av kamerabevakning i grundskola i Stockholm

Fler nyheter

Kostnadsfritt webbinarium om förslag till ändringar i AI-förordningen

Vi går igenom EU-kommissionens föreslagna ändringar i
AI-förordningen och vad de kan innebära i praktiken för organisationer som omfattas av regelverket.

Till webbinaret