Internrevsionen kritiserar Lunds universitets hantering av studenter och anställdas personuppgifter. Universitetet säger att de tar kritiken till sig men har gett sig själva fram till år 2018 att åtgärda problemet – och tills dess vet universitetet inte om man kan säkerställa skyddet för studenters känsliga uppgifter.
Lunds universitets hantering av personuppgifter är otillräcklig. Det konstaterade internrevisionen i början av september, efter en genomgång av universitetets organisation och resurser. Bland annat saknas rutiner för förteckning av de behandlingar som finns inom universitetet och det finns även en bristande uppföljning och kontroll av hanteringen. Universitetet bedöms i övrigt ha ett stort behov av att se över rutiner och riktlinjer eftersom dessa inte varit tillräckligt tydliga. Bland annat framgår det inte hur den som behandlar personuppgifter ska gå tillväga för att säkerställa att dessa uppgifter är tillräckligt skyddade. Universitetet har även bristande rutiner vad gäller att klassificera och ta hand om känsliga personuppgifter på ett säkert sätt, vilket kan leda till att man lagrar dessa uppgifter i molntjänster där universitetet inte har kontroll över skyddet.
Ansvaret 1/5 av en anställning
Gunilla Norberg, revisionschef vid internrevisionen, menar att en del av problemet är att personen som ansvarar för att säkerställa skyddet för personuppgifter innehar en anställning där denna arbetsuppgift bara ska ta tjugo procent av arbetstiden.
– Vi vet inte hur stor del av en tjänst den uppgiften borde vara, men vi kan konstatera att tjugo procent inte räcker, säger hon.
Mer risker än att något har hänt
I maj 2018 inträder en ny dataskyddslag om ökade krav på bolag och myndigheter som handskas med personuppgifter att ha resurser nog att skydda sin information. Då internrevisionens granskning gjorts med de ändrade reglerna i åtanke vill Gunilla Norberg understryka att kritiken inte så är ett resultat av att problem de facto har uppstått men att man ser att de skulle kunna uppstå.
”Känns inte tryggt”
Pontus, student vid Lunds universitet, tycker dock att det faktum att universitetet förvarar personuppgifterna i molntjänster gör att det inte känns särskilt tryggt att lämna ut uppgifter till dem.
– De flesta personuppgifter är offentliga idag men det finns viss känslig information som universitetet har särskild tillgång till. Till exempel information om i fall man är i behov av särskilt stöd för att man har dyselexi. Det känns inte tryggt om sådan information kan läcka ut.
Ska se över alla rutiner
På Lunds universitet tar man allvarligt på kritiken.
– Vi tycker absolut att det finns en del att göra här och har satt samman ett projekt där en projektledare kommer se över alla rutiner, säger Susanne Kristensson, förvaltningschef på universitetet.
Hur har problemen kunnat uppstå från början? Borde det inte vara högprioriterat att se till att personuppgifter är säkra hos er?
– Bara för att det finns områden där vi måste förbättra oss på så betyder det inte att det inte varit högprioriterade från början. Vi ser hela tiden förbättringspotential inom processer men tyvärr är allting inte perfekt från första början, säger Susanne Kristensson.
Lus inte så oroliga
Lunds universitets studentkårer har tagit del av både rapporten och rektorns yttrande.
– Vi håller med internrevisionen om att det här är brister som måste åtgärdas, men det handlar mer om risker som pekas ut och som måste fixas än att en kränkning faktiskt har skett och därför är vi inte så oroliga. Men det är såklart ett problem för den som behöver mer känslig behandling av sina uppgifter om allting inte sköts på rätt sätt, säger Jack Senften.
Pontus heter egentligen något annat.
