Persondata-læk rammer CBS’ udvekslingsstuderende

Skrevet af Bjørn Hyldkrog - Foto: Tadamichi @ Dreamstime.com - 7. januar 2016 - 15:020 kommentarer
1100 kommende udvekslingsstuderendes pasoplysninger, cpr-numre, karakterblade og sprogtest samt sagsbehandlingen af deres udvekslingsansøgninger lå tilgængelige via e-campus i knap 10 timer natten mellem tirsdag og onsdag.

OPDATERES: 1100 kommende udvekslingsstuderendes pasoplysninger, cpr-numre, karakterblade og sprogtest samt sagsbehandlingen af deres udvekslingsansøgninger lå tilgængelige via e-campus i knap 10 timer natten mellem tirsdag og onsdag.

Onsdag den 6. januar var det fremme i flere medier, at fortrolige oplysninger om 1100 CBS-studerende lå "frit tilgængeligt på skolens hjemmeside i et halvt døgn".

Det er også tilfældet, selv om Ekstra Bladets fremstilling om, at oplysningerne lå ”til offentligt skue på skolens hjemmeside” ikke holder helt.

Sagen er, at de 1100 CBS-studerendes komplette sagsmapper vedrørende deres kommende udvekslingsophold i 2016-17 (og kun deres) – med alle de ovennævnte personfølsomme oplysninger – kunne findes via e-campus fra klokken 23 den 5. til kl. 8.45 den 6. januar.

For at finde frem til oplysninger, skulle man først gå fra e-campus' forside ind på ”International Office” –> derfra videre ind i ”List of Exchange places” –> derfra videre ind i MoveOn-søgefunktionen ”See list of CBS Partner Universities and exchange places” –> derfra videre ind i en side om et enkelt universitet og så dér ind på fanen ”Travel Reports” (der lige nu er lukket ned).

Gik på mail og Facebook til medstuderende

Den oprindelige studerende, der opdagede, at oplysningerne lå tilgængelige, reagerede ikke ved at kontakte CBS, men ved at kontakte sine medstuderende og fortælle, at man kunne finde afgørelsen om sit udvekslingsophold under ’Travel Reports’.

Derfra gik rygtet via mail og Facebook.

CBS’ International Office reagerede øjeblikkeligt, den første medarbejder erfarede, at de personfølsomme oplysninger var tilgængelige, om morgenen onsdag den 6. januar. Hullet blev lukket, Datatilsynet blev orienteret, og senere på dagen modtog de berørte studerende en mail om problemet.

- Det her må slet ikke kunne ske. Vores ’back office’ platform for behandling af de studerendes ansøgninger om udveksling skulle fungere som en vandlås for alle andre end medarbejderne i International Office, fortæller en irriteret og dybt beklagende International Office-direktør, Tom Dahl-Østergaard.

Brandslukning for fuld mediebevågenhed

Om det må eller ikke må kunne ske, så skete det, og siden har Tom Dahl-Østergaard jongleret en fuldstændig kulegravning af lækagens opståen og omfang hos den tyske it-leverandør MoveOn, besvarelse af utallige henvendelser fra bekymrede studerende (og deres forældre) samt en mediestorm.

En af de berørte CBS-studerende gik nemlig til Ekstra Bladet med historien, hvorfra den bredte sig til andre medier så som MetroXpress og TV2 Lorry.

”Vi er en del, der er temmelig berørte. Vi frygter selvfølgelig, at vore oplysninger kan blive brugt af it-kriminelle til aktiviteter, som vi ikke selv ønsker at tage del i,” bliver den anonyme CBS-studerende citeret for at sige i Ekstra Bladets artikel.

Til det kunne Tom Dahl-Østergaard i går fortælle, at der umiddelbart ikke er tegn på, at de studerendes peronfølsomme oplysninger florerer på nettet eller kan søges gennem for eksempel Google.

CBS kræver garanti for, at det aldrig kan ske igen

Lækagen lå ikke på CBS’ egne it-systemer, men på den tyske leverandør af it-software, MoveOn’s CBS-side. Det er den side, der samler de relevante oplysninger om CBS’ partneruniversiteter, herunder ’travel reports’ fra tidligere udvekslingsstuderende.

MoveOn-websiden er også den portal, som CBS-studerende, der vil på udveksling på et af CBS’ partneruniversiteter i udlandet, skal indsende deres ansøgning til – og dermed den platform, som International Office’s medarbejdere foretager den videre sagsbehandling på.

- Det er ikke bare dybt beklageligt, men også meget alvorligt, at de 1100 sagsmapper har ligget offentligt tilgængelige, siger Tom Dahl-Østergaard og fasattrslår:

- Hvis ikke MoveOn kan garantere mig, at sådan noget aldrig vil kunne ske igen, er jeg parat til at afbryde samarbejdet – også om vi så skulle gå tilbage til en papirbehandling af ansøgningerne.

International Office-direktøren har afkrævet MoveOn oplysninger om, hvor mange og hvilke af de CBS-studerendes sagsmapper, der er blevet tilgået af hvor mange hen over natten mellem den 5. og 6. januar, så han kan få et præcist overblik over problemets reelle omfang.

CBS OBSERVER vil opdatere denne artikel med de oplysninger, så snart de foreligger.

I mellemtiden er udsendelsen af de såkaldte ’nomineringsbreve’ – de officielle breve, som CBS’ International Office sender ud til de studerende om, hvilket udvekslingsuniversitet de er blevet optaget på – blevet forsinket.