Aarhus University Seal / Aarhus Universitets segl

Stadig AU-cpr-numre på nettet

Selv om både forskere og administrativt ansatte er blevet mere påpasselige, er det stadig muligt at finde cpr-numre på AU-ansatte på nettet. Kun opmærksomhed hos den enkelte medarbejder på universitetet kan løse problemet, siger en forsker.

Af Kristian Serge Skov-Larsen
ksl@adm.au.dk

Syv cpr-numre på navngivne AU-ansatte og studerende.
    Det var resultatet af UNIvers-redaktionens leg med internettets søgemaskiner i et par timer.
    Et par stykker lå i forskningsansøgninger, resten lå i cv’er og publikationsoversigter – undtagen det ene, som blev fundet i en officiel PowerPoint-præsentation lavet af en afdeling i administrationen.
    Men selvom det er et problem, at der stadig kan findes fortrolige data om AU-ansatte, er det generelt blevet meget bedre, forklarer adjunkt Mads R. Dahl fra Institut for Folkesundhed, der i flere år har forsket i datasikkerhed på det sundhedsvidenskabelige område.
   – Der vil til enhver tid ligge personfølsomme data om universitetsansatte på nettet. Filer kan kopieres meget hurtigt, og hvis ikke man er 100 procent opmærksom, så går det galt. Men når det er sagt, vil jeg også gerne understrege, at bevidstheden om datasikkerhed er blevet meget højere, siden vi begyndte vores forskning for tre år siden, forklarer han.

Vil gerne vise forskningen

Og der er desværre god grund til at holde sit cpr-nummer væk fra uvedkommendes kløer. I de seneste år har en række danskere været udsat for såkaldte identitetstyverier, hvor tyve bruger cpr-nummeret til både at oprette telefonabonnementer i offerets navn og svindler sig adgang til de udsattes bankkonti.
    Derfor er det også et nummer, man bør holde tæt ind til kroppen, understreger Mads R. Dahl.
   – Generelt opstår fejl, fordi vi rigtig gerne vil vise et godt og ægte billede af vores forskning og universitetet som helhed, når vi underviser, holder foredrag og fremlægger vores resultater. Men hvis man har adgang til fortroligt materiale, skal man være ekstra opmærksom på, at man ikke ufrivilligt kommer til at afsløre mere, end man havde planlagt.

Kan nemt smutte i Office-pakken

Men korrekt behandling af data handler om meget mere end cpr-numre. Man skal også passe på den banebrydende forskning, de endnu ikke offentliggjorte dokumenter eller bare de små personlige kommentarer skrevet til et foredrag, som man helst ikke vil vise andre, forklarer Mads R. Dahl.
    Et godt eksempel på, hvordan data bliver tabt, er, når tabeller bliver kopieret direkte fra Excel til PowerPoint og Word. Hvis ikke de sættes ind på den rigtige måde, har læserne af det nye dokument – det kan f.eks. være folk, der efterfølgende downloader en præsentation på nettet – adgang til hele det bagvedliggende datasæt. På den måde har UNIvers f.eks. fået adgang til hele det interne regnskab for et institut på universitetet, og laver en forsker samme fejl, kan det give konkurrerende forskergrupper adgang til hele undersøgelsesmaterialet. Men det er langtfra det værste eksempel, fortæller Mads R. Dahl.
   – I forbindelse med vores undersøgelser af datasikkerheden i Danmark fandt vi bl.a. en PowerPoint hos Statens Seruminstitut med cpr-numrene på 13 hivpatienter, som var blevet lagt ud ved en fejl. Det kan selvsagt have meget store menneskelige konsekvenser, hvis den slags oplysninger bliver offentligt tilgængelige, siger adjunkten.

Ansvaret er den enkeltes

Sammen med sin forskergruppe har Mads R. Dahl allerede publiceret en række artikler om datasikkerhed, lavet en plakat med de vigtigste huskeregler og er også undervejs med en artikel om pdf-formatets sikkerhedsproblemer.
    Ansvaret for, hvad der ligger på universitetets hjemmesider, hvor UNIvers fandt en del af cpr-numrene på studerende og ansatte, er i sidste ende universitetets. Men i virkeligheden kan kun den enkelte medarbejder sørge for, at fortrolige oplysninger ikke slipper ud.
   – En god huskeregel er, at man skal tænke sig om, så snart man sender noget ud af huset, hvad enten det er på internettet, via mail eller ved at give en elektronisk fil på USB. For så snart man mister kontrollen med sine data, og de for eksempel ender på internettet og i de amerikanske søgemaskiner, kan det være meget svært at få dem fjernet igen, siger forskeren.

 Alle ejermænd af de cpr-numre, som UNIvers har fundet på nettet, er blevet underrettet.

 

 

 

Tre gode råd om at passe på personlige oplysninger

Mere adgang lig med mere opmærksomhed

De store fejl bliver altid begået af direktøren, professoren eller afdelingslederen, fordi de har fuld adgang til hele datasættet eller de allermest personlige oplysninger, og det er ofte dem, som laver mange præsentationer uden for murerne – både de fysiske og de virtuelle sikkerhedsmure.. Har du fuld adgang til særligt følsomme oplysninger, skal du derfor passe ekstra på.

Giver du personlige oplysninger væk i dine illustrationer?

En tabel kan være indlejret, så hele datasættet er med. Et billede kan være gjort mindre for at skjule et cpr-nummer, men kan nemt gøres større igen. Et screendump kan indeholde utilsigtede oplysninger. Vær ekstra opmærksom på, hvad du får med, når du illustrerer dine præsentationer, og lav PowerPoints til PDF, inden de bliver lagt på nettet. En PDF kan dog stadig indeholde fortrolige oplysninger om f.eks. forfatter og fabrikationssted.

Pas på, når du publicerer

Mange har med fortrolige oplysninger at gøre i det daglige i interne dokumenter og brevvekslinger. Men så snart man lægger dokumenterne på internettet, deler det elektronisk ud til sine studerende eller udleverer det til en interesseret konferencedeltager på en USB, er oplysningerne offentliggjort og uden for forfatterens kontrol.

 

Q&A

Flemming Bøge, it-vicedirektør på Aarhus Universitet, om UNIvers’ fund af personlige oplysninger på nettet.

 

Er du overrasket over, at vi kunne finde syv AU-ansattes cpr-numre på nettet?

– Både ja og nej. I sommeren 2009 gennemførte Datatilsynet en kampagne over for universiteterne efter en sag, hvor Aalborg Universitet havde lagt en række personlige sundhedsfaglige data på nettet, og i den forbindelse fandt de kun et enkelt cpr-nummer på au.dk. Det var netop i en forskningsansøgning, hvor I også har fundet et par af jeres numre. Jeg ved ikke, om I har søgt lidt bredere eller lidt mere grundigt, men syv numre bekymrer mig en smule, uden at vi vil sætte gang i de helt store tiltag af den grund.

 

Hvem skal tage ansvar for, at ingen personlige oplysninger om AU-ansatte og studerende ender på nettet?

– I allersidste instans er det rektor, Men i praksis ligger ansvaret hos den enkelte person, der offentliggør materiale på internettet. Det eneste, der virkelig kan løse problemet, er lidt omtanke, inden man trykker "send" eller "publicer".

 

Hvad kan Fælles IT gøre for at minimere problemer?

– Vi kan lave kampagner om nødvendigheden af at passe på personlige oplysninger, så de ansatte hele tiden har det fremme i bevidstheden. Vores enhed for informationssikkerhed vil netop igangsætte en sådan kampagne senere på året. Samtidig kan vi også hjælpe med at begrænse skaden, når oplysningerne allerede er ude. De fleste tror, at det er for sent, hvis noget allerede er på internettet, men selvom vi ikke kan udstede nogen garantier, kan vi godt hjælpe med at gøre de lækkede oplysninger mindre synlige.

 

Læs mere om it-sikkerhed på Aarhus Universitet på www.au.dk/om/politik/it/sikkerhed/ 

 

Se, hvordan du får fjernet personlige oplysninger fra Google, ved at søge på "fjern en side" i søgefeltet på www.google.com/support