Datatilsynet har vedtatt et overtredelsesgebyr på 150 000 kroner til Universitet i Agder (UiA) for brudd på personvernforordningen. Universitetet hadde ikke iverksatt egnede tiltak for å ivareta personopplysningssikkerheten i bruken sin av Microsoft Teams.
I februar 2024 avdekket en ansatt ved UiA at dokumenter med personopplysninger hadde vært lagret i åpne Teams-mapper, hvor ansatte uten tjenstlig behov har hatt tilgang. Avviket har pågått siden universitetet tok i bruk Microsoft Teams i august 2018.
Personopplysningene har ligget tilgjengelig inne i systemet, og ansatte har kunnet få tilgang gjennom søk i åpne mapper. Avviket omfatter dokumenter med personopplysninger om ansatte, studenter og eksterne aktører. Rundt 16 000 registrerte er berørt.
Opplysningene omfatter blant annet navn, fødselsnummer, opplysninger om tilrettelagt eksamen, antall eksamensforsøk og særordninger. I tillegg har avviket omfattet en oversikt over flyktninger fra Ukraina tilknyttet universitetet, med opplysninger som kontaktinformasjon, utdanning og bosettingsstatus.
I de fleste tilfeller var det kun ansatte ved UiA som hadde tilgang. Universitetet er pålagt å sørge for at ansatte ikke har tilgang til personopplysninger de ikke har tjenstlig behov for. Dette innebærer å ha gode rutiner og opplæring av ansatte i skjerming av personopplysninger i systemene som universitetet benytter. I tillegg foreligger det en plikt til å etablere systemer for logging og etterfølgende kontroll som gjør det mulig å avdekke avvik.
Vedtak om overtredelsesgebyr til Universitetet i Agder (pdf).