Opiskelijat pystyivät lukemaan toistensa yksityisiä tietoja Turun yli­opiston järjestelmässä

Tietosuojaongelma jatkui miltei viisi kuukautta. Tänä aikana järjestelmässä oli yli 3 000 hakemusta, joista 21:tä tarkasteltiin luvatta.

Järjestelmässä havaittu virhe koski sähköistä lomaketta, jolla haetaan lisäaikaa opintoihin yliopistolla.

2.5. 19:30

Turun yliopiston sähköisessä tietojärjestelmässä havaittiin maaliskuun lopussa virhe, jonka vuoksi järjestelmään kirjautuneet pääsivät tarkastelemaan muiden käyttäjien tietoja.

Virhe koski sähköistä lomaketta, jolla haetaan lisäaikaa opintoihin yliopistolla. Tietosuojaongelman vuoksi opiskelijat pääsivät lukemaan toistensa lomakkeita, jotka voivat sisältää arkaluontoisia tietoja.

”Tietoturvaloukkaus tuli ilmi, kun opiskelija oli yhteydessä yliopistoon ja kertoi nähneensä muiden opiskelijoiden hakemuksia sähköisen lomakkeen listanäkymässä”, kertoo Turun yliopiston tietosuoja­vastaava Onerva Steudle sähköpostitse.

Opiskelijoiden hakemuksista on esimerkiksi voinut paljastua, että syy opinnoille haettavalle lisäajalle on sairaus.

”Terveystietoja sisältävät hakemuksen liitteet on kuitenkin ohjeistettu lähettämään toista kautta suoraan hakemuksen käsittelijälle.”

Steudlen mukaan yliopistolla ei ole tiedossa tarkasteltuihin lomakkeisiin liittyviä väärinkäytöksiä.

Virhe tapahtui yliopiston digipalveluiden omassa ylläpidossa ohjelmistomuutosten yhteydessä, kun käyttöoikeudet järjestelmän tietoihin määriteltiin vahingossa väärin.

Tietosuojaongelma oli voimassa miltei viisi kuukautta ajankohtien 8. marraskuuta 2021 ja 29. maaliskuuta 2022 välisenä aikana. Tänä aikana järjestelmässä oli yhteensä 3 051 hakemusta.

”Tämäntyyppisiä virheitä on valitettavasti erittäin vaikea kokonaan välttää ja löytää monimutkaisessa ympäristössä”, Steudle selittää.

Virhe on korjattu ja asiasta on kerrottu järjestelmän käyttäjille.

Yliopiston selvityksen mukaan 21 hakemusta oli avattu luvatta. Opiskelijat ovat saaneet tiedon heidän hakemustensa luvattomasta tarkastelusta.

Steudle kertoo yliopiston tekevän yhteistyötä poliisin ja tietosuoja­valtuutetun kanssa. Yksittäisen opiskelijan ei ilman erityistä syytä tarvitse olla yhteydessä viranomaisiin.

”Yliopistolla on tallessa lokitiedot tapahtuman ajalta, joista tarvittaessa voidaan selvittää, ketkä tietoja ovat tarkastelleet.”

Tietosuojaongelmasta on tehty ilmoitus tietosuojavaltuutetulle.

”Tietosuojavaltuutettu valvontaviranomaisena arvioi, onko rekisterinpitäjä toiminut tilanteessa asianmukaisesti ja onko tarvetta jatkotoimenpiteille.”

Seuraa ja lue artikkeliin liittyviä aiheita

Osaston uusimmat

Luitko jo nämä?

Osaston luetuimmat