Alle 7.011 ansatte på Syddansk Universitet (SDU) fik potentielt adgang til at se 417 ansøgninger. Det skete i forbindelse med en softwareopdatering i universitetets HR-system, hvor rettighedsstyringen nulstillet.

Universitet havde ikke testet softwareopdateringen tilstrækkeligt forud for implementeringen og opdagede derfor først den ændrede rettighedsstyring efterfølgende, skriver Datatilsynet i en pressemeddelelse.

SDU anvender et HR-system, hvor ansatte kan tildeles en rolle, så de kan få adgang til ansøgninger. Men ifølge SDU’s egne bemærkninger til sagen, havde softwareleverandøren ikke oplyst om, at der ville ske ændringer i den rollestyring, som følge af softwareopdateringen. Derfor var det ikke muligt at lave en forudgående test, som ellers er praksis.

Selvom softwareleverandøren ikke fyldestgørende har oplyst om opdateringens omfang bortfalder den dataansvarliges ansvar dog ikke, konstaterer Datatilsynet i sin afgørelse.

Finanstilsynet får alvorlig kritik for manglende datasikkerhed

Statens IT udelukker hackerangreb som årsag til nedbrud