De Noorse privacytoezichthouder heeft een universiteit in het land wegens een datalek veroorzaakt door een open Microsoft Teams-map een AVG-boete van omgerekend 13.000 euro opgelegd. De Universiteit van Agder werkt sinds 2018 met Microsoft Teams en SharePoint. Een universiteitsmedewerker ontdekte begin dit jaar een open Teams-map met daarin documenten vol persoonlijke data die voor alle medewerkers en studenten toegankelijk waren.
In de documenten stonden gegevens van ruim zestienduizend mensen, waaronder medewerkers en studenten. Het ging onder andere om contactgegevens, naam en burgerservicenummer. De data ging terug tot 2014. Daarnaast bevatte de map gegevens over examens van een kleine zeshonderd studenten en persoonlijke gegevens van 64 Oekraïense vluchtelingen (pdf).
Na te zijn ingelicht veranderde de universiteit de toegangsinstellingen van de map en meldde het datalek bij de Noorse privacytoezichthouder Datatilsynet. Tevens werden gedupeerden ingelicht. Verder onderzoek van de toezichthouder wees uit dat gegevens van medewerkers en studenten niet goed beveiligd waren. Daarnaast ontbrak adequate logging, waardoor onbekend is hoeveel mensen de gegevens hebben ingezien.
Tevens bleek de universiteit geen interne procedures en training te hebben voor het gebruik van Microsoft Teams door het eigen personeel. Ook waren de toegangsinstellingen vanaf het begin verkeerd ingesteld. De universiteit heeft daarmee de AVG op verschillende punten overtreden, aldus de toezichthouder. Die stelt dat gezien het grote aantal getroffen personen een boete van een kleine dertienduizend euro passend is.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.