Avviksmelding

Det er blitt avdekket et avvik i håndtering av personopplysninger i Alma. Avviket innebærer at tre nyere institusjoner har hatt mulighet til å få aksessere personopplysninger tilhørende andre institusjoner i konsortiet. Dette gjelder Nasjonalmuseet, Norce og NAV.

Dette er funksjonalitet som tidligere har vært tilgjengelig i hele konsortiet, men som ble stengt av personvernhensyn. Denne uken ble vi gjort oppmerksomme på at enkelte nye kunder har hatt denne muligheten. Vi har ikke indikasjoner på at noen har benyttet seg av muligheten. Tilgangen til funksjonaliteten er nå stengt

Årsak:

Da denne funksjonaliteten ble stengt, ga Unit beskjed til leverandøren om at den skulle stenges for hele konsortiet. Unit sin forventning har vært at dette også skulle virke ved onboarding av nye institusjoner. Imidlertid er dette noe som leverandøren må konfigurere for hver enkelt institusjon. Unit har ikke hatt rutiner for varsling av leverandøren og etterkontroll av dette ved onboarding.

Omfang:

Ved brukerregistrering har brukere i de tre berørte institusjonene kunnet søke etter ikke sensisitive personopplysninger hos alle institusjoner i konsortiet. Søket forutsetter at den som søker er kjent med en persons ID (Primary ID, lånekort (barcode) eller FeideID) og institusjon. Det kan søkes etter én ID om gangen.

Aksessering av data

Vi vet med sikkerhet at én brukers data er aksessert. Dette ble gjort for å undersøke om funksjonaliteten faktisk var aktiv. Brukeren er varslet. Utover dette anser vi det som lite sannsynlig at brukerdata er aksessert. Dette skyldes at de tre involverte institusjonene i liten eller ingen grad har tatt i bruk bruker-registrering i Alma og at det antallet brukere som har hatt tilgang, er lavt (7 brukere).

Foreløpige analyser av «Security Events» i Alma Analytics viser heller ingen slike tilfeller. Imidlertid er det noe usikkerhet knyttet til hvorvidt en «event» blir opprettet når brukerdata hentes inn på denne måten. Vi er i ferd med å avklare dette med leverandøren.

Tiltak:

Tiltak som allerede er implementert:

· Tilgangen er stengt

· Det gjøres forsøk på å hente ut data om eventuell bruk

Tiltak som vil bli implementert:

· Prosedyrer for onboarding vil bli oppdatert med:

o Varsling til leverandør i forkant av onboarding

o Kontroll i etterkant for å verifisere at tilgangen er sperret

Tidslinje:

3.11 1430: En bruker ved en institusjon i konsortiet har oppdaget muligheten og melder inn sak i Unit sitt support-system.

3.11 1449: Saken blir fordelt til saksbehandler

3.11 1528: Saken blir åpnet av saksbehandlere

3.11 1540: Unit avdekker at det gjelder tre nyere konsortiemedlemmer

3.11 1549: Saken meldes systemleverandøren med høy prioritet og flagget som personvern-relatert

3.11. 1600: Avviket varsles tjenesteansvarlig for Alma og fungerende seksjonssjef for bibliotekstjenester

3.11 1606: Avviket varsles Unit sitt sikkerhetsteam.

4.11 1109: Ex Libris varsler at tilgangen er stengt for de tre institusjonene og at de forsøker å innhente data om bruken.

Kontakt oss

Har du spørsmål eller kommentarer er det fint om du registrere den på https://support.bibsys.no/.

Med vennlig hilsen Gro-Anita Mortensen Seksjonsleder bibliotektjenester

[cid:image001.png@01D6B444.90C69EC0]https://www.unit.no/ Unit - Direktoratet for IKT og fellestjenester i høyere utdanning og forskning M: (+47) 41 43 84 69