LUC IT-palvelut havaitsi 10.1.2024 omavalvonnassaan virheellisesti määriteltyjä palvelimien käyttövaltuuksia tiedonsiirtohakemistoissa Lapin AMKissa, Lapin yliopistossa ja Rovaniemen koulutuskuntayhtymä REDUssa. Käyttövaltuudet on korjattu välittömästi virheen havaitsemisen jälkeen ja organisaatioiden tietosuojavastaavia on informoitu. Palvelimien ja tietojärjestelmien laajempi tekninen tarkastus aloitettiin välittömästi virheen huomaamisen jälkeen.

Virhe on mahdollistanut LUC-käyttäjille – eli Lapin AMKin, Lapin yliopiston ja REDUn työntekijöille ja opiskelijoille – oikeudettoman pääsyn tiettyihin tiedonsiirtohakemistoihin, jotka sisältävät nykyisen ja aiemman henkilökunnan ja joidenkin kumppaneiden palkkatietoja sekä tietosuojalain alaisia henkilötietoja. Päästäkseen käsiksi tietoihin LUC-käyttäjän on pitänyt tietää verkkojaon olemassaolo tai tarkoituksella etsiä avoimia verkkolevyjä sekä olla kirjautuneena LUC-verkkoon. Tiedossa ei ole, että näitä tietoja olisi käsitelty luvattomasti.

Lapin AMKissa, Lapin yliopistossa ja REDUssa pahoitellaan tilannetta ja sen aiheuttamaa huolta. Tietoturvaan ja -suojaan suhtaudutaan kaikissa kolmessa organisaatiossa hyvin vakavasti. Poikkeamasta on tehty tietosuoja-asetuksen edellyttämät ilmoitukset valvovalle viranomaiselle. Tapahtuneesta tiedotetaan henkilökuntaa ja muuta kohdejoukkoa mahdollisimman avoimesti.

Tietoturvapoikkeamasta ei todennäköisesti ole aiheutunut kohdejoukolle haittaa tai vahinkoa. Mikäli kuitenkin huomaat jotain poikkeavaa henkilötietojesi käytön osalta, otathan välittömästi yhteyttä organisaation tietosuojavastaavaan alla olevin yhteystiedoin.

Tarkempaa tietoa ja usein kysyttyjä kysymyksiä

Lapin yliopiston ja Lapin AMKin tietosuojavastaava Jari Rantala, tietosuoja@ulapland.fi

Lisätietoja:
Manu Pajuluoma, johtaja, tieto- ja digipalvelut
manu.pajuluoma(at)ulapland.fi

Tietosuojaan liittyvistä asioista valtakunnallisen tietosuojavaltuutetun toimistosta: tietosuoja.fi