INGENTING Å LURE PÅ: Hans Aleksander Østhagen mener det er helt unødvendig at SiT lagrer og gjør treningsdata og personopplysninger tilgjengelig for alle gjennom registreringssystemet ved idrettsbyggene.

SiT lagrer treningsdata ulovlig

På dugnad for NTNUI på Idrettsbygget på Gløshaugen oppdaget Hans Aleksander Østhagen at SiT registrerer og lagrer data om NTNUI-medlemmenes treiningsvaner i stort omfang.

Publisert Sist oppdatert

Østhagen er leder for NTNUI Orientering, og som mange andre aktive i NTNUI passet han resepsjonen på Idrettsbygget, og så til at de som trener ved bygget har gyldig medlemskap. Sammen med navn og medlemskort så han at alle data som registreres ved å dra kortet også lagres åpent for alle dugnadsvaktene på ubestemt tid.

– For dårlig

– Idet en person går inn på Idrettsbygget og drar medlemskortet skal dugnadsvakten se til at personen har gyldig medlemskap i NTNUI, og ha mulighet til å sjekke om det er riktig person som benytter kortet. Vakten skal ikke lese om alle besøkene til vedkommende og hvor og når personen vanligvis trener, sier Knut Inge Engelbreth i NTNUI-hovedstyret.

Han mener det er for dårlig at Studentsamskipnaden i Trondheim (SiT) ikke følger gjeldende regelverk om håndtering av personlige opplysninger.

– Vi har gjort SiT oppmerksom på problemet, og forventer at de tar tak i saken omgående. Det vil si at de sletter medlemmenes besøkshistorikk og at lovverket følges heretter. Det er viktig at alle NTNUI-medlemmer skal føle seg trygge på at deres personopplysninger håndteres sikkert, sier Engelbreth.

Personopplysningene som ligger tilgjengelig er fødselsdato, navn og alle registrerte besøk den enkelte har hatt på idrettsbyggene til SiT langt tilbake i tid.

Et lovbrudd

Senioringeniør Frank Eriksen i Datatilsynet sier det er oppsiktsvekkende at så mye informasjon er lagret og fritt tilgjengelig hos SiT Idrett.

– Ifølge loven om personvern skal ingen kundeinformasjon lagres med mindre det er gode grunner til dette. SiT har ikke på plass de nødvendige betingelsene for å lagre informasjonen, og bryter plikten til å slette opplysningene. Dersom det var noen grunn til at opplysningene skulle lagres måtte det være med medlemmenes samtykke og en varighet på maksimalt ett år, sier Eriksen.

Treningskjeden Sats var i 2009 involvert i en stor sak hvor de til slutt ble pålagt av datatilsynet å slette tre år med treningsdata fra sine kunder.

Kan misbrukes

Informasjonsdirektør Ove Skåra i Datatilsynet mener databehandlingen til SiT er respektløs overfor for studentene.

– Det er ille at de ikke har reflektert over dette og begrensert tilgangen på treningsopplysningene, sier han.

Skåra mener det i utgangspunktet ikke skulle vært lagret noe informasjon i det hele tatt.

– Det er åpenbart at de må sette begrensninger for lagring og spredning av informasjonen, selv om det ikke er det største misbrukspotensialet i dette tilfellet.

Han mener muligheter for misbruk likevel er til stede.

– Det kan for eksempel hende at en fyr søker opp ei jente han liker og finner ut når og hvor hun vanligvis trener for å være sikker på å treffe på henne. Mange vil føle seg krenket over at tilfeldige personer har tilgang til å gjøre slikt, sier Skåra.

Fire år med trening

Hans Aleksander Østhagen som først varslet om lagringen til SiT synes det er unødvendig å legge til rette for datasnoking, og mener det ikke finnes noen grunn til at SiT Idrett skal oppbevare så mye personlig informasjon.

– Det er veldig unødvendig at så mange opplysninger ligger lagret, men det er verre at de er så tilgjengelige som de er. For eksempel er alle mine besøk på idrettsbyggene helt tilbake til 2006 tilgjengelige, sier han.

Ser ikke problematikken

– Jeg ser ikke problematikken slik det er i dag. Informasjonen kunne vært anonymisert, men jeg har ikke reflektert videre over dette. Vi bruker så godt som ingenting av den informasjonen som lagres. Jeg tror i grunn ikke at brukerne tester ut programmet og finner frem til lister over medlemmers besøk på idrettsbyggene, sier idrettssjef Arne Brevik i SiT.

Andre idrettssentre har ifølge Brevik samme løsningen for adgangsregistrering.

– Dette er standard programvare fra leverandøren Nortrim som leveres til andre medlemsregistre. Da vi kjøpte dette programmet forutsatte vi at produsenten forholder seg til gjeldende lover og regler, sier idrettssjefen.

Han ser ikke problematikken som er forbundet med datalagringen.

– Lagringsfunksjonen som tar vare på medlemmenes besøk ligger innebygget i programmet, men dette er en versjon vi er i ferd med å fase ut. Vi vil ikke kunne gjøre noe før vi får en ny løsning i neste semester, sier Brevik.

Ny versjon

Han påpeker at det er begrensede opplysninger som lagres, og at det ikke ligger e-postadresser eller personnummer sammen med dataene.

Når registreringssystemet skal byttes ut neste semester vil Brevik imidlertid forsikre seg om at alt er i orden.

– Vi vil sørge for at det nye systemet forholder seg til gjeldende lover og regler for håndtering av medlemsdataene, sier Brevik.

Powered by Labrador CMS