University of Greenwich måste betala 120 000 pund i böter efter att en oparpad säkerhetsbrist ledde till läckage av studenters och personals personuppgifter.
Nästan 20 000 människor drabbades av det ”allvarliga intrånget”, som inträffade 2016 när hackare upptäckte en sårbarhet i en osäkrad mikrosajt som byggdes 2004.
De exponerade uppgifterna omfattade namn, adresser och telefonnummer, men också känslig information om 3 500 personer som gällde detaljer om elevers förmildrande omständigheter, inlärningssvårigheter och personalens sjukjournal.
Även om mikrosajten byggdes specifikt för en utbildningskonferens vid universitetets dator- och matematikskola, som delegerades vid den tiden, stängdes den aldrig ner eller gjordes säker och komprometterades först 2013.
Hackare använde sedan samma sårbarhet för att komma åt webbservern och fick tillgång till 19 500 personal och studenters information.
LÄS NÄSTA: Vad är GDPR?
”Medan mikrosajten utvecklades på en av universitetets avdelningar utan dess vetskap, är den som personuppgiftsansvarig ansvarig för datasäkerheten i hela institutionen”, säger Steve Eckersley, tillsynschef vid Information Commissioner’s Office (ICO).
”Studenter och anställda hade rätt att förvänta sig att deras personliga information skulle förvaras på ett säkert sätt och detta allvarliga brott skulle ha orsakat betydande ångest. Uppgifternas natur och antalet personer som påverkas har varit avgörande för vårt beslut att utdöma denna bötesnivå.”
Straffet på 120 000 pund är det första som dataskyddsvakten har utfärdat till ett universitet enligt Data Protection Act 1998, av ett maximalt böter på 500 000 pund som den kan utdöma.
På fredag träder dock nya EU-dataskyddsregler i kraft som inför högre sanktioner. Den allmänna dataskyddsförordningen (GDPR) kommer att tillåta tillsynsmyndigheter att bötfälla organisationer som drabbas av dataintrång på högst 20 miljoner euro, eller 4 % av sin årliga omsättning.
Alphr har kontaktat University of Greenwich. När vi då rapporterade om intrånget kallade universitetssekreterare Louise Nadal det ”ett allvarligt fel utan motstycke” och sa att hon skulle genomföra en utredning om vad som hände.
”Detta kommer att utgöra en del av en robust granskning, för att säkerställa att detta inte kan hända igen,” tillade hon då. ”Universitetet har åtagit sig att skydda konfidentiell data och ber om ursäkt för detta fel.”
Bild: Duncan Harris/Flickr
