NTNU og Olympiatoppen oppdaget i 2015 at uvedkommende hadde brutt seg inn i nettverket til kamerasystemet som finnes i treningssalen og forskningslaboratoriet i 3. etasje i Toppidrettssenteret i Granåsen. Det ble i forbindelse med innbruddet tatt opp videoer av folk som trente og disse ble lagt ut på nett. Videoene er tatt opp på en måte som kan defineres som seksualisert.

NTNU og Olympiatoppen meldte hendelsen som et avvik til Datatilsynet. Datatilsynet har ferdigbehandlet saken og ila NTNU og Olympiatoppen et straffegebyr på 100 000 kroner for brudd på personopplysningsloven og personopplysningsforskriften. Vi ble også kritisert for manglende sikkerhetstiltak for å forhindre sikkerhetsbrudd. 

Datatilsynet ba oss om å varsle alle potensielt berørte som kan ha vært i lokalene i perioden mars 2014 til 6. august 2015. Alle som er mulig å identifisere på kjente videoer eller bilder har blitt varslet.

Hva har skjedd?

NTNU og Olympiatoppen har hatt et innbrudd i nettverket til kamerasystemet som finnes i treningssalen og forskningslaboratoriet i 3. etasje i Toppidrettssenteret i Granåsen. Innbruddet ble oppdaget i august 2015 (hendelse 1). I mai 2016 ble det oppdaget at innbruddet hadde vært mer omfattende og alvorligere enn først antatt (hendelse 2).

Hendelse 1: I august 2015 ble NTNU informert om at tre bilder fra kameraene i idrettssalen og på treningslaboratoriet i Toppidrettssenteret i Granåsen hadde blitt lagt ut på nettstedet Facebook. NTNU og Olympiatoppen reagerte med å stenge kamerasystemet og gjøre om på nettverkstilkoblingen slik at kameraene ikke lenger lå tilgjengelig på nett. Systemet ble satt tilbake i drift når sikkerhetstiltakene var på plass.

Hendelse 2: 3. mai 2016 ble det meldt til IT-avdelingen ved NTNU at det var lagt ut nye og flere bilder og videoer på et fildelingsnettsted. En ukjent person har hatt kontroll over kameraenes styringssystem før august 2015 og tatt opp et ukjent antall videoer og bilder av brukere i treningsaktivitet en gang mellom mars 2014 og 6. august 2015. Enkelte av videoene er tatt opp og redigert på en måte som gjør at de kan defineres som å ha seksualisert karakter.

NTNU og Olympiatoppen har iverksatt sikkerhets- og informasjonstiltak i tråd med personvernsbestemmelsene og lovgivning. Innbruddet ble rutinemessig politianmeldt, men politiet har henlagt saken. Alle som er mulig å identifisere på videoer eller bilder som er kjent har blitt varslet.

Hva brukes kamerasystemet til?

Kamerasystemet i Toppidrettssenteret brukes i forbindelse med forskning og trening.  Kamerasystemet gir for eksempel trenere mulighet til å se en utøvers teknikk fra ulike vinkler for å kunne gi utøveren direkte tilbakemeldinger.

Hvem har hatt tilgang til kamerasystemet?

Kamerasystemet er basert på fire motoriserte IP-kamera som sender opptak til en egen PC. Kameraene ble styrt ved hjelp av et nettbrett. Sikkerheten i utvekslingen av data mellom disse enhetene var ikke god nok slik at det var mulig for personer med riktig type programvare å koble seg på, ta over styringssystemet i kameraene og ta opptak fra direkteoverføringen fra kameraene. Etter innbruddet har en rekke sikkerhetstiltak blitt iverksatt for å sikre at uvedkommende ikke lenger kan nå kamerasystemet.

Har NTNU eller Olympiatoppen kopier av dataene som ble lagret?

Da innbruddet først ble oppdaget (hendelse 1) ble kamerasystemet umiddelbart stengt ned og sikkerhetstiltak iverksatt. Ved hendelse 2 ble det oppdaget at det fantes flere videoer enn først antatt. Disse ble lastet ned og ble forsvarlig bevart på NTNU. Alle personer som var mulig å identifisere på videoene ble varslet direkte. NTNUs kopier av materialet har blitt slettet.

Ansatte ved NTNU og Olympiatoppen har krenket personvernet til brukerne av Toppidrettssenteret ved å montere og ta i bruk et kamerasystem uten tilstrekkelig risikovurdering og sikkerhetsforanstaltninger. NTNU og Olympiatoppen beklager dette på det sterkeste. Det er vårt ansvar at gjeldene regelverk for bruk av personopplysninger ikke har blitt fulgt og det er iverksatt tiltak som skal forhindre at dette skjer igjen.

Her finner du Datatilsynets vedtak: Vedtak Datatilsynet (pdf) 
Her finner du Datatilsynets vurdering: Vurdering Datatilsynet (pdf)

Ønsker du ytterligere informasjon om saken kan du ta kontakt med:

• Fakultet for medisin og helsevitenskap: Jorunn Helbostad (e-post: jorunn.helbostad@ntnu.no, tlf: 725 75888)
• Olympiatoppen: Frode Moen (e-post: frmoe@online.no, tlf: 93248750)