2024 yılının şubat ayında Agder Üniversitesi’nde bir çalışan, kişisel veriler içeren belgelerin yetkisi olmayan çalışanların erişimine açık şekilde Microsoft Teams klasörlerinde saklandığını tespit etmiştir. Bu veri ihlalinin, üniversitenin Ağustos 2018’de Microsoft Teams’i kullanmaya başlamasından bu yana devam ettiği anlaşılmıştır.

Yapılan incelemelerde, kişisel verilerin sistemde açık şekilde erişilebilir olduğu ve çalışanların bu belgelere açık klasörler üzerinden arama yaparak ulaşabildiği ortaya çıkmıştır. İhlal, çalışanlar, öğrenciler ve dış paydaşlarla ilgili kişisel verileri içeren belgeleri kapsamakta olup yaklaşık 16.000 kişinin bu ihlalden etkilendiği belirlenmiştir. Paylaşılan bilgiler arasında adlar, ulusal kimlik numaraları, uyarlanmış sınav bilgileri, sınav deneme sayıları ve özel düzenlemelere ilişkin bilgiler bulunmaktadır. Ayrıca, üniversiteyle bağlantılı Ukraynalı mültecilere ait iletişim bilgileri, eğitim ve yerleşim durumları gibi veriler de ihlal kapsamında yer almıştır.

Norveç Denetim Otoritesi, GDPR’ı ihlal ettiği gerekçesiyle Agder Üniversitesi’ne yaklaşık 12.700 Avro idari para cezası uygulamaya karar vermiştir. Üniversitenin, Microsoft Teams kullanımında kişisel veri güvenliğini sağlamak için uygun önlemleri almadığı tespit edilmiştir.