Begin deze week kampte de Universiteit Twente korte tijd met een datalek. Daardoor konden enkele honderden medewerkers persoonsgegevens van alle werknemers bekijken. Dit was het gevolg van een menselijke fout bij het toewijzen van rollen en bijbehorende gebruikersrechten. Dat schrijven U-Today, het magazine over de Universiteit Twente, en dagblad Tubantia.
Het ging mis bij de uitrol van nieuwe financiële administratiesoftware van Unit4. “Daarbij is één vinkje te veel aan- of uitgezet, waardoor veel meer mensen dan de bedoeling was inzicht hadden in die gegevens”, vertelt Dennis van Zijl, directeur Finance bij de Universiteit Twente, uit aan Tubantia.
Daardoor hadden enkele honderden personeelsleden inzage in onder meer geboortedata, bankrekeningnummers en data van indiensttreding van alle 3.500 universiteitsmedewerkers. Alleen medewerkers die zich bezighouden met de salarisadministratie of aanvragen van subsidies voor projecten mogen normaal gesproken deze gegevens inzien.
Het lek kwam dinsdagochtend aan het licht door een oplettende medewerkers. Hij stapte direct naar de afdeling financiën en vertelde dat hij “dingen kon zien” die hij niet hoorde te zien. “Daarna hebben we direct U-Today en de Autoriteit Persoonsgegevens ingeseind. Dat is beleid. Zo was iedereen die het aanging snel op de hoogte”, aldus Van Zijl.
Volgens hem is de fout op maandag gemaakt. Sindsdien hebben maximaal 116 medewerkers ingelogd en hadden zodoende, in theorie, toegang tot de persoonsgegevens van alle werknemers. Omdat er heel wat handelingen verricht moesten worden om de data daadwerkelijk in te zien, denkt Van Zijl dat het aantal medewerkers dat de gegevens heeft ingezien laag ligt.
“Neemt niet weg dat dit een fout is. Dankzij die oplettende medewerker hebben we die snel kunnen herstellen. Maar dit had niet mogen gebeuren”, vertelt Van Zijl tegenover Tubantia.
De topman benadrukt dat het geen fout van de administratiesoftware was, maar het gevolg van een menselijke fout. Iemand had de rollen en gebruikersrechten die daarbij horen verkeerd toegewezen. “Zodoende zijn er veel rollen tegelijkertijd opengezet, waar dat niet de bedoeling was.”
Van Zijl denkt dat de schade meevalt. “Al met al denken we daarom dat het gaat om een beperkt datalek. Het kan dus zijn dat er naast de oplettende medewerker nog een enkele andere collega toegang kreeg. Maar al met al lijkt de schade beperkt gebleven”, zegt hij tegenover U-Today.
De Universiteit Twente is niet de enige onderwijsinstelling die in het recente verleden geconfronteerd werd met problemen. In de zomer van 2021 was de Universiteit Leiden het doelwit van Russische hackers. Zij slaagden erin om data te stelen van een server die onvoldoende was beveiligd. Het ging om accountgegevens, huisadressen en beschrijvingen van onderzoek. Ze eisten 16 Bitcoin aan losgeld, wat de universiteit nooit betaald heeft.
In februari 2021 werden de Hogeschool en Universiteit van Amsterdam (HvA en UvA) getroffen door een cyberaanval. Een hacker slaagde er toen in om de IT-omgeving van de onderwijsinstellingen binnen te dringen. Daarbij kende hij zichzelf meer rechten toe, waardoor hij het gehele netwerk kon infiltreren. Zo wisten de daders inloggegevens en versleutelde wachtwoorden buit te maken. Meer dan 100.000 man veranderden in de daarop volgende dagen hun wachtwoord. De bron van de infectie bleek uiteindelijk een besmette laptop van een student.
In 2020 werden de Universiteit Utrecht en TU Delft getroffen door een datalek. Dat kwam omdat hackers toegang wisten te krijgen tot de servers die door Blackbaud werden gehost. Blackbaud is de grootste leverancier van CRM-oplossingen aan onderwijsinstellingen en non-profitorganisaties wereldwijd. Zodoende wisten de aanvallers de hand te leggen op persoonsgegevens, contactgegevens, opleidings- en loopbaangegevens en burgerservicenummers van tienduizenden alumni en donateurs.
