De Vrije Universiteit Amsterdam meldt dat er mogelijk een datalek is nadat er twee computers zijn gestolen van de campus. Op één van de computers stonden archiefgegevens van voormalige studenten. De data waren niet beveiligd, waardoor niet is uit te sluiten dat een ongeautoriseerd iemand toegang tot deze gegevens had.
Dat meldt de Vrije Universiteit Amsterdam (VU) (1) in een persverklaring.
De onderwijsinstelling meldt dat er ‘onlangs’ twee computers zijn gestolen. Eén van deze computers bevatte privacygevoelige persoonsgegevens van oud-studenten. “Deze opstelling was maatwerk en daarmee niet uitgerust met de voor VU gebruikelijke IT-beveiligingsmaatregelen”, zo schrijft de universiteit. Zodoende is het niet uit te sluiten dat studentgegevens in de verkeerde handen terecht zijn gekomen.
Hoeveel voormalige studenten door het datalek de dupe zijn, is onbekend. De VU meldt dat het om verschillende groepen gaat. De eerste groep omhelst studenten die tussen 2003 en 2008 zich hebben ingeschreven of hebben proberen in te schrijven voor een doctoraal-, bachelor- of masteropleiding aan de VU. Van hen zijn mogelijk kopieën van paspoorten en verblijfsvergunningen van internationale studenten bemachtigd.
De tweede groep bestaat uit internationale studenten die zich tussen 2008 en 2015 hebben aangemeld voor een studie aan de VU. Kopieën van verblijfsvergunningen, vooropleiding en correspondentie met de onderwijsinstelling zijn mogelijk buitgemaakt. Tot slot is er nog een derde groep, bestaande uit studenten met een Nederlandse vooropleiding en studenten die een bijvak aan de VU hebben gevolgd. Zij lopen het risico dat een kopie van hun paspoort of behaalde certificaten zijn gestolen.
De VU zegt de betrokken oud-studenten ‘zo spoedig mogelijk’ te zullen informeren via het e-mailadres dat bekend is bij de onderwijsinstelling. Wie hier niet op wil wachten kan vanaf vrijdag 23 december de helpdesk Gegevensverwerking bellen.
Hoe het datalek heeft kunnen plaatsvinden is vooralsnog onbekend. De VU spreekt van “een ongelukkige samenloop van omstandigheden”. Volgens de onderwijsinstelling was de gestolen computer een stand-alone opstelling. “Deze opstelling was maatwerk en daarmee niet uitgerust met de voor de VU gebruikelijke IT-beveiligingsmaatregelen. Ook zijn de gegevens op de computer niet tijdig gewist volgens de VU bewaartermijnlijst.”
Toen de diefstal van de computer werd ontdekt, is direct het Security Operations & Control Center (SOCC) van de VU op de hoogte gebracht. Samen met de functionaris gegevensbescherming (FG) is er een onderzoek gestart naar de omvang van het datalek. De VU heeft aangifte gedaan van datadiefstal. Tevens is er melding gedaan bij de Autoriteit Persoonsgegevens. De onderwijsinstelling monitort actief of er gegevens op het internet of het dark web (2) worden aangetroffen. Tot slot bekijkt de universiteit of er meerdere computers zijn met een maatoplossing die lijkt op de gestolen computer.
De VU waarschuwt dat hackers en cybercriminelen identiteitsgegevens en kopieën van paspoorten kunnen misbruiken voor het plegen van identiteitsfraude 93). Slachtoffers van identiteitsfraude kunnen zich melden bij het Centraal Meldpunt Identiteitsfraude (CMI).
https://vu.nl/nl/over-de-vu/meer-over/datalek
https://www.vpngids.nl/privacy/anoniem-browsen/wat-is-het-dark-web/
https://www.vpngids.nl/veilig-internet/cybercrime/identiteitsfraude/
