Opnieuw is het raak bij de TU Delft. Wederom liggen er persoonsgegevens van studenten, medewerkers en sollicitanten op straat. Ditmaal omdat een dief een niet-versleutelde laptop heeft gestolen. Het lek is gemeld bij de Autoriteit Persoonsgegevens.Dat schrijft Saskia Bonger, hoofdredacteur van het journalistieke platform van de universiteit.
Volgens Bonger staan er op de gestolen laptop de namen en adressen van 14.000 studenten, gegevens van 1.100 medewerkers aan de TU Delft en sollicitatiebrieven van 200 sollicitanten. Deze data was opgeslagen op de harde schijf van de laptop, maar deze was echter niet versleuteld. Doordat deze beveiligingslaag ontbreekt, kunnen onbevoegden alle opgeslagen persoons- en contactgegevens bekijken.
De laptop werd op 17 september gestolen, maar is afgelopen week pas bekend gemaakt. Om privacyredenen laat de TU Delft in het midden van wie de laptop was en voor welke faculteit hij of zij werkte. De universiteit vermoedt dat de dief niet geïnteresseerd was in de data, maar enkel de laptop zelf. Waarschijnlijk gaat het dus om ouderwetse diefstal en niet om een cyberaanval.
“Het is nog afwachten of daadwerkelijk iets met de ontvreemde persoonsgegevens wordt gedaan”, zo vertelt Erik van Leeuwen, TU-functionaris gegevensbescherming aan de TU Delft. “In dat geval bekijkt de universiteit met de betrokkene of maatregelen nodig zijn, bijvoorbeeld aangifte bij de politie.”
De TU Delft heeft aangifte gedaan van het datalek bij de Autoriteit Persoonsgegevens. Daarnaast probeert de onderwijsinstellingen zoveel mogelijk van de betrokkenen op de hoogte te brengen van het incident. Het privacyteam van de TU Delft hoopt rond deze tijd iedereen te hebben bereikt.
Van Leeuwen zegt dat hij enkele tientallen reacties heeft ontvangen van bezorgde studenten, medewerkers en sollicitanten. “Mensen geven aan dat ze het waarderen dat de TU Delft ze hierover informeert, maar ze hebben ook vragen. Zo vragen medewerkers en studenten zich onder meer af wat zij concreet kunnen doen en wat signalen zouden kunnen zijn dat misbruik wordt gemaakt van de in het datalek betrokken persoonsgegevens”, zo vertelt Van Leeuwen.
Het datalek toont aan dat de informatiebeveiliging niet optimaal is bij de TU Delft. Bonger legt uit dat nieuwe laptops sinds 2018 standaard worden versleuteld. Laptops die vóór die tijd zijn aangeschaft, moeten handmatig worden versleuteld. Daarvoor moet de computer fysiek aanwezig zijn op de campus bij de ICT-afdeling. Door de coronacrisis moeten we noodgedwongen thuiswerken, waardoor dit proces vertraging oploopt. Op dit moment is 35 procent van de door de ICT-afdeling beheerde systemen versleuteld. De TU Delft werkt momenteel aan een oplossing die naar eigen zeggen snel doorgevoerd moet worden.
Om ervoor te zorgen dat (onderzoeks)data van studenten en academisch personeel veilig is opgeslagen, doen ze er verstandig aan om zich te wenden tot een veilige opslaglocatie als Surfdrive. Verder adviseert Van Leeuwen om persoonsgegevens die zij niet meer nodig hebben te verwijderen. Hij raadt tevens aan om goed te kijken welke gegevens worden gesynchroniseerd met Surfdrive. “Zet die synchronisatie zo nodig uit”, aldus Van Leeuwen.
Dit is de tweede keer in korte tijd dat de TU Delft te maken heeft met een datalek. Tussen 7 februari en 20 mei werd Blackbaud, de CRM-leverancier waarmee de universiteit zaken doet, getroffen door een ransomware-aanval. De daders wisten op deze manier de hand te leggen op een verouderd back-upbestand uit 2017. Daardoor belandde persoonlijke informatie als persoon- en contactgegevens en loopbaancarrière op straat. Privacygevoelige informatie als creditcardnummer, bankrekeningnummers of burgerservicenummers werd niet gestolen bij de cyberaanval.
Een woordvoerder van de TU Delft bevestigde in augustus dat 60.000 alumni, donateurs en andere relaties van de universiteit het slachtoffer waren geworden van de ransomware-aanval op Blackbaud.
