NieuwsDatalek

Twee datalekken in een week bij de Universiteit Utrecht

Privacygegevens van onder andere gebruikers van de universiteitsbibliotheek Utrecht konden worden ingezien door onbevoegden.Beeld Werry Crone


De Universiteit Utrecht meldde deze week twee keer een datalek. Onbevoegde medewerkers en oud-medewerkers konden de privacygegevens van duizenden promovendi en gebruikers van de universiteitsbibliotheek inzien. Daardoor ontstaat een risico op identiteitsfraude en oplichting met phisingmails, zegt de Autoriteit Persoonsgegevens.

Donderdag bracht de universiteit 13.000 mensen die ooit een gastaccount hebben aangemaakt voor de universiteitsbibliotheek op de hoogte van een datalek. Bij aanmelding moesten de bibliotheekgasten allerlei persoonsgegevens invullen zoals naam, e-mailadres en telefoonnummer. Daarnaast moesten ze een wachtwoord kiezen.

Deze gegevens werden de eerste tien uur na de aanmelding opgeslagen als niet-versleutelde tekst. Baliemedewerkers die de verzoeken behandelden konden in die tijd de wachtwoorden en persoonsgegevens zien. Dat kan gevaarlijk zijn voor gasten die bijvoorbeeld hetzelfde wachtwoord ook gebruiken voor hun e-mail, online bankieren of andere internetdiensten.

Kwaadwillenden kunnen hier van alles mee

Twee dagen eerder moest de universiteit ook al een mailtje de deur uitdoen om 4000 promovendi op de hoogte te brengen van een datalek. Ditmaal ging het om gegevens die de promovendi hadden gedeeld op een intern netwerk. Bij de overgang naar een nieuw systeem bleef dit oude netwerk in de lucht. Hierdoor konden medewerkers en oud-medewerkers tot afgelopen week grasduinen in de gegevens van de promovendi.

“Kwaadwillenden kunnen van alles met persoonsgegevens”, zegt een woordvoerder van de Autoriteit Persoonsgegevens. “Het gaat vaak om het combineren van gegevens. Hoe meer gegevens ze hebben, hoe geraffineerde ze hun phisingmails kunnen maken.”

Dat de universiteit in een week tijd twee lekken bekend maakt, is puur toeval. De lekken hebben niets met elkaar te maken. Toch evalueert de universiteit de lekken samen. “Net als altijd gaan we grondig doorlichten wat er mis is gegaan en hoe we toekomstige lekken kunnen voorkomen”, zegt een woordvoerder van de universiteit. Daarnaast is de universiteit bezig met het werven van zogeheten privacy officers. “Maar als het goed is houden alle 7000 werknemers zich bezig met het voorkomen van datalekken.”

In een eerdere versie van dit artikel stond onvolledig weergegeven wat de Universiteit Utrecht in de toekomst gaat doen om datalekken te voorkomen. Dit is aangepast. 

Lees ook:

Fors meer meldingen van datalekken

De Autoriteit Persoonsgegevens (AP) kreeg vorig jaar fors meer meldingen van datalekken. Bijna 21.000 keer klopte een organisatie aan omdat persoonlijke gegevens van mensen mogelijk in de verkeerde handen zijn gevallen. Dat komt neer op zo’n 57 meldingen per dag. En volgens de privacywaakhond zijn dat zeker niet alle lekken.  

Verhuurmakelaar NederWoon is gehackt, en nu liggen BSN-nummers van klanten op straat

Verhuurmakelaar NederWoon werd gehackt. Persoonsgegevens van klanten werden gestolen, tot aan kopieën van identiteitsbewijzen aan toe. Waarom had NederWoon die in bezit?

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden