Zowel bij de Universiteit Leiden als de Vrije Universiteit (VU) in Amsterdam heeft recentelijk een datalek plaatsgevonden. Beide onderwijsinstellingen hebben dit bij de Autoriteit Persoonsgegevens (AP) gemeld.
JobMotion
De Universiteit Leiden is getroffen door een ransomware-aanval bij JobMotion, het interne uitzendbureau van de universiteit. Door de hack was het salarisverwerkingssysteem tijdelijk niet beschikbaar. In dit systeem zijn veel gevoelige gegevens opgeslagen, waaronder burgerservicenummers (BSN), salaris-afspraken, handtekeningen en inloggegevens. Hoe de aanvallers de systemen wisten binnen te dringen, en of er losgeld is betaald, is niet bekendgemaakt.
Onversleuteld
Bij de VU werd het datalek veroorzaakt door een gestolen computer waarop persoonsgegevens van oud-studenten onversleuteld waren opgeslagen. Op de computer stonden ook documenten die nodig zijn voor een inschrijving voor een doctoraal-, bachelor- of masteropleiding, en waarvan de inschrijving niet via Studielink heeft plaatsgevonden.
Bewaartermijnlijst
De VU heeft laten weten dat systemen die door de IT-dienst worden uitgeleverd en beheerd, standaard versleuteld zijn. “De gestolen computer was een stand-alone opstelling. Deze opstelling was uniek en maatwerk en daarmee niet uitgerust met de voor de VU gebruikelijke IT-beveiligingsmaatregelen”, aldus de universiteit. Tevens blijkt dat de data op de computer niet tijdig is gewis volgens de bewaartermijnlijst van de onderwijsinstelling.
Excel-bestand
Gisteren werd bekend dat er opnieuw sprake is van een een datalek bij de VU. Vanuit het Nederlands Autisme Register (NAR) dat aan de VU is verbonden, werd een mail verzonden naar 3.000 mensen. De ontvangers zagen hierin echter de persoonsgegevens van iemand anders. Een woordvoerder liet weten dat er vermoedelijk iets is misgegaan in een Excel-bestand.
Klik hier voor de verklaring van JobMotion van de Universiteit Leiden.
Klik hier voor de verklaring van de VU.