Datalek bij Vrije Universiteit

De Vrije Universiteit (VU) waarschuwt voor een datalek. Op laptops van de universiteit die zijn gestolen staan persoonsgegevens van studenten opgeslagen. De laptops zijn niet versleuteld en mogelijk bevatten de laptops persoonsgegevens die gewist hadden moeten zijn.

"Onlangs zijn twee computers op onze campus gestolen. Op één van de computers stonden archiefgegevens van oud-studenten. Deze opstelling was maatwerk en daarmee niet uitgerust met de voor VU gebruikelijke IT- beveiligingsmaatregelen. Omdat niet uit te sluiten is dat onbedoelde of ongeoorloofde toegang mogelijk is tot deze (persoons)gegevens heeft de VU hiervan melding gemaakt bij de Autoriteit Persoonsgegevens (AP)", schrijft de VU op zijn website.

VU betreurt de diefstal

Na het ontdekken van het incident is Security Operations & Control Center van de VU (SOCC) ingeschakeld, dat de impact van het incident onderzoekt. Ook is in samenwerking met de functionaris gegevensbescherming een risicoanalyse gemaakt. De VU heeft aangifte gedaan bij de politie, waarbij ook beveiligingsbeelden met daarop de vermoedelijke daders zijn overhandigd. “Privacy van onze studenten en medewerkers heeft voor ons als organisatie absolute topprioriteit. Wij betreuren het dan ook enorm dat dit heeft kunnen gebeuren. Daarom beoordelen we opnieuw of er vergelijkbare maatwerk situaties zijn voor de VU”, aldus bestuurslid Marcel Nollen.

Het lijkt erop dat de beveiliging van de gestolen laptops niet op orde was. Ook is het bewaartermijn dat de VU hanteert overschreden. De VU schrijft: "Apparaten die door de dienst IT worden uitgegeven en beheerd zijn standaard versleuteld. De gestolen computer was een stand-alone opstelling. Deze opstelling was uniek en maatwerk en daarmee niet uitgerust met de voor de VU gebruikelijke IT-beveiligingsmaatregelen. De gegevens op de computer zijn niet tijdig gewist volgens de VU bewaartermijnlijst. Een ongelukkige samenloop van omstandigheden die wij enorm betreuren."

Oud-studenten getroffen

Bij het datalek zijn gegevens uitgelekt van studenten die zich tussen 2003 en 2008 hebben ingeschreven voor een doctoraal-, bachelor -of masteropleiding, of hebben geprobeerd zich in te schrijven voor een studie aan de VU. Van deze groep zijn mogelijk paspoorten en/of verblijfsvergunningen, cijferlijsten en/of diploma's, eventuele gegevens over betalingsachterstanden en bezwaarschriften uitgelekt.

Daarnaast zijn ook internationale studenten die in de periode 2008-2009 t/m 2014-2015 zich hebben ingeschreven voor een studie aan de VU getroffen. Van deze groep zijn mogelijk paspoortgegevens, verblijfsvergunningen, informatie over vooropleidingen en correspondentie zoals bezwaarschriften of een bevestiging ambtshalve uitschrijving uitgelekt.

Van studenten met een Nederlandse vooropleiding (vwo of hbo-p) met één of meer deficiënties is mogelijk het certificaat van het behaalde vak uitgelekt. Van bijvakstudenten die een los vak aan de VU hebben gevolgd t/m studiejaar 2012-2013 is mogelijk het paspoort gestolen.

Op een informatiepagina geeft de universiteit updates over het datalek.