Toelichting op de aanpassing van dit artikel op vrijdag 25 november:

Bij de pogingen van Cursor om te achterhalen sinds welk jaar er campuskaarten naar de thuisadressen van studenten en medewerkers worden gestuurd, kreeg Cursor vanuit de dienst Digital Management & Library (DML) het volgende antwoord: ‘Studenten met een Nederlands postadres ontvangen de pas op hun postadres. Dit zal veelal gaan om het thuisadres. Studenten met een buitenlands postadres krijgen de pas niet thuisgestuurd en dienen de pas op te halen op de campus.’ Cursor stelde daarop een vervolgvraag: ‘Geldt dat opsturen van de pas voor alle studenten, of alleen voor bachelorstudenten die aan hun eerste jaar beginnen? En wat is de regeling voor nieuwe medewerkers; krijgen die de pas toegestuurd of moeten die hem altijd komen ophalen op de universiteit?’ Daarop kwam het volgende antwoord: ‘Het huidige proces zoals beschreven in de eerdere mail geldt sinds mei 2021 voor alle studenten en voor alle medewerkers. Uitzondering zijn de JADS-kaarten, die gaan naar JADS Den Bosch.’ Op basis daarvan trok Cursor de conclusie dat dit voor mei 2021 nog niet het geval was en kaarten opgehaald moesten worden. Dat zou dan niet volledig overeenkomen met een eerdere verklaring van het CvB dat de thuisadressen altijd al nodig waren om de campuskaarten op te sturen.

De woordvoerder van het CvB verklaarde vandaag, vrijdag 25 november, dat “de bulk van de passen” gemaakt voor nieuwe studenten “al vele jaren” naar hen wordt toegestuurd door ID-Ware. Hoelang al precies wordt niet meegedeeld. Volgens de woordvoerder is er nu ook nog geen basis om te concluderen dat de adresgegevens van personeel al voor 2021 gedeeld werden. "Het kan ook zo zijn dat de adresgegevens van bestaand personeel, dat voor 2021 in dienst is gekomen, na 2021 zijn gestuurd aan ID-Ware met het oog op het eventueel toesturen van vervangende passen”, aldus de woordvoerder. Volgens hem is die informatie geverifieerd en “neemt het de bodem weg voor de conclusie dat het CvB onjuiste informatie verspreidt”.

Over de hack bij ID-Ware, het bedrijf waar de TU/e al sinds 2014 mee samenwerkt en haar campuskaarten laat maken, zijn de gebruikers - studenten en medewerkers - al twee keer geïnformeerd door de universiteit. Eerst op 21 oktober, toen de hack en het lekken van de gegevens van zo’n 21.000 personen bekend werd gemaakt. Het zou gaan om NAW-gegevens, zoals naam, adres en campuspasnummer, ‘maar geen wachtwoorden, foto’s of sleutelbestanden’, aldus dat bericht. Op 7 november werd meer bekend; nadat ID-Ware haar eigen onderzoek had afgerond bleek dat er van een deel van die gebruikers ook pasfoto’s waren gelekt - bij 2846 van hen - en telefoonnummers - dat was het geval voor 2166 mensen. Die zouden per mail daarover geïnformeerd zijn.

U-raad geschrokken

Sinds het bekend worden van de hack en het lekken van persoonsgegevens leven er vragen binnen de TU/e-gemeenschap over hoe dit mogelijk is en waarom ID-Ware de beschikking heeft over zoveel data. Thomas Koot van studentenfractie DAS en voorzitter van de U-raadscommissie Informatiemanagement (IM), zegt dat de U-raad is geschrokken van het lek en benadrukt hoe belangrijk het is “dat de TU/e leert van fouten die mogelijk door de universiteit zijn gemaakt om zo in de toekomst een gegevenslek te voorkomen.”

De commissie waar hij voorzitter van is heeft over de hack een speciale vergadering gehad “met de business owner, de gedelegeerd business owner, de crisismanager en de functionaris gegevensbescherming. Onze commissie is uitstekend te woord gestaan, maar sommige vragen konden op dat moment nog niet of niet volledig worden beantwoord omdat het eigen onderzoek van de universiteit nog in volle gang is", vertelt Koot.

Het onderwerp staat volgende week maandag 28 november ook op de agenda van de U-raadsvergadering. Schriftelijk zijn er al vragen voorgelegd aan het CvB. Onder meer de vraag waarom ID-Ware de beschikking had over zoveel gegevens die niet nodig zijn voor uitgifte van de kaart, zoals onder meer de geboorteplaats van de kaarthouder, en waarom tien jaar na het aanmaken van een kaart die gegevens nog altijd aanwezig zijn bij ID-Ware. Ook blijkt volgens de U-raad het AVG Verwerkingsregister van de TU/e niet voor honderd procent compleet en correct te zijn. Wanneer wordt dat geüpdatet en gecorrigeerd, wil de commissie van Koot graag weten. Het CvB heeft Koot al laten weten dat het interne onderzoeksrapport gedeeld zal worden met de IM-commissie en dat potentieel vergelijkbare privacy-risico’s in de TU/e-omgeving ook worden geanalyseerd.

Token of kopie

Tom Verhoeff, universitair docent bij Mathematics & Computer Science, zegt zich ook zorgen te maken over dit datalek. Verhoeff: “Je vraagt je af tot welke persoonsgegevens ID-Ware allemaal toegang had en hoe die toegang werd verleend. Ging dat middels een token waarmee ze in het TU/e-systeem kunnen, of kregen ze regelmatig een kopie van de data? Of nog een derde optie: heeft iemand bij ID-Ware een kopie van deze data gedownload naar een minder goed beveiligd systeem, om wat voor reden dan ook, bijvoorbeeld om een nieuwe feature te testen, of een analyse uit te voeren. Afhankelijk van de manier kan dat verschillende consequenties hebben. En waarom was er toegang tot zoiets als de geboorteplaats van de kaarthouder? Dat vormt nu een extra risico op identiteitsfraude.”

Toestemming

Cursor heeft gevraagd om een compleet overzicht van de persoonsgegevens van medewerkers en studenten die de universiteit deelt met derden en of daar ook toestemming voor is. Het CvB geeft hier het volgende antwoord op: “De foto (van de kaarthouder, red.) is nodig op de pas zodat die kan dienen als legitimatie. Gelet op de noodzaak tot gebruik van de foto en het gerechtvaardigd belang van TU/e hierbij, is het vragen van toestemming aan de pashouder om de pasfoto te verstrekken aan ID-Ware, wettelijk niet vereist. De TU/e wil hier wel zorgvuldig mee omgaan en bekijkt wat er in de toekomst nodig is.”

Op de algemenere vraag welke persoonsgegevens er aan derde partijen worden verstrekt, zoals aan ID-Ware, en of voor het verstrekken van die gegevens wel of geen toestemming nodig is c.q. gevraagd is, heeft het CvB nog geen antwoord gegeven.

Eerder verklaarde vicevoorzitter Nicole Ummelen al dat ID-Ware de privéadressen van studenten en medewerkers nodig heeft om de campuskaart te kunnen opsturen. Cursor vroeg naar de noodzaak daarvan en of er niet voor gekozen kan worden om de kaart bij aanvang van werk of studie op te laten halen op de universiteit. Het naar het thuisadres sturen van de kaart betekent een extra risico, want de kaart kan dan makkelijker worden onderschept dan wanneer mensen hem persoonlijk moeten ophalen. Het CvB laat weten dat “uit service-overwegingen er altijd naar is gestreefd dat nieuwe studenten en medewerkers hun campuspas in huis hebben ruim voor hun eerste werk- of studiedag op de campus. Het privéadres is dan nodig voor de toezending.”

Eigen onderzoek

In het nieuwsbericht van 7 november liet de TU/e weten dat het onderzoek van ID-Ware was afgerond. “Het afgeronde onderzoek betreft het eigen onderzoek van ID-ware naar de ransomware-aanval aldaar en de gevolgen daarvan”, zegt het CvB in reactie op aanvullende vragen van Cursor. “We zijn aanvullend drukdoende met ons eigen onderzoek naar de exacte toedracht en achtergronden in relatie tot de verwerkte gegevens van de TU/e. Ook de onafhankelijke functionaris gegevensbescherming doet onderzoek. Op basis daarvan zal de TU/e conclusies trekken over deze situaties en over de preventie van soortgelijke situaties.” De beleidswoordvoerder laat weten dat dit onderzoek nog enige weken in beslag kan nemen.

Op de vraag of de samenwerking met ID-Ware nu gestopt of gestaakt wordt, antwoordt het CvB dat het “te vroeg is om op deze vraag vooruit te lopen. We onderzoeken eerst zelf de exacte toedracht.”