Intern onderzoek naar lek ID-Ware nu openbaar

‘Stop de verwerking van de geboorteplaats, geboortedatum en geslacht in het campuskaartproces.’ In het rapport van Bart Schellekens, de onafhankelijke Functionaris Gegevensbescherming van de TU/e, die een intern onderzoek uitvoerde naar het lekken van gegevens in oktober 2022 van duizenden houders van een campuskaart, is dat de eerste aanbeveling. De oorzaak van dat lek lag bij kaartenproducent ID-Ware, die gehackt was. Wat had de universiteit kunnen of moeten doen om de risico’s zo beperkt mogelijk te houden?

door
foto Hamzaturkkol / iStock

Kijkend naar de overige aanbevelingen die Schellekens opsomt in zijn rapport, blijkt dat er nog best wel wat werk aan de winkel is en de universiteit krijgt van hem ook de aanbeveling om de samenwerking met ID-Ware te evalueren en met deze partij in gesprek te gaan over de bevindingen uit het rapport. In het rapport vindt de lezer ook een actieplan met een tijdslijn. Directeur LIS, Frank Hendrickx laat weten dat de universiteit op schema loopt met de geplande acties. 

Schellekens zegt de beschikking te hebben gehad over alle informatie die voor zijn onderzoek relevant was. "De universiteit heeft de wettelijke verplichting om me daar toegang toe te geven en dat is ook zonder problemen gebeurd. Ik heb ook inzicht gekregen in het onderzoeksrapport dat ID-Ware heeft laten opstellen door het forensisch bureau Fox IT." In zijn eigen rapport constateert Schellekens dat de TU/e het datalek tijdig gemeld heeft bij de Autoriteit Persoonsgegevens en ook de direct betrokkenen, zijnde de campuskaarthouders, zijn ‘tijdig en correct geïnformeerd’.

Drie stappen

Dat laatste ging in drie stappen, omdat er steeds meer informatie over de precieze omvang van het lek bekend werd. "Het leek in eerste instantie om een kleiner lek te gaan", vertelt Schellekens, "waar 1822 personen bij betrokken waren." Die werden per mail op de hoogte gesteld, maar al snel werd duidelijk dat het lek toch groter was. Op 21 oktober ging er weer een bericht uit, toen bleek dat de gegevens van zo’n kleine 22.000 personen waren gelekt. Het zou daarbij gaan om NAW-gegevens, zoals naam, adres en campuspasnummer, ‘maar geen wachtwoorden, foto’s of sleutelbestanden’, aldus dat bericht. Op 7 november werd bekend dat van een deel van die gebruikers ook de pasfoto’s waren gelekt - bij 2846 van hen - en telefoonnummers - dat was het geval voor 2166 mensen.

Schellekens schrijft dan ook dat dit leidde tot ‘onrust in de TU/e-gemeenschap over de omstandigheden van dit datalek’. Het nu openbaar gemaakte rapport is bedoeld ‘om binnen korte tijd antwoord te krijgen op de meest prangende vragen’. Het kwam gisteren online en dateert van vorige maand. De inhoud is rond die tijd onder meer ook besproken met leden van de betrokken U-raadscommissie.   

Kritische opmerkingen

Over het campuskaartproces zijn kritische opmerkingen te lezen. Zo constateert Schellekens dat er aan ID-Ware meer persoonsgegevens verstrekt zijn dan nodig is en ook is de generieke bewaartermijn voor sommige categorieën persoonsgegevens te lang. Dat waren zaken waar getroffen medewerkers en studenten en ook Cursor al direct vraagtekens bij plaatsten toen het lek in oktober bekend werd.

Bovendien zou er een discrepantie zijn tussen de juridische afspraken en de daadwerkelijke verwerking en ook de omgang van de leverancier - lees: ID-Ware - met persoonsgegevens roept vragen op. 'De verwerkingsactiviteit met betrekking tot het campuskaartproces voldoet niet aan de wettelijke principes van gegevensminimalisatie en opslagbeperking', zo staat er wat wijdlopig omschreven. ‘Als gevolg hiervan was de impact van het incident groter dan het zou zijn geweest als de gegevensverwerking had voldaan aan de normen die zijn vastgelegd in de AVG’, zo concludeert Schellekens.

Schellekens beveelt aan om de geplande Data Protection Impact Assessment (DPIA) van het campuskaartproces uit te voeren en waar nodig de daadwerkelijke gegevensverwerking aan te passen op basis van de resultaten van die DPIA. Ook moet ID-Ware alle gegevens vernietigen die niet nodig zijn voor de dienstverlening en het register van verwerkingsactiviteiten moet gecorrigeerd worden. Dit zijn overigens aanbevelingen waar Schellekens in zijn functie als toezichthouder verder niets mee zal doen. "Dit is iets wat onder de diensten Library & Information Services (LIS) en Real Estate (RE) valt om mee aan de slag te gaan." In de inleidende brief die het College van Bestuur aan het rapport toevoegde, staat dat er inmiddels een actieplan is opgesteld op basis van de aanbevelingen uit het rapport. 

Ontoereikend niveau

In het oog springend is de opmerking van Schellekens dat ‘de bevindingen van dit rapport niet los kunnen worden gezien van het nog steeds ontoereikende niveau van volwassenheid van gegevensbescherming. De belangrijkste aanbeveling is om de reeds geplande en geïnitieerde acties om dit niveau structureel te verhogen, te ondersteunen en te versnellen’. Ook moet volgens hem beleid ontworpen en geïmplementeerd worden ‘dat ervoor zorgt dat wijzigingen in verwerkingsactiviteiten worden beoordeeld en, indien nodig, resulteren in de wijziging van formele documenten en het register van verwerkingsactiviteiten.’ 

Daarnaast moeten de gegevensstromen naar de huidige leveranciers geanalyseerd worden en moeten die vergeleken worden met de categorieën persoonsgegevens die zijn opgenomen in de bijbehorende verwerkingsovereenkomsten en het register van verwerkingsactiviteiten. Leveranciers moeten hier periodiek op gecontroleerd worden en er moet voldoende budget zijn om dit ook mogelijk te maken. In de eerdergenoemde brief van het CvB wordt de noodzaak van al deze aanbevelingen erkend 'om vergelijkbare incidenten in de toekomst te voorkomen'.

Er is een FAQ-site ingericht, waar meer informatie rondom deze kwestie te vinden is.

Cursor gaat volgende week bij LIS navragen wat deze afdeling gaat doen of inmiddels al gedaan heeft met de aanbevelingen uit het rapport.

Deel dit artikel