Datalek Vrije Universiteit treft studenten met inschrijving tussen 2003 en 2019

De Vrije Universiteit in Amsterdam heeft een datalek gemeld, nadat een laptop van de universiteit is gestolen. Op de ontvreemde computer stonden persoonsgegevens van (oud-)studenten. De universiteit heeft melding gedaan van het datalek bij de Autoriteit Persoonsgegevens.

Op zijn website en via een mail aan alumni maakt de VU bekend dat er op 25 november dit jaar twee laptops zijn gestolen van de campus in Amsterdam. Op een van de laptops stonden persoonsgegevens van studenten, waaronder kopieën van paspoorten en verblijfsvergunningen. De VU weet niet precies wie er is geraakt door het datalek en schrijft daarom een breed aantal (oud-)studenten aan dat zich in specifieke jaren heeft ingeschreven voor een studie.

De eerste groep die mogelijk is getroffen, zijn studenten die zich tussen 2003 en 2008 hebben ingeschreven voor een doctoraal-, bachelor- of masteropleiding. Ook studenten die zich hebben proberen in te schrijven zijn mogelijk getroffen. Het gaat om zowel Nederlandse als internationale studenten. Naast een kopie paspoort of verblijfsvergunning is van deze studenten mogelijk ook een cijferlijst, informatie over betalingsachterstand of een bezwaar gelekt.

De tweede groep waarvan data op de laptops staat, zijn internationale studenten die zich tussen 2008 en 2015 hebben ingeschreven voor een studie. Van deze studenten zijn mogelijk ook identiteitsbewijzen en correspondentie zoals bezwaarschriften gelekt.

De derde groep bestaat uit studenten die tussen 2008 en 2019 een bijvak volgden aan de VU of een vooropleiding hadden met een of meer ontbrekende vakken. Van deze studenten zijn mogelijk behaalde certificaten gelekt.

Volgens de VU zijn de laptops die zijn gestolen onderdeel van een 'unieke opstelling' en daardoor niet voorzien van de standaard beveiliging van pc's op de universiteit. Daardoor is de data op de laptops volgens de universiteit niet versleuteld. De Universiteit doet momenteel nog onderzoek naar de omvang van het datalek. Ook monitort de VU of de gegevens op het internet verschijnen.

Reacties (107)

Eragon666 20 december 2022 18:02

Unieke opstelling, wellicht een algemene laptop voor administratie waar iedereen bij moest waardoor er geen accounts/wachtwoorden opzaten en encryptie wellicht lastiger was?

Allemaal totaal geen argumenten om zoveel prive gegevens op 1 laptop te zetten. Eigenlijk zou er nooit echt een argument moeten zijn om zoveel prive gegevens op 1 laptop te zetten...

12k nieuwe studenten per jaar (https://www.advalvas.vu.n...grens-van-30000-studenten) als het echt sinds 2008 is heb je het al ruim over 100K+ studenten, dat is een beste datalek.

cYlicious @Eragon666 • 20 december 2022 18:26

Een “collectieve” laptop is nog geen reden om geen full disk encryption toe te passen. We hebben dat ook in ons netwerk, maar gebruiken dan een algemene key die iedereen kent. Vergelijk het met een kluis in een bureau, daarvan kent ook iedereen die het nodig heeft de code.

wica @cYlicious • 20 december 2022 20:01

In tegenstelling van de kluis, heb je bij computers juist de mogelijkheid om aan te tonen, dat iemand iets niet gedaan kan hebben.
Door een algemeen account te gebruiken, kan iedereen het gedaan hebben. Idd, net zo als de kluis.

ANdrode

@wica • 20 december 2022 20:26

Een moderne kluis kan ook meerdere persoonsgebonden codes en een audit log hebben.

Het model met persoonsgebonden toegang is dus in beide situaties mogelijk

wica @ANdrode • 21 december 2022 08:28

Maar dan is het een kluis met een computer.

ANdrode

@wica • 21 december 2022 09:57

Klopt. Een kluis met een code er op.

Of mogelijk zelfs een code plus sleutel. Een kluis met two factor authenticatie

CPV @Eragon666 • 20 december 2022 18:53

nooit echt een argument moeten zijn om zoveel prive gegevens op 1 laptop te zetten...

om zoveel prive gegevens überhaupt op 'n laptop te zetten, die zo eenvoudig mee te nemen is.

batjes @CPV • 21 december 2022 09:51

Heb jij je laptop aan de ketting liggen?

Het meenemen is het probleem niet, je moet er als IT afdeling juist vanuit gaan dat laptops/telefoons e.d. "meegenomen worden" (9/10 keer is het gewoon een gebruiker die het ergens laat slingeren).

Met een goede implementatie van Windows Hello, lekt een wachtwoord b.v. niet
Met Bitlocker is alle data toch encrypted.
Met Endpoint kan je een remote wipe uitvoeren.

Mogelijkheden genoeg.

CPV @batjes • 21 december 2022 12:13

Nee, laptops zijn gewoon te jatten.

De gevolgen moet door het bedrijf onder controle gehouden worden door de punten die jij noemt.
En dat is er blijkbaar nagelaten.

Klauwhamer @batjes • 22 december 2022 11:18

Alleen: die mogelijkheden horen niet nodig te zijn, kom op zeg. Het is totaal krankzinnig dat de VU deze manier van werken hanteert en ik pleit er voor dit hard af te straffen. Er zijn legio mogelijkheden dit wél fatsoenlijk in te richten zodat een gestolen laptop alsnog geen toegang geeft tot die data.

Scordatura @Eragon666 • 20 december 2022 20:35

Dat kan significant lager uitvallen omdat het hier gaan om studenten die niet via Studielink zijn ingeschreven: het overgrote deel van de Nederlandse studenten schrijft zich in via Studielink. Deze zouden dus, als deze informatie klopt, niet getroffen zijn.

Van de VU zelf:
"Het gaat om documenten die benodigd zijn voor een inschrijving voor een doctoraal-, bachelor- of masteropleiding en waarvan de inschrijving niet via Studielink is verlopen. "

https://vu.nl/nl/over-de-vu/meer-over/datalek

Anatidae @Scordatura • 20 december 2022 21:11

Ik heb de mail ontvangen terwijl ik me ingeschreven heb via studielink. Voelt beetje dubbel, moet ik me nou wel of niet zorgen maken,

La1974 @Anatidae • 20 december 2022 21:41

Ik heb die mail ook ontvangen en dat voorbehoud over Studielink staat niet in de mail. Heel vreemd.

whoeier @Anatidae • 21 december 2022 08:27

De mail is naar alle alumni uit die periode verzonden vermoedelijk, gezien ze niet weten om wie het exact gaat ( Ergo, ze hebben vermoedelijk geen nette index)

Platpoot @Eragon666 • 20 december 2022 21:41

Ik geniet hier juist van, dit zijn exact de uitzonderingen die klanten willen tegen alle adviezen van techneuten in (in zijn algemeenheid). Oh ja de raad van bestuur wil graag hun prive ipad gebruiken, die vinden zo'n pincode namelijk heel onhandig. Ik: Dat lijkt me hoogst onverstandig. Klant twee weken later, ja dit moet toch gebeuren want anders kunnen ze hun werk niet doen.

Schiet mij maar lek hoor...

dok33 @Platpoot • 21 december 2022 09:34

Het zijn ook altiijd vooral die hoge piefen met toegang tot veel te veel data waarvoor dan een uitzondering gemaakt moet worden...

En dan weer een programma van drie jaar waarin je alle servers in een aparte netwerkzone gaat onderbrengen zodra zo'n pief zijn iPad in een taxi heeft laten liggen, en waarin die iPad nog steeds niet beveiligd zal worden.

Zinloos complex maken van al je achterliggende infrastructuur, maar uiteindelijk gaat het toch mis op mensen, die de regels of maatregelen omzeilen omdat het te complex werd.

nst6ldr @Eragon666 • 20 december 2022 19:28

Allemaal totaal geen argumenten om zoveel prive gegevens op 1 laptop te zetten. Eigenlijk zou er nooit echt een argument moeten zijn om zoveel prive gegevens op 1 laptop te zetten...

De ironie dat er altijd word geschermd met de complexiteit van een omgeving om geen maatregelen te willen nemen. Dit zou voorpagina materiaal in de krant moeten zijn, door het slijk met die tent.

Mathijs22 @Eragon666 • 20 december 2022 19:40

Unieke opstelling, wellicht een algemene laptop voor administratie waar iedereen bij moest waardoor er geen accounts/wachtwoorden opzaten en encryptie wellicht lastiger was?

Dat is een aanname die door geen enkel feit ondersteund is. Een laptop uit de ontwikkelingsomgeving is vele malen meer aannemelijk.

Abysmax @Mathijs22 • 21 december 2022 10:46

Ontwikkel omgeving met productie data? Lijkt mij toch niet zo aannemelijk.

TheekAzzaBreek @Eragon666 • 21 december 2022 00:20

Unieke opstelling, wellicht een algemene laptop voor administratie waar iedereen bij moest [...]

'Unieke opstellingen' heb je in de universitaire wereld relatief veel.

Deels heb je te maken met heel slimme mensen die je zo min mogelijk wil beperken maar eisen hebben waar je als IT organisatie niet aan kan voldoen. Deels met analisten in de ondersteuning die met plakband en paperclips de organisatie van inzichten voorziet, gemiddeld een wat gevorderde leeftijd hebben en helemaal niet staan te springen om hun werkwijze te veranderen of zelfs hun local admin op te geven

Het hoger onderwijs is hier echt heel druk mee bezig, maar in dit specifieka veld is het gewoon lastig veiligheid goed in te regelen zonder op kwaliteit te veel in te leveren.

darkdesign 20 december 2022 18:53

Dat is niet zo mooi. Hoe kom je erachter of je gegevens erbij zitten?

whoeier @darkdesign • 20 december 2022 19:35

Voor dit soort vragen;
Quote site vu.nl:
"Je kunt de telefonische helpdesk t/m 23 december op werkdagen tussen 10.00 uur en 16.30 uur en vanaf 27 december t/m 31 januari op werkdagen tussen 10.00 uur en 14.00 uur bereiken op +31 20 5980900. Je kunt ook een bericht sturen naar: gegevensverwerking@vu.nl.    "

Mr.Barry @darkdesign • 20 december 2022 21:08

Ik heb een mail ontvangen, dus lijkt me dat jij dat ook mochten je gegevens zijn buitgemaakt. Echt schandalig hoe dat kan, ik ben al een decennium weg bij de VU, hoe kan het dat zij nog zulke privacy-gevoelige informatie bewaren. En nog unencrypted ook… Diploma’s staan elders geregistreerd. Meer dan een e-mail als alumni hebben ze toch niet nodig?

sOid @Mr.Barry • 20 december 2022 21:21

Ik heb een paar vrienden benaderd die er waarschijnlijk ook bij zitten, maar zij hebben geen mail gekregen. In de tijd dat ze daar studeerden gebruikten ze ook nog een ander e-mailadres.

Hoe weet de VU of de (contact)gegevens die zij hebben actueel zijn? Heb je naderhand als alumni nog een verzoek gehad om gegevens te updaten ofzo?

SunnieNL

@Mr.Barry • 21 december 2022 07:56

Ik zat mij ook al af te vragen waarom de VU nog kopieen van verblijfsvergunning en paspoorten heeft opgeslagen voor mensen die begonnen zijn voor 2009. Volgens de GDPR hadden die al lang weg moeten zijn. Op het moment dat iemand afstudeert en verder niet meer verder gaat aan de uni zijn die gegevens totaal niet meer nodig.
En een 'unieke' opstelling te gebruiken om de reden voor niet encrypt opslagen slaat natuurlijk al helemaal nergens meer op. PII gegevens zouden altijd encrypt opgeslagen moeten worden.

sjettepetJR. @SunnieNL • 21 december 2022 17:35

Dat argument waarom het niet encrypted was slaat inderdaad helemaal nergens op. Een beetje van het niveau "ja maar agent, omdat ik een tuinstoel gebruik als stoel in mijn auto kan ik de riem nergens aan vastmaken.". Dat de opstelling in de basis al zo ruk is betekend des te meer dat het jouw schuld is.

TheekAzzaBreek @Mr.Barry • 20 december 2022 23:55

Dat eist het ministerie van ze, naar ik hoor met wettelijke grondslag (vraag me geen details, niet mijn veld).

Coolstart @Mr.Barry • 21 december 2022 09:22

Idd, hoe is zoiets mogelijk?

Volgens de VU zijn de laptops die zijn gestolen onderdeel van een 'unieke opstelling' en daardoor niet voorzien van de standaard beveiliging van pc's op de universiteit. Daardoor is de data op de laptops volgens de universiteit niet versleuteld.

Unieke opstelling, Wat een uitleg!? Die ‘daardoor’ stoort me. Is encryptie niet standaard aan te vinken op elke laptop? Mijn mac heeft het alvast out of the box. Welk excuus heb je nog?

Voor mij mogen ze al een boete krijgen van €100 per persoon vaarvan de data onversleuteld te grabbel lag.

Bedrijven en organisaties moeten beseffen dat met ze bankroet kunnen gaan door zo onverschillig en onprofessioneel om te gaan met persoonsdata.

Bij overheidsinstanties die niet bankroet kunnen gaan zou ik bij zo’n flagrante nalatigheid bijv een bestuurswissel opleggen. Enkel zo gaat men men bestuursleden aanwerven die aandacht hebben voor dataveiligheid.

Blokker_1999

Datalek
Beveiliging en antivirus

@darkdesign • 20 december 2022 19:01

Op dit moment niet. De universiteit lijkt zelf niet met zekerheid te kunnen zeggen wat er wel of niet op de laptop stond. Als iemand de laptops heeft gestolen voor de data die er op stond, dan zal je het pas kunnen opzoeken als de data wordt gepubliceerd. Tot dan, als je een bericht hebt gehad van de universiteit, er gewoon van uitgaan dat je data er bij zit.

x280 20 december 2022 18:00

Hoelang mag / moet een universiteit data bewaren ?

wildhagen

Beveiliging en antivirus
Datalek

@x280 • 20 december 2022 18:07

Als ik deze site van het UvA bekijk, varieert het nogal van soort gegevens. Varieert van 2 jaar tot 50 jaar (!) of zelfs permanent.

UvT heeft ook wat aardige info hierover:

Er is op grond van de AVG geen concrete bewaartermijn voor persoonsgegevens. Organisaties moeten zelf bepalen hoe lang zij persoonsgegevens bewaren. Hierbij moet worden gekeken naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt. Wel zijn er concrete bewaartermijnen in andere wetten waar men zich aan moet houden. Bijvoorbeeld op grond van belastingwetgeving.

Zie deze site.

[Reactie gewijzigd door wildhagen op 23 juli 2024 01:21]

Immanent Ike @wildhagen • 20 december 2022 22:55

Het getuigschrift wordt 50 jaar na afgave bewaard. Er is nauwelijks noodzaak om diploma's/getuigschriften die gebruikt worden voor toelating te bewaren op het moment dat een student is toegelaten. Deze gegevens mogen daarom ook daarom ook maar beperkt bewaard worden (2 jaar).

Ik heb op een universiteit gewerkt en daar hadden ze toendertijd geen goede manier in het systeem om dergelijke toelatingsinformatie op te slaan. Het studenteninformatie systeem had geen regel waar gezet kon worden met wat voor een diploma iemand binnenkwam. De oplossing was om een kopie van het diploma op te slaan in het edossier van de student.

Waarschijnlijk is zoiets hier ook gebeurt en zijn ze teveel blijven hangen in processen die vroeger uit 'noodzaak' zo zijn opgetuigd.

Een universiteit is sowieso wel lastig om de privacy strak te regelen. Vrijwel iedereen die er werkt is constant bezig met persoonsgegevens te verwerken. Van heel gevoelige gegevens, en studieresultaten tot geanonimiseerde gegevens. En een universiteit heeft een organisatiestuctuur die het heel lastig maakt zicht te houden op de juiste naleving van de regels.

TheekAzzaBreek @wildhagen • 21 december 2022 00:00

\ Varieert van 2 jaar tot 50 jaar (!) of zelfs permanent.

Da's niet zo gek.

Sterker: ik verwacht dat ook, dat een diploma of certificaat reproduceerbeer zijn tenminste tjdens m'n werkzame leven.

batjes @TheekAzzaBreek • 21 december 2022 09:48

Als je de middelbare school voor 2006 hebt afgerond, is de kans aanwezig dat je dat diploma nooit meer terug kan krijgen als je deze zelf niet meer hebt. Vanaf 2006 zijn de diploma's digitaal bij DUO geregistreerd. Alle jaren daarvoor zijn de scholen zelf verantwoordelijk voor geweest.

Zelf ben ik technisch ongeschoold, mijn oude middelbare school heeft mijn diploma nooit gedigitaliseerd en ze hebben het oude archief al lang bij het grof vuil gezet.

2fastTG @x280 • 21 december 2022 09:43

De meeste bewaartermijnen zijn omschreven in dit document: https://www.nationaalarch...tair-medische-centra-2020

RogerSch 20 december 2022 18:03

Sorry maar dit soort persoonsgevoelige gegevens hoor je toch helemaal niet op een laptop te bewaren..
En zeker niet onversleuteld. Een boete is niet voldoende in dit soort gevallen maar het bestuur / directie van een organisatie zou hiervoor persoonlijk verantwoordelijk moeten worden gehouden bij grove nalatigheid. Dit in de hoop dat informatiebeveiliging eindelijk serieus wordt genomen door het bestuur / directie

Vaevictis_ @RogerSch • 20 december 2022 18:08

En al helemaal niet zo'n lange history. Hier is een fikse boete op zijn plaats.

Guneyd @RogerSch • 20 december 2022 18:10

Ik heb normaal gesproken altijd 'geluk' wanneer er een datalek is. Mijn actuele accounts zijn goed beveiligd en ik ben voorzichtig met hoe ik te werk ga, maar dit.... wat moet ik hier nou mee? Ik ben waarschijnlijk 1 van de getroffenen en het is als ik dit zo lees niet simpelweg een wachtwoord wat gelekt is, maar mijn identiteitsgegevens (paspoort).

Instanties die met zulke gevoelige data omgaan, moeten echt VEEL strenger gecontroleerd worden en in zulke gevallen streng beboet, dus ik kan mij wel aansluiten op wat je zegt Rogert.

Overheidsorganisaties e.d. moeten al aan strenge eisen voldoen om met BSN gegevens te kunnen werken en daarnaast is er ook vaak sprake van encryptie op basis van bijv. PKIOverheid certificaten (zoals in het geval van DigiD, eHerkenning en/of eIDAS). Indien hetzelfde (nog) niet van toepassing is op universiteiten, dan zou hier snel verandering in moeten komen.

Triblade_8472 @Guneyd • 20 december 2022 18:55

Een deel is het goedkoper en makkelijker maken om zaken te beveiligen, en aan de andere kans flink zwaarder beboeten. Ook zullen er vele malen meer serieuze controlles moeten plaatsvinden, te beginnen bij grote organisaties en instellingen. Te denken aan overheden (nationaal, provinciaal en lokaal), grote scholen, kerken, grote verenigingen, verzekeraars, banken, webshops (bol, cool blue, amazon). En dan door naar de kleinere varianten en meer.

sOid @Guneyd • 20 december 2022 22:13

Logius is intussen gestopt met het uitgeven van (publiek vertrouwde) PKIOverheid-certificaten, zie het meest recente nieuwsbericht van Logius. Het rootcertificaat (Staat der Nederlanden EV Root CA) is inmiddels ook verlopen. Zie voor meer informatie dit artikel op Computable.

Je mist trouwens nog een belangrijke in je lijstje, namelijk de ENSIA-audits. En naar verwachting wordt er vanaf 2024/2025 ook geaudit op de Baseline Informatiebeveiliging Overheid (BIO).

Al zijn audits, net als bijvoorbeeld ISO27001-certificeringen, verre van zaligmakend.

(Ik cc jou even, @Triblade_8472, aangezien jij het in jouw reactie over controles hebt

Triblade_8472 @sOid • 21 december 2022 07:44

Hey, tof. Er staan zeker zaken in die ik nog niet wist, dus fijn dat je op mij reageert!

Wel goed en terecht dat er geaudit wordt. Mijn grote hoop is dat het serieus gebeurt en niet zo nep als de iso27001 audits die ik heb meegemaakt.

[Reactie gewijzigd door Triblade_8472 op 23 juli 2024 01:21]

dok33 @Triblade_8472 • 21 december 2022 09:39

Die ISO certificeringen zijn ook vooral controleren of je je eigen regeltjes volgt, en overal een procedure voor hebt opgeschreven. Voor de 9000 serie is bijvoorbeeld "Jan vervangt elke woensdag de tape en legt die in zijn burola" een prima beschrijving van je bedrijfsproces, als dat ook daadwerkelijk is wat er gebeurt.

Er zit geen controle op de kwaliteit van de beschreven processen, alleen of je alles hebt beschreven.

[Reactie gewijzigd door dok33 op 23 juli 2024 01:21]

BobvdW @dok33 • 21 december 2022 10:15

ik heb eens de procedure geschreven: "we maken geen backups" en vervolgens voldeed ik daar aan. Idee erachter was ook om het management met regels te laten komen waar aan te voldoen.

dok33 @BobvdW • 21 december 2022 13:15

Goede procedure, de meeste backups hebben toch geen zin.

Triblade_8472 @dok33 • 21 december 2022 19:38

Tot je gecryptolockered wordt. Of begrijp ik je sarcasme niet?

dok33 @Triblade_8472 • 22 december 2022 09:46

Nou, hoeveel backups hebben daaadwerkelijk een restoretest ondergaan?

EN als je dan een restoretest ondergaat, dan kom je er achter dat je onderdeel bent van een systeem van samenhangende servers/databases en niet alles in dezelfde staat is, en dus onbruikbaar.

Nee, geen sarcasme dus, het is gewoon echt zo dat veel backups geen enkele zin hebben.

Hooguit als disaster recovery, zodat je niet helemaal vanaf nul hoeft te beginnen.

En backups van je codebase en documentatie hebben zin, zodat je je hele systeem weer opnieuw kan genereren, met je pipelines e.d.

Triblade_8472 @dok33 • 22 december 2022 09:55

Ik heb als consultant vele bedrijven gezien dit dit op orde hadden. Ik werk nu ook ergens waar dit prima gaat.

(disaster) recovery tests, passwords/docs op USB stick regelmatig van updates voorzien in een kluis enz. Wachtwoord van de versleutelde backups ligt ook in de kluis maar ook bij de directeur onder het kussen.

Een reserve tapedrive ligt bij de leverancier.

dok33 @Triblade_8472 • 22 december 2022 15:41

Als je services stateless zijn, en je databases dubbel (of meer) uitgevoerd, wat ga je dan herstellen vanaf een backup? en in welke situaties? Er van uit gaande dat je elke database transactie apart kan terugrollen of vooruit rollen, waar heb je dan verder nog backups van nodig? Codebase (infrastructure as code) en handleidingen, toch? En je password vault misschien ;P

Guneyd @sOid • 21 december 2022 08:57

Logius is intussen gestopt met het uitgeven van (publiek vertrouwde) PKIOverheid-certificaten, zie het meest recente nieuwsbericht van Logius. Het rootcertificaat (Staat der Nederlanden EV Root CA) is inmiddels ook verlopen. Zie voor meer informatie dit artikel op Computable.

Klopt, maar er zijn nog steeds PKIOverheid-certificaten voor machine-to-machine verkeer en daarin worden dus vetrouwelijke data (zoals BSN gegevens) mee encrypted.

Je mist trouwens nog een belangrijke in je lijstje, namelijk de ENSIA-audits. En naar verwachting wordt er vanaf 2024/2025 ook geaudit op de Baseline Informatiebeveiliging Overheid (BIO).

Die kende ik nog niet, thanks! Ik zal dat nog even doornemen

Frame164 @RogerSch • 20 december 2022 20:49

Wat is de grove nalatigheid van het bestuur en/op directie in dit geval geweest? Hebben zij opdracht gegeven om data op een laptop te zetten? Moeten zij alle medewerkers continu controleren op wat zij doen? Laten we gewoon eerst beginnen met te vragen aan degene die er voor verantwoordelijk was te vragen waarom hij/zij dat gedaan heeft. Dat lost meer op dan direct de hoge bomen aan te pakken. Dat zorgt uiteindelijk alleen maar tot een onwerkbare situaties omdat er dan een gigantische bureaucratie moet worden opgezet om het in de toekomst te voorkomen.

Mathijs22 @RogerSch • 20 december 2022 19:52

Een boete is niet voldoende in dit soort gevallen maar het bestuur / directie van een organisatie zou hiervoor persoonlijk verantwoordelijk moeten worden gehouden bij grove nalatigheid.

Okay, maar....

Dus de eigenaar van de laptop is niet verantwoordelijk in jouw opinie. Moet zijn manager voor de rechter? Of het hoofd IT? Of het hoofd ondersteuning van de universiteit? Of de bestuursvoorzitter? Of de staatssrecetaris? Of de minister van onderwijs?

Of wil je eigenlijk dat Rutte papier moet oprapen in het plantsoen?

RogerSch @Mathijs22 • 20 december 2022 20:31

De bestuursvoorzitter. Hij/zij is toch de initiator dat beveiliging van data in de organisatie serieus wordt genomen...

Groningerkoek @Mathijs22 • 20 december 2022 23:47

Wat ik zou willen is dat er een strafrechtelijk onderzoek komt in dit soort zaken, en als daar schuldigen naar boven komen die grove nalatigheid hebben vertoont dan hoort daar in mijn beleving gewoon een straf bij. Als ik de kabels zo slecht aansluit dat een huis afbrand en dit blijkt uit onderzoek dan zijn voor mij persoonlijk ook de rapen gaar. Strontziek word ik van dat pappen en nathouden en allemaal maar naar elkaar wijzen.

BramViking 20 december 2022 18:59

Verbaasd mij meer dat ze dergelijke gegevens zolang bewaren?

William_H @BramViking • 20 december 2022 19:27

Waarschijnlijk, en ik zeg waarschijnlijk omdat ik het ook niet zeker weet, ivm (diploma)historie.

Mr.Barry @William_H • 20 december 2022 21:09

Onzin, dat staat geregistreerd bij de overheid. Echt schandalig dat ze deze data zo lang bewaren, en nog unencrypted ook.

TheekAzzaBreek @Mr.Barry • 21 december 2022 00:43

Nope.
Staat geregistreerd bij de opleidingsinstelling.

Rockster @BramViking • 20 december 2022 22:31

Mij ook, daarom zojuist een mail gestuurd naar gegevensverwerking@vu.nl, niet alleen om informatie op te vragen omtrent het datalek, maar ook maar meteen (mijn eerste!) inzageverzoek conform de voorbeeldbrief op https://www.autoriteitper...cyrechten/recht-op-inzage gedaan, erg benieuwd wat daar het resultaat van gaat zijn.

Bella123 @Rockster • 21 december 2022 13:26

Thanks voor de tip! Ikzelf heb gisteren een e-mail gehad en net met ze gebeld. N.a.v. Mijn inschrijving in 2015 liggen op straat: al mijn personalia, diploma en cijferlijst vooropleiding + (verlopen) kope paspoort met BSN…. Ik word hier niet vrolijk van en hoop dat we collectieve acties tegen de VU worden ondernomen. Zoals iemand al schreef: dat ze hiervoor echt door het slijk gehaald worden. Aan de telefoon werd me verteld dat de gegevens allang verwijderd hadden moeten zijn (duh) en niemand meer van het bestaan van deze desktop (ze zei expliciet: geen laptop) wist en hij zodoende aan beveiliging was ontsnapt… jaja. Wat een gigantische prutsers daar! Een hoge boete op zijn plaats!!
NB: heb ook een inschrijving gehad in 2018/19. Toen kon het wel via studielink (dat kon eerder helemaa niet) en daarvan zouden geen gegevens zijn bewaard. Wat het ook zei, ik vermoed dat deze laptops/desktops met voorbedachte rade zijn gestolen voor de data. Niemand wist meer dat ze bestonden, dus het zal niet de meest fancy en moderne stuff geweest zijn. Wat een schandaal!!

rik86 @BramViking • 21 december 2022 07:52

Als je in 2004 bent gestart, 10 jaar nodig hebt gehad dan ben je in 2014 klaar. Jaarrekening 2014 kan uiterlijk eind december 2015 afgerond zijn. 7 jaar daarna vanwege fiscale bewaartermijn is nu, dus er zal een aantal gevallen zijn waar t mogelijk voor nodig is geweest.

Kan me best scenario’s bedenken waar t voor een individueel geval nodig is geweest.

Patox 20 december 2022 18:00

Als je slachtoffer bent, wat kun je doen behalve wat meer opletten op vreemde bestellingen en dan vroeg aan de bel trekken?

Andros @Patox • 20 december 2022 18:10

Je kunt paspoorten en dergelijke documenten voortijdig vernieuwen om problemen te voorkomen, dan verandert immers het documentnummer en is het oude ongeldig. Wel even de kosten declareren bij de partij die de data kwijt raakt en liefst met zoveel mogelijk slachtoffers samen zodat dit soort fouten voelbaar worden. Er wordt vaker te lichtzinnig mee omgesprongen.

William_H @Andros • 20 december 2022 19:21

Helaas doet dit niks voor het vrijkomen van je BSN eventueel online. Die staat ook op je paspoort/ID kaart, en ben je "verplicht" door te geven aan een onderwijsinstelling. Die kun je niet vervangen, tot mijn grote irritatie zoals ik afgelopen week bij een ander datalek al schreef.

Cowamundo @William_H • 20 december 2022 19:30

Als een kopie van jouw paspoort op straat ligt die nog geldig is dan is je BSN wel het minste om je druk over te maken. Voor je het weet heb je een huurhuis of andere gekke dingen op jouw naam staan.

William_H @Cowamundo • 20 december 2022 20:38

In principe mag een kopie ID/paspoort niet alleen gezien worden als een identificatie. Maar snap heel goed wat je bedoelt.
Gelukkig is het ID bewijs van toen nu al niet meer geldig in mijn geval. Dus daar kunnen ze deze streek niet mij uithalen. Maar m'n BSN staat er wel op. Voor een onderwijsinstelling moet die zichtbaar zijn helaas.

dlaoR @William_H • 21 december 2022 20:46

Er zijn volgens mij angstaanjagend veel bedrijven en instellingen die 'legitimatie' van je eisen juist in de vorm van een kopie ID/paspoort. Zonder dat ze het origineel ooit te zien krijgen!
Een paar maanden geleden moest ik nog een bundeltje papieren mét zo'n kopietje opsturen naar die bank met die oranje leeuw. Waar ik pas 30 jaar klant ben, dus wat die nou met zo'n vodje moesten...🤔

[Reactie gewijzigd door dlaoR op 23 juli 2024 01:21]

Anoniem: 1576590 @Andros • 20 december 2022 20:01

Andros schreef:

Je kunt paspoorten en dergelijke documenten voortijdig vernieuwen om problemen te voorkomen, dan verandert immers het documentnummer en is het oude ongeldig.

Het oude is ongeldig, maar daar bestaat nog geen register voor. Dus geen enkele checkende partij weet dat.

Afgelopen juni stond de de pilot voor "StopID" nog gepland voor 2023 Q1 maar die pilot is ondertussen alweer uitgesteld tot 2023 Q3.

La1974 @Anoniem: 1576590 • 20 december 2022 21:46

Staat dit niet in het BKR VIS systeem?

Dat systeem gebruiken bijvoorbeeld notarissen en banken om identiteitsfraude te voorkomen.

Anoniem: 1576590 @La1974 • 20 december 2022 22:16

La1974 schreef:

Staat dit niet in het BKR VIS systeem?

Interessant, dank voor de link!

Maar het lijkt mij dat je niet met de BKR maar met het stadhuis belt bijv. na diefstal van een identiteitsbewijs. De vraag is hoe zij aan hun data komen en hoe volledig die is.

En dus lijkt mij dat de overheid, als uitgever, zo'n register hoort te beheren - en niet een externe club als de BKR (die zo te zien geld willen zien voor deze dienst).

Overigens ben ik het wel eens met het eerste dat de BKR schrijft:

Identiteitsfraude is een actueel en groeiend probleem.

maar niet met de tweede zin, die tegenstrijdig is met de vorige:

Met de toenemende digitalisering is (online) identiteitsverificatie van groot maatschappelijk belang.

Van groot maatschappelijk belang is ook dat identiteitsfraude niet explodeert in ons gezicht, en dat gaat gebeuren met de plannen voor paspoorten in onze smartphones en de huidige deplorabele staat van het Internet.

Patox @Andros • 20 december 2022 18:10

Thanks, die documenten zijn in mijn geval wel al vernieuwd sindsdien

Mathijs22 @Patox • 20 december 2022 19:43

Thanks, die documenten zijn in mijn geval wel al vernieuwd sindsdien

Je moet je afvragen of dat veel uitmaakt.

Twee jaar geleden werd mijn rijbewijs gestolen en na drie maanden als ID gebruikt, Ik had al lang een nieuwe maar de instantie in kweste accepteerde de vervallen versie zonder commentaar. Er staat niet ene groot rood kruis door een ID dat vervangen is.

nielspouw @Patox • 21 december 2022 09:37

Heb je nog andere informatie kunnen achterhalen?
Zou graag als (mogelijk getroffene) handvatten willen voor veilig stellen privacy en/of schade verhalen.

cYlicious 20 december 2022 17:55

Wel bijzonder, een “unieke opstelling” waar encryptie niet mogelijk is. Bij mijn weten kan je elk systeem wel een beetje versleutelen tegen data-ontvreemding als het systeem uitstaat door middel van full disk en encryption. Van gratis tot betalend, van Windows tot Linux.

TheekAzzaBreek @cYlicious • 21 december 2022 00:35

Wel bijzonder, een “unieke opstelling” waar encryptie niet mogelijk is. Bij mijn weten kan je elk systeem wel een beetje versleutelen tegen data-ontvreemding als het systeem uitstaat door middel van full disk en encryption. Van gratis tot betalend, van Windows tot Linux.

Dat gaat waarschijnlijk om systemen die niet door IT in beheer zijn en encryptie niet zo simpel te forceren is
.
Een universiteit heeft van nature nogal wat buitenbeentjes en de balans tussen veiligheid en vrijheid is niet zo makkelijk gevonden als het op een forum lijkt.

Fronkie @cYlicious • 20 december 2022 18:21

wellicht zijn t macs, die niet voorzien zijn van de standaard windows beveiliging.

- peter -

@Fronkie • 20 december 2022 18:24

Je hebt toch juist op osx heel makkelijke full disk encryption.

Blokker_1999

Datalek
Beveiliging en antivirus

@- peter - • 20 december 2022 18:58

elk OS kent eenvoudige full disk encryption. Dat op zich is al geen excuus. Maar wat ben je daarmee indien de disk zichzelf ontgrendeld en het OS zichzelf aanmeld. Beide zijn aannames in dit geval.

De vraag hoort eerder te zijn: waarom heeft men een unieke opstelling nodig en waarom is daardoor geen enkele vorm van bescherming mogelijk?

cYlicious @- peter - • 20 december 2022 18:59

Is inderdaad zowaar nog gemakkelijker dan Bitlocker. En gratis ook nog! Nee hoor, wat mij betreft geen excuses voor geen full disk encryption op endpoints.

William_H @cYlicious • 20 december 2022 19:23

We praten hier over een laptop die in gebruik was in 2008. Waarschijnlijk zat er op die laptop destijds nog geen full disk encryptie. Dat was toen nog niet heel gewoon. Wel zeer slordig dat deze gegevens op straat liggen. Ben zelf ook getroffen. Het is niet mijn schuld, en toch ligt mijn data op straat. En dan het advies wat te doen bij identiteitsfraude...tsja, als ik zelf geen controle heb over m'n data, kun je mij ook niks verwijten.

[Reactie gewijzigd door William_H op 23 juli 2024 01:21]

Soldaatje @William_H • 20 december 2022 23:38

Klopt, omdat encryptie zwaar langzaam was zonder hardware acceleratie toen, andere tijden. En de batterij is na een half uur werken leeg.

Martijn033 @William_H • 21 december 2022 10:19

een laptop uit 2008.... Dus er zit gewoon nog Windows XP op?

William_H @Martijn033 • 21 december 2022 17:14

Als die niet verbonden met het internet was, is dat op zich geen probleem.
Plus, dat weten we niet, dus speculeren.

Pikoe 20 december 2022 17:57

Na het lezen van dit bericht over deze "unieke opstelling" ga je je afvragen of ze überhaupt een backup hebben van de data die gestolen is.
Waarom zou je dit soort gegevens over inschrijvingen tussen 2003 en 2008 nog bewaren? Laat staan op een laptop.

Blokker_1999

Datalek
Beveiliging en antivirus

@Pikoe • 20 december 2022 18:59

Ik neem aan dat ze wel meer kopieen van de data hebben, maar niet weten welke data exact op deze laptops stond.

Jazco2nd 20 december 2022 18:05

Unieke opstelling. Die ga ik onthouden.
Net zoiets als dat ze in de politiek "spijtig," zeggen. Geen excuses of lessons learned nodig.

En wtf waarom hebben ze gegevens nog van mij van 2003 !? Is er niet zoiets als een Archiefwet in NL? Had dit niet allang gewist moeten worden? Ik hoop op een mega boete.

Het lijkt me heel kut als je een baan zoekt, veel concurrentie hebt en je cijferlijst staat online 🙊

[Reactie gewijzigd door Jazco2nd op 23 juli 2024 01:21]

TRDT 20 december 2022 20:00

Het zou voor slachtoffers makkelijker moeten zijn om bij de nalatige partij (in dit geval de universiteit) om een schadevergoeding te krijgen voor de geschonden privacy. De universiteit is niet het slachtoffer, maar de verantwoordelijke.

Bedrijven en instellingen komen hier te makkelijk mee weg. Dan weer een gemeente met als wachtwoord "Welkom2020", dan een universiteit met duizenden paspoortkopieën in een onbeveiligde omgeving.

Zodra slechte beveiliging in de portemonnee gevoeld wordt, zullen bestuurders er echt verantwoording voor moeten afleggen en zal goede beveiliging echt een prioriteit worden. Dat is de enige manier.

Op dit item kan niet meer gereageerd worden.

Datalek Vrije Universiteit treft studenten met inschrijving tussen 2003 en 2019

Lees meer

Reacties (107)

Sorteer op:

Weergave: