Medische gegevens van studenten waren inzichtelijk bij datalek Fontys

Honderden bestanden op het netwerk van Fontys Hogeschool waren lange tijd inzichtelijk. Dat blijkt uit onderzoek van Omroep Brabant. Onder meer medische gegevens van studenten, cijferlijsten en uitspraken van examencommissies waren in te zien.

Het lek ontstond door een probleem met de aanmeldprocessen van Fontys voor cursussen. Als iemand zich voor een cursus aanmeldt, krijgt diegene direct daarna een mail met een speciaal Fontys-mailadres en inloggegevens voor het intranet. Die mail wordt al verstuurd voordat er een contract is getekend en studiegeld is overgemaakt, schrijft Omroep Brabant.

Op het intranet kan met de zoekfunctie gezocht worden naar tal van informatie, waarna honderden actuele en verouderde documenten, foto's en video's verschijnen, soms met zeer gevoelige informatie. Het gaat bijvoorbeeld om lijsten met pasfoto's van studenten, thuisadressen en telefoonnummers. Ook werd informatie over de gevolgde opleiding gevonden, zoals cijferlijsten, getekende stageovereenkomsten en lijsten met studieadviezen. Verder werden interne e-mails tussen werknemers van Fontys gevonden en contactgegevens van docenten.

Omroep Brabant vond daarnaast mails van studenten die om extra tijd bij examens vragen. Bij deze mails worden vaak ook medische details genoemd, zoals dyslexie of mentale problemen waarvoor een psycholoog bezocht wordt. Bij deze mails waren de naam en contactgegevens van studenten inzichtelijk, net als de reactie van de docent op het verzoek. Verder werden van enkele studenten verslagen en gesprekken met hun coach of mentor gevonden, met daarin soms zeer persoonlijke informatie over de student.

Volgens Fontys ontstond het lek omdat medewerkers bepaalde documenten per ongeluk openbaar op het intranet gedeeld hebben. Nadat Omroep Brabant het datalek bij hen meldde, zijn alle openbare documenten naar 'privé' omgezet, waarmee het lek is verholpen. Medewerkers moeten voortaan ook om toestemming vragen als ze bestanden op openbaar willen zetten.

Of de bestanden daadwerkelijk door derden zijn bekeken, is niet bekend. Studenten die bang zijn dat hun informatie gedeeld is, kunnen zich bij Fontys melden. "Dit datalek had niet mogen gebeuren en daar willen we dan ook onze oprechte excuses voor aanbieden", zegt een woordvoerder van de hogeschool tegenover Omroep Brabant. Het college van bestuur stelt een onderzoek in.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 17-04-2025 15:16
38 • submitter: wildhagen

17-04-2025 • 15:16

38

Submitter: wildhagen

Lees meer

Parkeerbedrijf Indigo meldt datalek waarbij mogelijk klantgegevens zijn gestolen
Parkeerbedrijf Indigo meldt datalek waarbij mogelijk klantgegevens zijn gestolen Nieuws van 19 april 2025
Datalek met persoonsgegevens ambtenaren treft alle Nederlandse ministeries
Datalek met persoonsgegevens ambtenaren treft alle Nederlandse ministeries Nieuws van 18 april 2025
Hogeschool Fontys test eigen AI-platform met privacyfilters voor studenten
Hogeschool Fontys test eigen AI-platform met privacyfilters voor studenten Nieuws van 3 april 2025
Nederlandse onderwijsinstellingen hebben voor derde dag last van ddos-aanval
Nederlandse onderwijsinstellingen hebben voor derde dag last van ddos-aanval Nieuws van 17 januari 2025
SURF en onderwijsinstellingen melden storing door ddos-aanval
SURF en onderwijsinstellingen melden storing door ddos-aanval Nieuws van 15 januari 2025
Hogescholen Fontys en Hanze winnen RDW's Self Driving Challenge 2024
Hogescholen Fontys en Hanze winnen RDW's Self Driving Challenge 2024 Nieuws van 17 juni 2024
Meer producten en artikelen
Privacy Datalek

Reacties (38)

-Moderatie-faq
38
38
13
2
0
23
Wijzig sortering
svdloop 17 april 2025 16:06
Of de bestanden daadwerkelijk door derden zijn bekeken, is niet bekend. Studenten die bang zijn dat hun informatie gedeeld is, kunnen zich bij Fontys melden.
Volgens mij werkt het zo niet bij data-lekken met risico Hoog (hetgeen volgens mij waar is wanneer er medische data gelekt is).
Fontys zal dit actief moeten onderzoeken en de slachtoffers móeten informeren, uit eigen beweging.
zie: https://www.autoriteitper...atalek-wel-of-niet-melden
En dan in het bijzonder:
Aard en gevoeligheid van de persoonsgegevens en de hoeveelheid
Hoe gevoeliger de gelekte gegevens, hoe groter het risico op schade. Daarnaast kan de context leiden tot een hoger risico. Bijvoorbeeld wanneer de naam en het adres van een adoptieouder aan een biologische ouder worden bekendgemaakt. De hoeveelheid informatie die van een slachtoffer wordt gelekt, heeft ook invloed op het risico.

Houd bij de volgende soorten persoonsgegevens in ieder geval rekening met een hoog risico:
Bijzondere persoonsgegevens, zoals gegevens over de gezondheid.
Vragen die ik nog zou hebben om mijn eigen risico te kunnen duiden:
Hoe oud is de data die potentiëel gelekt is? Hoeveel gebruikers hebben er toegang toe gehad?
Reageer
tucker88 @svdloop17 april 2025 17:19
En dan hopen dat er auditlogs van bestaan uberhaupt. Anders zouden ze dit wel MOETEN maar KUNNEN ze het niet, omdat ze niet weten OF er van de toegang gebruik gemaakt is.
Reageer
svdloop @tucker8817 april 2025 17:50
Ze kunnen in ieder geval de bestanden die ze prive hebben gemaakt indexeren en vervolgens daar de mogelijke slachtoffers van informeren.
Bij een lek is het niet noodzakelijk dat een bestand ingezien is, maar is de mogelijkheid daartoe voldoende.
Reageer
vanaalten 17 april 2025 15:24
Ik snap het artikel niet.

Eerst: "Het lek ontstond door een probleem met de aanmeldprocessen van Fontys voor cursussen. Als iemand zich voor een cursus aanmeldt, krijgt diegene direct daarna een mail met een speciaal Fontys-mailadres en inloggegevens voor het intranet. Die mail wordt al verstuurd voordat er een contract is getekend en studiegeld is overgemaakt"

...maar vervolgens:
"Volgens Fontys ontstond het lek omdat medewerkers bepaalde documenten per ongeluk openbaar op het intranet gedeeld hebben."

Wat is het nou?
Reageer
separhim @vanaalten17 april 2025 15:37
Ik geloof dat het een combinatie is van beide. Mensen kregen ten onrechte toegang tot het intranet vanwege te vroeg aanmaken van inloggegevens voor het intranet, waardoor deze dus toegang kregen tot het intranet. En dat medewerkers van Fontys documenten hadden geplaatst die niet openbaar hadden mogen zijn, terwijl er dus mensen waren in het intranet die er niet hadden mogen zijn. Beide handelingen kunnen onafhankelijk van elkaar zijn ontstaan.

Ik denk dat als het eerste probleem, het te vroeg krijgen van inloggegevens, niet genoeg was voor een datalek. Het tweede probleem was sowieso al een datalek, want je mag niet zomaar de (vertrouwelijke) email van (andere) studenten en docenten inzien, ook al heb je wel rechtmatig toegang tot het intranet.
Reageer
robinofski @vanaalten17 april 2025 15:26
Een combinatie van beide toch? Medewerkers hadden ze niet openbaar moeten delen op een intranet, dat beschikbaar is zo gauw iemand zich heeft aangemeld voor een cursus.
Reageer
The Zep Man
@robinofski17 april 2025 15:37
Dat is niet openbaar. Een open deur maakt wat daarachter zit niet automatisch openbare ruimte.

Het wordt gedeeld binnen een instelling. Toegang krijgen tot die instelling is (te) makkelijk en binnen die instelling wordt te veel gedeeld.
Reageer
feuniks @The Zep Man17 april 2025 23:04
Nu ben je volgens mij aan het spelen met definities. Namelijk de definitie wat openbaar is. Binnen de gemiddelde Intranet / CMS applicatie heet de minste vorm van beveiliging Public ofwel in het Nederlands Openbaar. Dat betekent dus dat het te lezen is door iedereen die toegang heeft tot het Intranet zonder verdere restricties.
Reageer
The Zep Man
@feuniks18 april 2025 07:45
Nu ben je volgens mij aan het spelen met definities. Namelijk de definitie wat openbaar is.
Wanneer informatiebeveiliging erbij wordt betrokken veranderen definities. Exacte bewoording en juist gebruik van formele termen zijn belangrijk om FUD te voorkomen.

Persbericht vanuit instantie X: "instantie X publiceerde informatie Y openbaar op intranet"

Telegraaf kop: "instantie X zelf openbaarde informatie! Lees het citaat hier..."

Telegraaf citaat: "instantie X publiceerde informatie Y openbaar(...)"

Aandeelhouders/sponsors/andere financieerders/overheid/politici/...: que?

Bestaansrecht:

Bovenstaande is een erg gesimplificeerd voorbeeld, maar de werkelijkheid ligt er niet ver vanaf.

[Reactie gewijzigd door The Zep Man op 18 april 2025 07:50]

Reageer
theduke1989 @robinofski17 april 2025 15:36
intranet hoort altijd achter slot en grendel dus niet toegankelijk voor het www.

snap dat sowieso waarom mensen dat altijd open gooien hun intranet.
Reageer
Mellow Jack @theduke198917 april 2025 16:44
Hun intranet stond niet perse open. Ze maken accounts aan voordat iemand daadwerkelijk komt studeren
Reageer
adje123 @vanaalten17 april 2025 15:27
Eerst: "Het lek ontstond door een probleem met de aanmeldprocessen van Fontys voor cursussen. Als iemand zich voor een cursus aanmeldt, krijgt diegene direct daarna een mail met een speciaal Fontys-mailadres en inloggegevens voor het intranet. Die mail wordt al verstuurd voordat er een contract is getekend en studiegeld is overgemaakt"
Dit is volgens de omroep.
"Volgens Fontys ontstond het lek omdat medewerkers bepaalde documenten per ongeluk openbaar op het intranet gedeeld hebben."
Dit is volgens Fontys.

Dus, we weten nog niet wat het is.
Reageer
Lord Anubis @adje12317 april 2025 15:39
Ja wel. Zo gauw je je aanmeld mag je op het intranet en daar staan openbare documenten, waarvan blijkbaar ook ‘onbedoelde’ openbare documenten van andere studenten die het niet als prive hebben aangemerkt.
Reageer
adje123 @Lord Anubis17 april 2025 16:28
waarvan blijkbaar ook ‘onbedoelde’ openbare documenten van andere studenten die het niet als prive hebben aangemerkt.
Dat staat er niet.
Wat er wel staat
omdat medewerkers bepaalde documenten per ongeluk openbaar op het intranet gedeeld hebben
Reageer
Milton @vanaalten17 april 2025 15:28
Kan allebei:

Onrechtmatige toegang tot intranet door probleem aanmeldprocessen.

Toegang tot onrechtmatig in te kijken data doordat medewerkers bepaalde documenten ergens openbaar hebben neergezet binnen het Intranet.
Reageer
ArawnofAnnwn @vanaalten17 april 2025 17:40
Ik vermoed een gevalletje sharepoint, waarbij mensen lukraak alle informatie op een sharepoint site zetten zonder te beseffen dat iedereen er bij kan als ze de rechten niet goed zetten. Op mijn werk waren er ook ineens duizenden HR documenten beschikbaar op sharepoint met informatie over allemaal mensen.
Reageer
Artilux 17 april 2025 15:24
Dan vraag ik mij wel af hoe lang ze dit soort gegevens bewaren nadat een student zijn diploma heeft behaald.
Reageer
P1nGu1n @Artilux17 april 2025 15:28
Dat is sowieso een probleem met e-mail, daar past men doorgaans geen retentietermijn op toe. Dat is ook lastig omdat e-mail "ongestructureerde" data is.
Reageer
Hoover @P1nGu1n17 april 2025 15:35
Vroeger werd je gewoon gedwongen.
Toen had je heel erg beperkte ruimte op servers. Soms had je maximaal 10MB aan ruimte op je mailbox.
Archiveren werd vaak ook niet toegestaan. Dus moest je om de paar maanden met een bezem door je mailbox om te voorkomen dat je niet meer kon mailen.

Nu hebben mensen gewoon veel te veel ruimte en bewaren alles tot in het oneindig, met dit soort lekken als resultaat.
Reageer
Tc99m @P1nGu1n17 april 2025 15:41
E-mail zou je als organisatie sowieso al niet moeten gebruiken voor het uitwisselen van gevoelige persoonsgegevens zoals medische informatie.
Reageer
iAR @Tc99m17 april 2025 15:44
Omroep Brabant vond daarnaast mails van studenten die om extra tijd bij examens vragen.
Beetje lastig als men die je gewoon toestuurt, niet?
Reageer
Tc99m @iAR17 april 2025 15:52
Ja, dat is inderdaad lastig, dat studenten iets naar je sturen kun je nooit voorkomen, maar je kunt er wel een beter proces voor inrichten (buiten e-mail om). Of je traint je medewerkers om mails met gevoelige gegevens te verwijderen nadat die informatie aan een studentendossier is toegevoegd.
Reageer
Mellow Jack @P1nGu1n17 april 2025 16:47
Tegenwoordig kan dit automatisch. Zelfde voor documenten in de meest gangbare formaten (docx, Excel, pdf, jpg's)
Reageer
CivLord @Mellow Jack18 april 2025 11:40
Maar wordt dan ook automatisch gekeken naar wat voor soort informatie het is en hoe lang het bewaard moet blijven?
Sommige informatie moet/ mag/ kan langer bewaard blijven dan andere informatie. Sommige mails bevatten geen gevoelige informatie, maar wel handige informatie die 'eeuwig' bewaard kan blijven.
Reageer
Mellow Jack @CivLord18 april 2025 14:12
Vanuit technisch perspectief kan je tegenwoordig heel veel. Je moet het natuurlijk wel configureren.

Als ik het goed lees gebruiken ze Microsoft Teams en daarmee SharePoint. In purview kan je zien welke bestanden welke data staat (cv's, financiële gegevens, medische gegevens etc). Als je een licentie betaald kan je ook automatisch classificeren incl bijhorende maatregelen.

Zo kan je ze simpele situaties relatief snel tackelen. Als je het een beetje pragmatisch aanpakt heb je de meest voorkomende issues snel verholpen en in een proces gestopt
Reageer
Milton @Artilux17 april 2025 15:31
Je moet echt een hele goede reden hebben om medische persoonsgegevens te verwerken. Dus ik vraag me eerder af of dit uberhaupt rechtmatig is. Logischerwijs verwijdert de opleiding die data wanneer er geen gerechtvaardigde belang meer voor is... in theorie dan.
Reageer
Hobbit13 @Milton17 april 2025 16:42
Bepaalde mensen binnen een onderwijsinstelling heb dit soort gegevens wel nodig. Bijvoorbeeld de studentenpsychologen. Als je als student uitstel wilt voor een inlevertermijn voor een opdracht, kan de onderwijsinstelling natuurlijk wel vragen om een goed bewijs.

Maar het is zeker niet OK als Jan en alleman bij dit soort informatie kan, toegang moet beperkt zijn tot zo min mogelijk personen.
Reageer
gaskabouter @Milton17 april 2025 17:00
Nee hoor. Mensen delen die informatie vaak gewoon zelf. Hoe vaak mensen niet uit zichzelf zeggen waarom ze zich ziek melden. Terwijl het je werkgever of de onderwijsinstelling helemaal niet aangaat wat je hebt.

Natuurlijk zul je op een gegeven moment met een medische verklaring moeten komen maar dat mogen eigenlijk geen medische gegevens instaan. In tegenstelling wat de meeste mensen denken ben je alleen de bedrijfsarts of instelling arts verplicht informatie te delen. Maar die heeft verder toch echt een geheimhoudingsplicht.
Reageer
Beerebeest @Milton17 april 2025 17:31
Maar waarvoor heeft een opleidingsinstituut überhaupt medische gegevens van leerlingen nodig?
Dat is toch echt niet nodig om een opleiding te volgen?
Reageer
CivLord @Beerebeest18 april 2025 11:41
Ik stel voor dat je het artikel (nog) een keer leest. Daar staat het in uitgelegd.
Reageer
Milton @CivLord19 april 2025 12:29
Omroep Brabant vond daarnaast mails van studenten die om extra tijd bij examens vragen. Bij deze mails worden vaak ook medische details genoemd, zoals dyslexie of mentale problemen waarvoor een psycholoog bezocht wordt.

Ja, maar dan mis ik nog steeds een gerechtvaardigd belang om dit langdurig te verwerken. Die info maar gewoon bewaren met alle details is echt een proces keuze, geen noodzaak om een student beter te kunnen ondersteunen.
Reageer
CivLord @Milton21 april 2025 08:06
Ik denk dat de onderwijsinspectie graag wil zien waarom een bepaalde student meer tijd heeft gekregen voor een tentamen.
Een school kan niet zomaar lukraak studenten extra tijd geven, omdat daarmee ook de schoolprestaties kunstmatig verhoogd worden t.o.v. andere scholen. Daarom moet achteraf verklaard kunnen worden waarom bepaalde studenten extra tijd nodig hadden om een gelijke kans te krijgen om te slagen.
Reageer
Tc99m @Artilux17 april 2025 15:33
Daar zou een bewaarbeleid voor moeten zijn, maar als je ziet hoe amateuristisch het rondom toegang, rechten en rollen is geregeld, en dat er een gebrek aan algemene bewustzijn m.b.t. gevoelige persoonsgegevens is, kun je ook wel twijfelen over hoe dat verwijderproces is ingericht.

Als je in de afgelopen jaren bij Fontys hebt gestudeerd en je afvraagt of er ook data van jou tussen zat, zou ik zeker contact opnemen (al hadden ze formeel gezien jou dan moeten informeren, maar ik heb het idee dat de totale omvang van het datalek niet echt helder is).

[Reactie gewijzigd door Tc99m op 17 april 2025 15:37]

Reageer
Kiswum 17 april 2025 16:09
Fontys past Teams-instellingen aan na melding van datalek
bron: https://www.fontys.nl/nie...n-na-melding-van-datalek/

Het lek lijkt te zijn ontstaan doordat gegevens op Teams open stonden. Zie ook:
Het datalek is ontdekt door Omroep Brabant. Daarna heeft Fontys direct alle openbare Teams-kanalen omgezet naar ‘privé’. Vanaf nu kunnen Teams alleen nog openbaar worden gemaakt na goedkeuring. Ook zijn de bijbehorende SharePoint-sites extra gecontroleerd.
Reageer
SprangBrake 17 april 2025 15:55
Tja, met dit soort laconieke houding kom je als grote onderwijsinstelling of welk (middel)groot bedrijf tegenwoordig echt niet meer weg.
Reageer
CivLord @SprangBrake18 april 2025 11:47
Ik denk eerder dat dit soort houding vrijwel overal standaard is.
Mensen zijn met hun werk bezig en zijn geen informatiebeveiliger. Ze vergeten ergens een vinkje aan of uit te zetten en er ontstaat een lek. Informatiebeveiligers bij wie het werk tot in de haarvaten zit en die bij wijze van spreken onbewust de juiste vinkjes zetten wanneer ze naar het toilet gaan zijn radeloos en begrijpen niet hoe zij hun werk kunnen doen wanneer anderen verzuimen om basale en cruciale vinkjes te zetten.
Reageer
Loft 17 april 2025 18:41
Volgens Fontys ontstond het lek omdat medewerkers bepaalde documenten per ongeluk openbaar op het intranet gedeeld hebben. Nadat Omroep Brabant het datalek bij hen meldde, zijn alle openbare documenten naar 'privé' omgezet, waarmee het lek is verholpen. Medewerkers moeten voortaan ook om toestemming vragen als ze bestanden op openbaar willen zetten.
Er werd hier al wat over geschreven.
Wat ik bijzonder vind is, dat kennelijk de default instelling openbaar is.

Als je iets plaats, dan is dat a) openbaar of b) prive. (of wellicht in een groep)

a) Hele foute instelling en verwijtbaar. Dat mag nog een default instelling zijn.
b) Dan heeft iemand prive geplaatst, maar een vinkje ergens op openbaar gezet -> Stomme actie en bespreken met die persoon
c) In een groep, dan hangt dat af an de instellingen van die groep, zie a) of b)

In alle gevallen, "per ongeluk" is niet aan de orde. Onwetenheid of verkeerde instellingen zeker
Reageer
CivLord 18 april 2025 11:54
Vanaf welk studiejaar zijn de gegevens die inzichtelijk zijn geweest?
En een nog betere vraag: waarom stuurt Fontys geen melding naar alle (oud)studenten van wie de gegevens mogelijk gelekt zijn?

Ik ben al een tijdje afgestudeerd bij Fontys en hoewel ze geen extra gevoelige gegevens van me hebben zou ik het wel netjes van ze vinden wanneer ze me op de hoogte zouden stellen wanneer mijn gegevens mogelijk gelekt zijn.
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq