Universiteitsgebouw van de TU Delft

Minister Van Engelshoven geeft weinig details prijs over datalek Universiteit Utrecht en TU Delft

Laatst bijgewerkt: 8 september 2020
Leestijd: 4 minuten, 13 seconden

Minister Ingrid van Engelshoven van Onderwijs, Cultuur en Wetenschap laat niet het achterste van haar tong zien. Half augustus richtte VVD-Kamerlid Dennis Wiersma verschillende schriftelijke vragen aan de minister over het datalek bij de Universiteit van Utrecht en TU Delft. Ze volstaat met de mededeling dat de opslag en verwerking van persoonsgegevens de verantwoordelijkheid van de onderwijsinstellingen is.

Dat blijkt uit de antwoorden van de minister op de schriftelijke vragen van Wiersma.

Universiteit Utrecht en TU Delft getroffen door datalek

Voor het datalek op de Universiteit Utrecht en TU Delft moeten we een stukje terug in de tijd. Om informatie over alumni, donateurs en andere relaties met de universiteiten op te slaan, maken de onderwijsinstellingen gebruik van zogeheten customer relation management software (CRM). Dat regelen de universiteiten niet zelf: daarvoor doen ze een beroep op Blackbaud, de grootste leverancier van CRM-oplossingen aan onderwijsinstellingen en non-profitorganisaties ter wereld.

In juli maakte Blackbaud bekend dat ze tussen 7 februari en 20 mei was getroffen door een ransomware-aanval. Daarbij werden bestanden versleuteld waardoor Blackbaud-klanten niet langer bij hun data konden. In het geval van Blackbaud dreigden de daders de gestolen data met de buitenwereld te delen. Het bedrijf betaalde losgeld aan de hackers om dit te voorkomen. Blackbaud zei dat er geen aanwijzingen waren dat de daders kopieën van de gestolen data hadden gemaakt of in omloop hebben gebracht.

Persoonsgegevens, BSN-nummers en meer persoonlijke informatie buitgemaakt

Half juli bracht Blackbaud gedupeerde klanten op de hoogte, waaronder een groot aantal internationaal gerenommeerde universiteiten en diverse goededoelenorganisaties. De Universiteit Utrecht en TU Delft werden toen ook geïnformeerd over de ransomware-aanval bij hun CRM-leverancier. In augustus speelden de universiteiten open kaart.

Beide onderwijsinstellingen zeiden dat de daders de hand hadden weten te leggen op een oud back-upbestand uit 2017. Daarin waren persoonsgegevens, contactgegevens en opleidings- en loopbaangegevens verwerkt. Volgens een woordvoerder van de Universiteit Utrecht stalen de hackers de deze gegevens van 190.000 alumni en donateurs. Later bekende de universiteit dat er ook burgerservicenummers waren buitgemaakt. Bij de TU Delft was dit niet het geval en bleef de schade beperkt tot de gegevens van 60.000 personen. Beide universiteiten hebben het datalek gemeld bij de Autoriteit Persoonsgegevens. Ze denken nog na over eventuele vervolgstappen tegen Blackbaud, andere getroffen onderwijsinstellingen hebben inmiddels wel al juridische stappen genomen.

‘Onderwijsinstellingen zijn verantwoordelijk voor opslag en beveiliging persoonsgegevens’

Het incident was voor Dennis Wiersma aanleiding om minister Van Engelshoven van Onderwijs, Cultuur en Wetenschap aan de tand te voelen. Half augustus formuleerde hij een aantal schriftelijke vragen voor de minister. Hij wilde van haar precies horen welke gegevens er zijn buitgemaakt en welke garantie de universiteiten hebben dat de gestolen gegevens daadwerkelijk zijn vernietigd. Ook wil het VVD-Kamerlid van de minister horen waarom de onderwijsinstellingen pas zo laat werden geïnformeerd en hoe het mogelijk is dat hackers toegang kregen tot een oud back-upbestand. Ook vroeg hij zich af wie er verantwoordelijk is voor het verwerken en beveiligen van privacygegevens van alumni.

In plaats van de vragen één-voor-één te beantwoorden, wat gebruikelijk is bij schriftelijke vragen, gooit minister Van Engelshoven ze op één grote hoop. Ze schrijft: “Het is de verantwoordelijkheid van de hoger onderwijsinstellingen zorg te dragen voor de opslag en verwerking van gegevens van studenten, medewerkers, alumni en overige personen die informatie aan de instelling hebben verstrekt. Daartoe behoort ook het inrichten van de informatiesystemen op een zodanige wijze dat deze veilig zijn voor inbreuken (“hacks”).”

‘Onderwijsinstellingen moeten streven naar een integrale veiligheidsaanpak’

In haar beantwoording verwijst Van Engelshoven naar de cyberaanval op de Universiteit Maastricht, die eind vorig jaar plaatsvond. De Inspectie van het Onderwijs concludeerde dat de universiteit niet was voorbereid op een cyberaanval, maar dat ze de crisis die daarop volgde adequaat heeft afgehandeld. Andere onderwijsinstellingen hebben daarvan geleerd en beveiligingsmaatregelen getroffen. Denk aan het vergroten van het bewustzijn over cybersecurity bij alle betrokken partijen en het verbeteren van detectie van verdachte activiteiten op de netwerken van de universiteit.

“Ik heb daarbij aangegeven dat honderd procent veiligheid niet bestaat; hoger onderwijsinstellingen zijn door hun open en transparante karakter kwetsbaar”, aldus de minister. “Instellingen moeten streven naar een integrale veiligheidsaanpak waarin een afweging wordt gemaakt tussen kernwaarden als openheid, te beschermen belangen zoals de bescherming van persoonsgegevens en bedreigingen.”

Verantwoordelijkheidsverdeling rondom cyberveiligheid

Wiersma wil van de minister verder weten hoe haar ministerie erop gaat toezien dat onderwijsinstellingen beter controleren op welke manier derden omgaan met privacygevoelige informatie. Tot slot wil hij van Van Engelshoven horen in hoeverre zij vindt dat online veiligheid tot de verantwoordelijkheid van haar ministerie behoort.

Wederom verwijst de minister naar het incident op de Universiteit Maastricht. De Inspectie van het Onderwijs voert op dit moment nog een onderzoek uit naar cyberveiligheid op stelselniveau (voor alle onderwijsinstellingen in Nederland). “Ik heb daarbij het belang van ketensamenwerking en transparantie tussen de instellingen onderling en andere ketenpartners met daar waar nodig de hulp van de overheid als stelselverantwoordelijke onderstreept”, zo schrijft de minister.

Van Engelshoven hoopt begin volgend jaar de Tweede Kamer te informeren over de bevindingen van het onderzoek. Daarin gaat ze onder meer in op de verantwoordelijkheidsverdeling rondom cyberveiligheid.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen