Een oplettende UT-medewerker stuitte dinsdagochtend op het datalek en maakte daarvan melding. Hij bleek toegang te hebben tot een rapportage met daarin tal van persoonsgegevens van UT-medewerkers: namen, M-nummers, UT-emailadressen, geboortedata, bankrekeningnummers (wel van medewerkers, niet van gastmedewerkers), datum indiensttreding, medewerker-type en functie.
Volgens Finance-directeur Dennis van Zijl kwam dit door het verkeerd toewijzen van rollen van gebruikers binnen het systeem. ‘Zodoende zijn er veel rollen tegelijkertijd opengezet, waar dat niet de bedoeling was. Dat heeft niet zozeer met de software te maken, dit had met ieder systeem kunnen gebeuren. Na de melding hebben we het snel weten te herstellen, maar we betreuren dat dit incident plaatsvond. Dat moet natuurlijk niet gebeuren.’
‘Schade lijkt gelukkig beperkt’
Voor zover Van Zijl het kan overzien gaat het om een beperkt datalek, zegt hij. ‘We kunnen niet achterhalen hoeveel mensen onterecht toegang hadden tot deze gegevens, maar het zijn maximaal 116 medewerkers die tussen het moment van uitrollen en het aanpassen van de rollen hebben ingelogd. Maar om bij de gegevens te komen moest je nog best veel handelingen verrichten. Daarnaast waren de gegevens alleen intern te bereiken, niet extern. En onder collega’s hebben we immers ook gedragscodes. Al met al denken we daarom dat het gaat om een beperkt datalek. Het kan dus zijn dat er naast de oplettende medewerker nog een enkele andere collega toegang kreeg. Maar al met al lijkt de schade beperkt gebleven.’
Desalniettemin registreerde Finance het incident bij de Functionaris Gegevensbescherming van de UT, die het datalek ook meldt aan de Autoriteit Persoonsgegevens. Volgens Van Zijl heeft het incident geen impact op de verdere uitrol van het nieuwe systeem.