Ga naar de inhoud
18 augustus 2020 • Nieuws

Datalek Blackbaud betrof bij Universiteit Utrecht ook 6000 burgerservicenummers

Bij de gestolen gegevens van de ransomwareaanval op het crm-systeem Blackbaud zijn ook zesduizend burgerservicenummers van alumni van de Universiteit Utrecht buitgemaakt. De universiteit sloeg deze gegevens per abuis en onrechtmatig op.

import217-Datalek_Illustratie_Banner_1

Vrijdag heeft de Universiteit Utrecht gedupeerden van het datalek een e-mail gestuurd en bij een deel van de getroffen alumni meldt de onderwijsinstelling dat ook het burgerservicenummer onderdeel van het datalek was. “Bij een eigen controle van onze database naar aanleiding van dit incident, is gebleken dat wij van een beperkt aantal alumni het burgerservicenummer in ons systeem hadden staan”, staat in het bericht. Een woordvoerder van de universiteit meldt dat het om 6000 personen gaat bij wie het bsn getroffen is. In totaal zijn van 190.000 personen de contactgegevens uit de database van de universiteit gestolen.

De universiteit erkent dat het niet gerechtigd was de bsn’s in de database op te slaan. Onderwijsinstellingen mogen bsn’s wel verwerken, maar alleen voor specifieke doelen. De Universiteit Utrecht stelt de burgerservicenummers ook niet gebruikt te hebben en deze per ongeluk in de databank opgenomen te hebben: “Deze nummers zijn vermoedelijk bij de overdracht uit het studentadministratiesysteem na afstuderen per abuis naar ons systeem overgedragen.”

Andere gegevens die bij het datalek gestolen waren, zijn de gebruikersnaam, geslacht, geboortedatum, e-mailadres, telefoonnummer, postadres, informatie over evenementenbezoek en donatiegedrag. Bij alumni gaat het ook om opleidings- en loopbaangegevens. De universiteit schat het risico op misbruik laag in, omdat niet gebleken zou zijn dat de aanval specifiek op de Universiteit Utrecht gericht was. Er zijn ook wachtwoorden en bankrekeninggegevens gestolen. Die zijn versleuteld, maar de Universiteit wil ‘vanwege de veiligheid’ niet zeggen welke encryptie van toepassing is.

Eerder deze week bleek dat bij een ransomwareaanval op Blackbaud contactgegevens van een groot aantal onderwijsinstellingen wereldwijd gestolen waren. Blackbaud is wereldwijd de grootste leverancier van crm-systemen voor de onderwijssector. Ook contactgegevens van de TU Delft zijn gestolen bij de aanval. De daders van de datagijzeling zouden de gegevens na betaling van het losgeld vernietigd en niet verspreid hebben, zegt Blackbaud. De ransomwareaanval vond plaats in mei, maar Blackbaud meldde dat pas in juli bij getroffen klanten.

De Universiteit Utrecht heeft naar eigen zeggen op 17 juli de Autoriteit Persoonsgegevens ingelicht. Dat is een dag nadat Blackbaud onderwijsinstellingen liet weten getroffen te zijn. De universiteit onderzoekt nog waarom er een verouderde back-up van het datasysteem bij Blackbaud stond en waarom die leverancier relatief laat zijn melding doorgaf. “Wij gaan de samenwerking met Blackbaud op basis daarvan evalueren en onderzoeken of dit incident resulteert in vervolgstappen richting Blackbaud.”

Lees meer op tweakers.net