De komende dagen zal hier aanvullende informatie worden gegeven waaronder de vragen die zijn gesteld met de antwoorden. Indien nodig zullen begrippen worden uitgelegd naar aanleiding van de communicatie over het datalek ID-ware.
FAQ datalek
Van wie zijn er gegevens gelekt?
Het betreft geen collegekaarten van studenten, maar alleen HU-passen. De medewerkers die op 1 juli 2021 in dienst waren van de HU en studenten – bijvoorbeeld stagiaires bij de HU – die voor 1 juli 2021 een HU-pas hebben ontvangen, zitten in het bestand dat gelekt is. Dit betekent dus dat iedereen die na 1 juli 2021 in dienst is gekomen en een HU-pas heeft ontvangen, niet in het bestand zit.
Deze datums zijn een aanpassing van de eerder genoemde datums. Uit eigen analyse is tot onze spijt gebleken dat ID-ware deze medewerkers alsnog heeft toegevoegd aan het bestand dat in maart 2021 is aangemaakt. Wij zullen ID-ware hier op aanspreken.
Medewerkers in dienst bij een leverancier van de HU (o.a. schoonmaak-, kantine-, onderhoudsmedewerkers) hebben een bedrijfskaart. Van hen zijn ook gegevens gelekt, maar deze bevatten geen huisadres.
Mijn bezoekers krijgen een HU pas om het gebouw binnen te kunnen of te parkeren, zitten zij ook in het datalek?
Nee het gaat echt om de HU-passen die naar de HU medewerkers per post zijn verstuurd en niet de dagpassen die via de balie zijn uitgereikt.
Hoe weten jullie dat studenten niet zijn geraakt?
De toegangspassen worden alleen verstrekt aan medewerkers en studenten die om een specifieke reden een HU-pas hebben. De leverancier ID-Ware maakt geen collegekaarten en heeft daarom ook geen studentgegevens tot haar beschikking.
Is het lek gedicht?
ID-ware heeft bevestigd dat het lek is gedicht en dat er niet opnieuw gegevens van HU buit gemaakt kunnen worden.
Welke gegevens zijn er gelekt?
De volgende persoonsgegevens waren betrokken bij het datalek:
- Persoonsnummer (intern systeemnummer, dus niet het personeelsnummer)
- voornaam
- achternaam
- adres
- postcode
- woonplaats
- kaartnummer HU-toegangspas
Van personen met een bedrijfskaart is alleen de naam en het persoonsnummer gelekt.
Wat is een persoonsnummer en wat kan een hacker hiermee?
Het betreft een door het systeem gegenereerd nummer alleen gebruikt binnen de HU. Dat nummer wordt gebruikt om accounts in het ene systeem van de HU te kunnen relateren aan het andere. Alleen binnen die systemen zijn ze herleidbaar naar de personen maar niet als je – zoals ID ware – maar over een enkel bestand beschikt. Een hacker heeft hiermee onvoldoende informatie om er wat mee te kunnen.
Hoe kan het dat de HU gegevens als mijn huisadres heeft gedeeld met een externe partij?
ID-ware heeft van de HU de opdracht gekregen de pasjes aan te maken en ook te versturen. Daarom beschikten zij ook over het huisadres van HU medewerkers.
Hoe controleert HU of andere partijen/leveranciers veilig zijn?
De HU voert een privacybeleid om zorgvuldig met persoonsgegevens om te gaan. Zo stellen we verwerkersovereenkomsten met leveranciers op, waarin wij afspraken maken welke persoonsgegevens zij mogen verwerken en op welke wijze zij onze gegevens dienen te beschermen (technische en organisatorische maatregelen). Ook met ID-ware hebben wij een verwerkersovereenkomst opgesteld.
Waarom waren deze data nog beschikbaar? Welke controles heeft de HU uitgevoerd om te garanderen dat afspraken werden nagekomen door de leverancier.
Met de leverancier zijn afspraken gemaakt en waar nodig aangescherpt hoe we met jullie persoonsgegevens omgaan. Bij het inregelen van het proces is samen met de leverancier gekeken welke gegevens zij nodig hebben om de passen te kunnen maken en leveren. Daarbij is ook gekeken naar wanneer deze gegevens weer verwijderd moeten worden. Het uitgangspunt is dat de woonadressen van medewerkers door de leverancier worden verwijderd zodra de pas is geactiveerd. We hebben moeten constateren dat dit helaas bij het aanmaken van de nieuwe passen in maart 2021 niet goed is gegaan. Daarnaast heeft ID-ware ook de persoonsgegevens van de nieuwe passen in de periode april – juni 2021 niet verwijderd.
Na 1 juli 2021 is wel volgens afspraken gewerkt en wordt het woonadres direct na activatie van de passen verwijderd. De HU heeft de leverancier hier op aangesproken.
Deze datums zijn een aanpassing van de eerder genoemde datums. Uit eigen analyse is tot onze spijt gebleken dat ID-ware deze medewerkers alsnog heeft toegevoegd aan het bestand dat in maart 2021 is aangemaakt. Wij zullen ID-ware hier op aanspreken.
Waarom heeft het zo lang geduurd voordat alle medewerkers geïnformeerd werden?
Op het moment dat wij door de leverancier zijn geïnformeerd hebben we zelf onderzoek gedaan naar wie er getroffen zijn door het datalek. Daarna hebben wij iedereen die getroffen was geïnformeerd. In de tussentijd hebben we wel een algemeen bericht geplaatst op intranet waarin stond dat wij het aan het onderzoeken waren.
Hoe gaat de HU om met het vergoeden van geleden schade?
Indien je schade hebt geleden ten gevolge van het datalek, is het van belang om te onderbouwen welke schade je hebt geleden en hoe die schade zich verhoudt tot het datalek. Met andere woorden; dat de schade is veroorzaakt door het datalek. Wij gaan nadat we deze informatie van jou hebben ontvangen graag met je in gesprek.