Bij Fontys is een groot datalek ontdekt waarbij gevoelige persoonsgegevens van studenten, waaronder medische informatie, toegankelijk waren voor anderen binnen het interne netwerk. De onderwijsinstelling heeft de documenten inmiddels verwijderd en erkent dat het lek niet had mogen plaatsvinden. Het college van bestuur stelt een onderzoek in.
Het datalek, ontdekt door Omroep Brabant, maakte het mogelijk voor personen met toegang tot het intranet van Fontys om gevoelige persoonsgegevens van studenten in te zien. Het probleem ontstond doordat medewerkers bepaalde documenten per ongeluk openbaar deelden via het interne netwerk van de onderwijsinstelling.
Elk nieuw cursusaccount bij Fontys kreeg automatisch toegang tot het intranet. Via de zoekfunctie van dit interne platform konden gebruikers vervolgens bij een grote hoeveelheid privégegevens komen.
Aard van het lek
Het datalek bij Fontys is omvangrijk te noemen. Via het intranet waren verschillende soorten persoonlijke gegevens toegankelijk, waaronder:
De lijst van inzichtelijke gegevens is substantieel en bevat onder meer lijsten met pasfoto’s, adressen en 06-nummers van studenten. Problematischer is dat ook interne e-mails tussen medewerkers en gesprekverslagen tussen mentoren en studenten toegankelijk waren. In sommige van deze documenten stond medische informatie over mentale problemen of aandoeningen zoals dyslexie.
Daarnaast ontdekte Omroep Brabant dat ook cijferlijsten, ondertekende stageovereenkomsten, uitspraken van examencommissies en lijsten met studieadviezen zonder bescherming in het systeem stonden.
Datalekken waarbij medische gegevens betrokken zijn, worden als bijzonder ernstig beschouwd omdat ze onder de bijzondere persoonsgegevens vallen die extra beschermd dienen te worden volgens de Algemene Verordening Gegevensbescherming (AVG).
Reactie Fontys
Fontys heeft erkend dat er fouten zijn gemaakt. Een woordvoerder van de onderwijsinstelling verklaart: “Dit datalek had niet mogen gebeuren en daar willen we onze oprechte excuses voor aanbieden.” De hogeschool neemt de situatie “zeer ernstig” op.
Volgens de onderwijsorganisatie is het lek ontstaan doordat medewerkers per ongeluk bepaalde documenten openbaar deelden via het interne netwerk. Alle openbare bestanden zijn inmiddels omgezet naar privé, waardoor ze niet meer toegankelijk zijn voor anderen.
Het college van bestuur heeft een onderzoek ingesteld naar het datalek. Studenten die vrezen dat hun informatie is gedeeld, kunnen zich melden bij Fontys.
Meldingsplicht en impact
Een datalek binnen een organisatie moet volgens de AVG-wetgeving altijd gemeld worden bij de Autoriteit Persoonsgegevens (AP). Uit eerdere gevallen blijkt dat datalekken waarbij bijzondere persoonsgegevens betrokken zijn, vaak leiden tot hoge boetes als de beveiliging niet op orde was.
Hoewel het niet bekend is hoeveel mensen de gegevens hebben bekeken, is alleen al het feit dat de gegevens toegankelijk waren voor onbevoegden genoeg om als datalek te kwalificeren. De AP kan nog niet ingaan op het verdere verloop van de zaak.
Omroep Brabant, die het lek ontdekte, heeft alle documenten die zijn ingezien, zelf ook verwijderd.
Structureel probleem in onderwijssector?
Dit incident bij Fontys staat niet op zichzelf. Onderwijsinstellingen beheren grote hoeveelheden persoonsgegevens van studenten, waaronder soms gevoelige informatie. De manier waarop deze gegevens worden opgeslagen en gedeeld verdient doorlopend aandacht.
Uit eerdere datalekken bij andere organisaties blijkt dat het vaak gaat om menselijke fouten, zoals in dit geval het onbedoeld openbaar delen van documenten. Technische maatregelen zoals betere toegangscontrole en automatische controles op deelrechten kunnen bijdragen aan het voorkomen van dergelijke incidenten.
Het incident onderstreept het belang van bewustwording onder medewerkers over de juiste omgang met privacygevoelige informatie, vooral in sectoren zoals het onderwijs waar veel persoonsgegevens worden verwerkt.