Lek Erasmus Universiteit betrof ook medische gegevens studenten
Het recente datalek bij de Erasmus Universiteit, waarbij gegevens van duizenden studenten en docenten mogelijk in verkeerde handen zijn gevallen, betrof ook gevoelige gezondheids- en betaalgegevens. Dat bevestigt de universiteit desgevraagd tegenover de NOS. Het was al bekend dat adresgegevens, e-mailadressen en telefoonnummers mogelijk zijn buitgemaakt.
In 4700 gevallen blijkt informatie over de gezondheid mogelijk te zijn uitgelekt. Het gaat daarbij bijvoorbeeld over de vraag of een student allergisch is, maar ook over de aanwezigheid van tentamenvrees, dyslexie of psychische stoornissen zoals ADHD en autisme.
Studentenpsycholoog
De studenten vulden die informatie onder meer in bij formulieren van de studentenpsycholoog. Bij minimaal 2200 van de 4700 formulieren waren ook contactgegevens aanwezig. In de andere gevallen mogelijk niet, en in sommige gevallen vulden studenten ook niet hun echte naam in.
In totaal zijn zeker 17.000 mensen getroffen door het datalek. Bij 9900 mensen werd de nationaliteit vermeld; in 5600 gevallen ging het om bank- of creditcardgegevens, en BSN- en paspoortnummers waren in 3350 gevallen aanwezig. Wachtwoorden zijn in elk geval niet buitgemaakt, belooft de universiteit.
Gekraakte webserver
De gegevens stonden op de gekraakte webserver van de Erasmus Universiteit met daarop 270.000 ingevulde webformulieren. Mogelijk zijn die ingevulde formulieren buitgemaakt door de aanvallers. "Dat is niet aangetoond, maar we kunnen het niet uitsluiten", aldus woordvoerster Van Beek. "Vandaar dat iedereen een brief krijgt."
Niet alleen studenten en docenten krijgen een brief, ook mensen van buiten de universiteit kunnen bij het datalek betrokken zijn. Het gaat dan bijvoorbeeld om ouderen die studeerden aan de Rotterdamse vestiging van Hovo, een opleidingsinstituut voor vijftigplussers. Ook gegevens van dat instituut waren aanwezig op de servers van de Erasmus-universiteit.
Achterdeurtje
Hoe de aanvallers precies binnenkwamen, kan de universiteit niet zeggen. Op een van de webservers trof de universiteit een achterdeurtje aan, waarmee hackers informatie van de server kunnen halen. Welke gegevens precies zijn buitgemaakt, is volgens de universiteit niet meer te achterhalen.
De universiteit heeft melding gedaan bij de Autoriteit Persoonsgegevens, hetgeen sinds 1 januari verplicht is. Ook de politie is ingeschakeld.