Studieboeken ANP

De gegevens van 5100 studenten van Saxion Hogeschool zijn zeker 24 uur openbaar geweest. Het gaat om naam, adres, woonplaats en mailadres van de studenten, plus de boeken die ze hebben besteld bij het bedrijf StudyStore.

Het lek is ontstaan bij de Koepel Overleg Studenten Saxion, kortweg KOSS. Studenten van de hogeschool kunnen daar met korting boeken bestellen bij StudyStore. Saxion heeft vestigingen in Deventer, Apeldoorn en Enschede.

"Wij maken bestellijsten die we ter controle naar Saxion sturen", legt Martin van Putten van StudyStore uit. "Saxion stuurt die lijsten door naar KOSS ter controle, zodat kan worden bepaald hoe hoog de korting is."

KOSS stuurt ter controle die lijsten weer door naar de twintig aangesloten studieverenigingen. "Op de een of andere manier is daarbij per ongeluk een tabblad met de persoonsgegevens van de studenten meegestuurd", legt Van Putten uit. "Iemand heeft vervolgens die gegevens openbaar gemaakt. We weten niet wie en waarom."

Verwijderd

De gegevens zijn volgens Van Putten 24 uur openbaar geweest. "Wij hebben KOSS geholpen ze weer te verwijderen omdat het vakantie is en veel mensen onbereikbaar zijn. Ook hebben we geholpen bij de melding bij de Autoriteit Persoonsgegevens."

Een woordvoerder van KOSS noemt het heel erg vervelend dat de studenten op deze manier benadeeld zijn. "Het meesturen van de bestanden is een menselijk fout. Waarom iemand dit vervolgens online zet, moeten we uitzoeken. Misschien was het iemand die ons kwaad wilde doen."

Vanavond plaatst KOSS op de Facebookpagina een bericht voor alle getroffen studenten.

Minder

Rob Admiraal, woordvoerder van hogeschool Saxion, vermoedt dat er minder studenten zijn getroffen dan de 5100 die nu worden genoemd. "Het kan heel goed zijn dat studenten meerdere boeken hebben besteld, die komen dan misschien vier of vijf keer terug op die lijst."

Volgens Admiraal gaat het om verouderde gegevens. "Ze zijn afkomstig uit 2017. Studenten kunnen in de tussentijd zijn verhuisd of afgestuurd." Door veranderde privacywetgeving wordt nu niet meer op deze manier gewerkt en heeft elke student een eigen uniek nummer.

Niet expres

De gegevens hebben volgens Admiraal niet 24 maar 48 uur online gestaan. Hij denkt dat ze niet expres openbaar zijn gemaakt. "Ik ken niet alle details, maar ik vermoed dat iemand ergens op de verkeerde knop heeft gedrukt. Gelukkig is de fout vrij snel ontdekt."

Saxion Hogeschool roept studenten op zich te melden als ze iets merken. "Zodat we kunnen kijken of we iets voor ze kunnen doen," zegt Admiraal. "Overigens is het best mogelijk dat niemand die gegevens heeft gezien en dat er dus niets mee is gedaan."

Meer gegevens

Mischa van Geelen is beveiligingsonderzoeker bij NFIR. Hij ontdekte het lek kort nadat het online was gezet. "Uit de titels van de bestanden is op te maken dat er meer gegevens zijn. Daar ben ik nu naar op zoek. Klopt het, dan zou het aantal getroffen studenten kunnen oplopen tot wel 50.000."

Van Geelen adviseert de studenten hun mail goed in de gaten te houden. De kans op een toename van spam is groot. "Dat betekent dat ze niet overal op moeten klikken. Bovendien moeten ze bij de Autoriteit Persoonsgegevens melden dat ze gedupeerd zijn. Studenten die willen controleren of het om hun gegevens gaat, kunnen dat doen bij haveibeenpwned.com of isthisyour.pw.

"Of ook wachtwoorden gehackt zijn, is niet bekend," zegt Van Geelen, "maar het is altijd verstandig om preventief je wachtwoord te veranderen."

STER reclame