Website universiteit lekt namen van studenten (11/06/21)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★ (de informatie over het datalek komt uit meerdere bronnen)

Organisatie

Universiteit Utrecht.

Betrokkenen

Studenten aan de universiteit.

Soort (persoons)gegevens

Namen en e-mailadressen (die kunnen worden gecombineerd met studieresultaten).

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Momenteel publiceert het gros van de opleidingen van de Utrechtse universiteit alleen studentnummers bij de cijferlijsten. 'Als je een onvoldoende hebt, komt niemand dat te weten, omdat namen niet gepubliceerd worden', licht een woordvoerder toe. Maar door een privacylek in de Solis U-gids kan al jaren worden gekeken wat voor cijfers studiegenoten hebben gescoord, stelt [...], student CKI (Cognitieve Kunstmatige Intelligentie) van de Universiteit Utrecht. [...] In de online adressengids staan namen, e-mailadressen en faculteiten. Studentnummers ontbreken, maar zijn wel te vinden in de url’s van de studentenpagina’s. [De student,] die naast zijn studie ook werkzaam is in de ICT-sector, heeft een webapplicatie gemaakt die die studentnummers omzet in namen. Het is mogelijk om een gehele uitslagenlijst waarop slechts studentennummers en tentamencijfers staan, met één druk op de knop om te zetten in een uitslagenlijst met de namen van studenten." (AG, 11/06/21)

Respons van de organisatie

"Het privacylek zou al jaren bestaan en bekend zijn bij het ICT Service Centrum van de Universiteit Utrecht, zonder dat dit tot maatregelen leidde. De enige optie om te voorkomen dat mensen de naam achter een studentnummer achterhalen, is om er als student voor te kiezen al je gegevens op 'verborgen' te zetten, werd [de student] verteld. In een reactie laat [de] information security officer van de Universiteit Utrecht verslaggevers van dub.uu.nl, een onafhankelijke nieuwssite van de Universiteit Utrecht, weten het te betreuren dat het voor externen via de Solis U-gids mogelijk is studentnummers aan namen te koppelen. Hij noemt het een 'technisch gebrek'. Volgens [de information security officer] is de koppeling tussen studentnummer en naam noodzakelijk voor onder meer de helpdesk en de studentenadministratie. Maar dat ook mensen van buiten die koppeling kunnen maken, is niet de bedoeling. 'We gaan dit zo spoedig mogelijk repareren waardoor wordt voorkomen dat externen deze gegevens anoniem kunnen verzamelen.' Overigens wil [de rector] binnenkort wel namen zichtbaar maken op cijferlijsten. Dit zou de onderlinge competitie bevorderen, hoewel veel studenten hier vraagtekens bij plaatsen." (AG, 11/06/21)

Bronnen

Eerste publicatie:
Off-site link, opens in new window AG: Student ontdekt privacylek online gids Universiteit Utrecht (11/06/21)

Zie verder:
Off-site link, opens in new window PrivacyNieuws: Student ontdekt privacylek online gids Universiteit Utrecht (11/06/21)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.