Persoonsgegevens van studenten, medewerkers en sollicitanten van de TU Delft zijn op straat beland na de diefstal van de niet-versleutelde laptop van een medewerker.
Op de gestolen laptop staan de namen en adressen van 14 duizend studenten, personeelsgegevens van 1100 medewerkers en sollicitatiebrieven en cv’s van 200 sollicitanten. Al deze informatie stond lokaal opgeslagen, zonder dat de harde schijf van encryptie was voorzien. Encryptie is een codering waardoor alleen geautoriseerde gebruikers toegang hebben. Zonder deze versleuteling kan een harde schijf relatief eenvoudig worden uitgelezen.
De laptop is op 17 september gestolen. Van wie hij was of bij welke dienst of faculteit deze persoon werkt, maakt de TU om privacyredenen niet bekend. De universiteit denkt dat het de dief om de laptop zelf te doen was en niet om de data, omdat het gaat om een fysieke diefstal en niet om een cyberaanval. “Het is nog afwachten of daadwerkelijk iets met de ontvreemde persoonsgegevens wordt gedaan”, laat Erik van Leeuwen, TU-functionaris gegevensbescherming, weten. “In dat geval bekijkt de TU Delft met de betrokkene of maatregelen nodig zijn, bijvoorbeeld aangifte bij de politie.”
Signalen
In de tussentijd is er bij de Autoriteit Persoonsgegevens melding gedaan van een datalek. Ook worden zoveel mogelijk betrokkenen wiens gegevens op de laptop stonden op de hoogte gesteld en gevraagd om alert te zijn. Het privacyteam van de TU denkt iedereen begin volgende week te hebben bereikt.
Momenteel is ongeveer 35 procent van de door ICT beheerde systemen versleuteld
Van Leeuwen vertelt dat de universiteit enkele tientallen reacties terug heeft gekregen. “Mensen geven aan dat ze het waarderen dat de TU Delft ze hierover informeert, maar ze hebben ook vragen. Zo vragen medewerkers en studenten zich onder meer af wat zij concreet kunnen doen en wat signalen zouden kunnen zijn dat misbruik wordt gemaakt van de in het datalek betrokken persoonsgegevens.”
Zwak punt
Het incident legt een zwak punt in de databeveiliging van de TU Delft bloot. Momenteel is ongeveer 35 procent van de door ICT beheerde systemen versleuteld. Nieuwe laptops worden vanaf de zomer van 2019 standaard versleuteld, maar bij oudere laptops moet dat vaak nog gebeuren. Dat kan momenteel alleen met laptops die fysiek op de campus zijn, iets dat sinds de coronacrisis tot vertraging heeft geleid. ICT werkt momenteel aan een oplossing, die snel doorgevoerd moet worden.
Wat kunnen medewerkers en studenten in de tussentijd zelf doen om data veilig te bewaren? Van Leeuwen adviseert een veilige opslaglocatie zoals Surfdrive. Verder vraagt hij mensen persoonsgegevens die ze niet meer nodig hebben op tijd te verwijderen. “Indien jouw laptop nog niet encrypted is, wees je dan extra bewust van welke gegevens je lokaal opslaat en welke gegevens lokaal gesynchroniseerd worden, bijvoorbeeld via Surfdrive. Zet die synchronisatie zo nodig uit.”
- Lees hier hoe je zelf je laptop kunt versleutelen.
- Laptops worden vaker gestolen, zoals een jaar geleden bij TBM.
Comments are closed.