Dat ontdekte Mare maandagochtend, op de dag dat het SAP-systeem werd vervangen door het nieuwe BAS InSite. BAS InSite vervangt SAP Self Service en onderdelen van het Serviceplein.

Maandag ging het mis bij het overhevelen van de declaratiegegevens naar het nieuwe systeem. Doordat het inkoopportaal niet goed was afgeschermd, was de database doorzoekbaar op naam, adres of land. Op die manier konden alle relaties van de universiteit worden ingezien: ook privépersonen die ooit een declaratie hebben ingediend.

Bij die personen stond ook hun huisadres en soms ook telefoonnummer vermeld. Onder meer de adressen van huidige en voormalige leden van het college van bestuur, zoals Sarah de Rijcke, Hester Bijl, Martijn Ridderbos en Carel Stolker, waren te vinden in de database. Ook de adressen van decanen en de beveiligde hoogleraar rechten Afshin Ellian was vindbaar.

Verbaasd

Op maandagmiddag deed Mare melding van het lek bij het ISSC. Naar eigen zeggen was die afdeling toen al op de hoogte van het probleem. Volgens universiteitswoordvoerder Mischa van Vlier was het lek om kwart voor drie ’s middags verholpen. Hij bevestigt dat iedereen die de afgelopen jaren een declaratie heeft ingediend, tijdens het lek in de database was terug te vinden: ‘Het overzicht bevat alle crediteuren, inclusief personen.’

De fout ontstond omdat er ‘geen onderscheid werd gemaakt tussen privé-crediteuren en al onze andere crediteuren’, licht Van Vlier toe. ‘Dat laatste verbaast ons eigenlijk, omdat wij eerder een pentest hebben laten uitvoeren, en dit euvel daar niet uit naar voren kwam.’

De database heeft uiteindelijk een ochtend en deel van de middag opengestaan voor medewerkers. ‘Eerder was het alleen zichtbaar voor beheerders’, aldus Van Vlier.

De universiteit gaat melding van het lek maken bij de Autoriteit Persoonsgegevens. ‘Dit betekent overigens niet per se dat we alle mogelijke betrokkenen moeten benaderen’, zegt Van Vlier. ‘Dat wordt uitgezocht.’

Vervanger

De universiteit werkte meer dan twintig jaar met SAP, maar volgens de universiteit voldoet dat systeem niet langer aan de eisen en valt de ondersteuning van de leverancier in 2027 weg. Alle medewerkers krijgen met het nieuwe BASInSite te maken: alle financiële en personele administratie zit erin verwerkt, zoals verlofaanvragen, declaraties en salarisspecificaties. Kosten van de operatie: 13 miljoen euro.

Vorige maand nog sprak de universiteitsraad kritische woorden over de complexe transitie. ‘Ik hoor veel verontrustende geluiden’, zei raadslid Patrick Klaassen (UB) destijds. ‘Er wordt veel getest. Ik weet dat er heel veel open eindjes zijn.’

Vice-collegevoorzitter Timo Kos zei te verwachten dat het vanaf de start op 5 januari een drukke periode wordt voor het personeel achter de implementatie. Hij sprak toen de hoop uit dat ‘alles in een keer goed draait’ en dat mogelijke problemen ‘stapsgewijs’ zullen worden opgelost. ‘Het zal wel even pittig worden allemaal.’