Mark Reid
maandag 26 januari 2026
Na een eerder datalek zijn er in het nieuwe administratiesysteem Bas Insite opnieuw persoonsgegevens zichtbaar voor derden. Dit keer gaat het om een complete lijst van alle medewerkers, inclusief hun geboortedatum en details over hun contract. ‘Zulke data zijn bruikbaar om identiteitsfraude of een phishingaanval mee te plegen.’

In het systeem kunnen medewerkers met een leidinggevende functie gegevens inzien van álle aan de universiteit verbonden werknemers, ongeacht of die tot hun eigen afdeling behoren of niet. Het gaat om hun geboortedata, hoeveel uur ze werken, van wanneer tot wanneer hun aanstelling loopt en welk type contract ze hebben.

Vlak na de ingebruikname van Bas Insite begin januari ontdekte Mare al een lek in de database. Toen bleek dat de adres- en telefoongegevens van alle medewerkers die ooit een declaratie hadden ingediend zichtbaar waren voor iedereen met toegang tot het systeem, inclusief de gegevens van leden van het college van bestuur en de beveiligde hoogleraar Afshin Ellian. Dat lek werd toen binnen enkele uren gedicht.

Ook dit keer deed Mare in het kader van responsible disclosure melding bij het ICT Shared Service Centre (ISSC). De communicatieafdeling liet daarop echter weten dat de universiteit in tegenstelling tot de eerdere melding de zichtbaarheid van deze gegevens níet beschouwt als een kwetsbaarheid of lek.

Kwetsbaarheid

Wel meldt woordvoerder Caroline van Overbeeke dat de universiteit ‘kijkt naar alle pagina’s van Bas Insite en naar wat daar zichtbaar is, en in hoeverre een gegeven van een medewerker, zoals bijvoorbeeld een geboortedatum, ook echt noodzakelijk is om ermee te kunnen werken’.

‘Ik kan me niet voorstellen dat het voor leidinggevenden nodig is om van iedereen deze data in te zien’

Dat de gegevens voor alle leidinggevenden zijn in te zien is opmerkelijk, vindt hoogleraar Recht en de Informatiemaatschappij Gerrit-Jan Zwenne. Volgens hem is hier mogelijk wél sprake van een kwetsbaarheid.

‘Ik kan me niet voorstellen dat het voor leidinggevenden nodig is om van iedereen aan de hele universiteit dit soort gegevens te kunnen inzien. Het risico dat een geboortedatum bekend wordt, is misschien niet zo groot, maar het zijn wel gegevens die bruikbaar kunnen zijn om identiteitsfraude te plegen of voor een phishingaanval. Als je meer gegevens over iemand hebt kun je een overtuigender nepmailtje van de bank of personeelsadministratie sturen. Je moet het technisch onmogelijk maken dat mensen van buiten je afdeling of vakgroep deze gegevens kunnen inzien.’

Dataminimalisatie

Of de universiteit net als bij het eerdere lek melding moet maken bij de Autoriteit Persoonsgegevens weet Zwenne niet zeker. ‘Ik ben geneigd het zekere voor het onzekere te nemen. Je wil niet achteraf nog een discussie krijgen met bijvoorbeeld de toezichthouder. Als er na onderzoek blijkt dat er geen data gelekt zijn, kun je zo’n melding altijd nog intrekken.’

De Autoriteit Persoonsgegevens zegt niet op individuele casussen in te kunnen gaan, maar merkt op dat volgens het principe van dataminimalisatie de universiteit niet meer persoonsgegevens mag verwerken en delen met derden, dan strikt noodzakelijk is voor het beoogde doel.

Op het moment van het publiceren van dit bericht, maandagavond, waren alle geboortedata en contractgegevens nog steeds in te zien. Dinsdag bleek het systeem toch te zijn aangepast: leidinggevenden kunnen alleen nog de geboortedata en contractgegevens van hun eigen medewerkers zien.

Lees ook

Nieuws
Radicaal-rechtse GNSV niet geweerd van El Cid-week
Het college van bestuur gaat de radicaal-­rechtse studentenvereniging gnsv vooralsnog niet weren van de introductieweek. ‘We blijven alert op signalen van onveiligheid, discriminatie en uitsluiting.’
Nieuws
Is het begeleiden van promovendi onderzoek of toch onderwijs?
Nieuws
Arbeidsinspectie legt Rechten onder de loep
Nieuws
Ook bij Rechten blijft discussie voortduren: moeten we AI omarmen of verbieden?
Nieuws
De aanpak van hoge werkdruk loopt vertraging op vanwege… hoge werkdruk