Mark Reid
maandag 26 januari 2026
Na een eerder datalek zijn er in het nieuwe administratiesysteem Bas Insite opnieuw persoonsgegevens zichtbaar voor derden. Dit keer gaat het om een complete lijst van alle medewerkers, inclusief hun geboortedatum en details over hun contract. ‘Zulke data zijn bruikbaar om identiteitsfraude of een phishingaanval mee te plegen.’

In het systeem kunnen medewerkers met een leidinggevende functie gegevens inzien van álle aan de universiteit verbonden werknemers, ongeacht of die tot hun eigen afdeling behoren of niet. Het gaat om hun geboortedata, hoeveel uur ze werken, van wanneer tot wanneer hun aanstelling loopt en welk type contract ze hebben.

Vlak na de ingebruikname van Bas Insite begin januari ontdekte Mare al een lek in de database. Toen bleek dat de adres- en telefoongegevens van alle medewerkers die ooit een declaratie hadden ingediend zichtbaar waren voor iedereen met toegang tot het systeem, inclusief de gegevens van leden van het college van bestuur en de beveiligde hoogleraar Afshin Ellian. Dat lek werd toen binnen enkele uren gedicht.

Ook dit keer deed Mare in het kader van responsible disclosure melding bij het ICT Shared Service Centre (ISSC). De communicatieafdeling liet daarop echter weten dat de universiteit in tegenstelling tot de eerdere melding de zichtbaarheid van deze gegevens níet beschouwt als een kwetsbaarheid of lek.

Kwetsbaarheid

Wel meldt woordvoerder Caroline van Overbeeke dat de universiteit ‘kijkt naar alle pagina’s van Bas Insite en naar wat daar zichtbaar is, en in hoeverre een gegeven van een medewerker, zoals bijvoorbeeld een geboortedatum, ook echt noodzakelijk is om ermee te kunnen werken’.

‘Ik kan me niet voorstellen dat het voor leidinggevenden nodig is om van iedereen deze data in te zien’

Dat de gegevens voor alle leidinggevenden zijn in te zien is opmerkelijk, vindt hoogleraar Recht en de Informatiemaatschappij Gerrit-Jan Zwenne. Volgens hem is hier mogelijk wél sprake van een kwetsbaarheid.

‘Ik kan me niet voorstellen dat het voor leidinggevenden nodig is om van iedereen aan de hele universiteit dit soort gegevens te kunnen inzien. Het risico dat een geboortedatum bekend wordt, is misschien niet zo groot, maar het zijn wel gegevens die bruikbaar kunnen zijn om identiteitsfraude te plegen of voor een phishingaanval. Als je meer gegevens over iemand hebt kun je een overtuigender nepmailtje van de bank of personeelsadministratie sturen. Je moet het technisch onmogelijk maken dat mensen van buiten je afdeling of vakgroep deze gegevens kunnen inzien.’

Dataminimalisatie

Of de universiteit net als bij het eerdere lek melding moet maken bij de Autoriteit Persoonsgegevens weet Zwenne niet zeker. ‘Ik ben geneigd het zekere voor het onzekere te nemen. Je wil niet achteraf nog een discussie krijgen met bijvoorbeeld de toezichthouder. Als er na onderzoek blijkt dat er geen data gelekt zijn, kun je zo’n melding altijd nog intrekken.’

De Autoriteit Persoonsgegevens zegt niet op individuele casussen in te kunnen gaan, maar merkt op dat volgens het principe van dataminimalisatie de universiteit niet meer persoonsgegevens mag verwerken en delen met derden, dan strikt noodzakelijk is voor het beoogde doel.

Op het moment van het publiceren van dit bericht, maandagavond, waren alle geboortedata en contractgegevens nog steeds in te zien.

Lees ook

Nieuws
Bezettingen, beveiligers en de verdwenen balans van Wierd Duk: de best gelezen stukken van 2025
Aan de hand van de top tien blikken we terug op het jaar waarin bezetters, beveiligers (in burger), bezuinigingen en (vroegtijdig vertrokken) bestuurders het nieuws domineerden. Gebouwen werden gebarricadeerd, opleidingen geschrapt (maar ook weer gered) en de krant van wakker Nederland kreeg gratis eindredactie.
Nieuws
Universiteiten worstelen met Woo-verzoeken
Nieuws
Meningen verdeeld over hernoemd FSW-gebouw: ‘Zo’n pretentieuze naam ga ik niet gebruiken’
Nieuws
FSW-gebouw heet vanaf nu Agora: ‘Pieter de la Court staat haaks op onze waarden’
Nieuws
Datalek bij nieuw administratiesysteem: adressen van medewerkers waren zichtbaar