Studenten van Fontys Hogeschool zagen gevoelige informatie vanwege datalek

Studenten en medewerkers van Fontys Hogeschool kunnen gevoelige informatie bekijken. Dat komt door een datalek. Persoonsgegevens en contracten zijn nu door iedereen in te zien. Een student van de Tilburgse hogeschool stuurde een aantal screenshots naar Omroep Brabant.

De hogeschool heeft een account bij OneDrive. Dat is de digitale werkomgeving van Microsoft. Een student was erg nieuwsgierig en na een aantal zoekopdrachten stuitte de persoon al op een aantal gevoelige bestanden. De hogeschool zegt in een reactie dat één medewerker van de hogeschool een document met de hele organisatie heeft gedeeld. Dat was uiteraard niet de bedoeling.

Tentamens, inloggegevens en stageadressen 

De gehele hogeschool kon de bestanden vinden en openen. Tentamens, inloggegevens en stageadressen waren voor alle studenten en medewerkers in te zien. Studenten konden een tentamen bijvoorbeeld al inzien in OneDrive nog voordat ze deze hadden gemaakt.

Datalek 

Hoewel de documenten alleen binnen de onderwijsinstelling circuleren en niet daarbuiten is er toch sprake van een datalek. Een grote groep mensen krijgt namelijk bestanden te zien, terwijl deze niet voor iedereen zichtbaar moeten zijn. Gevoelige informatie over tentamens, inloggegevens of contracten moeten alleen toegankelijk zijn voor mensen die die informatie meteen nodig hebben.

Screenshots 

Fontys Hogeschool kreeg de screenshots niet van Omroep Brabant. De omroep deed dit om de bron te beschermen. De hogeschool zou namelijk, na het zien van de screenshots, meteen kunnen achterhalen wie de student was die de beelden doorstuurde. Fontys ontving wel van Omroep Brabant zeven bestanden met namen, auteurs en data.

Documenten van studenten 

De hogeschool geeft aan dat van die zeven bestanden de meeste van studenten zijn. “De documenten van studenten mogen wel publiek staan.” Twee tentamens zijn zichtbaar op de OneDrive van studenten, maar waarschijnlijk gaat dit om oefententamens. “Dat gaan we nog onderzoeken”, stelt de hogeschool.

De hogeschool neemt nog contact op met de betreffende medewerker die een document over het organiseren van een evenement op ‘public’ heeft gezet. Fontys weet nog niet zeker of ze dit incident als datalek gaan melden aan de Autoriteit Persoonsgegevens.

Door: Nationale Onderwijsgids / Femke van Arendonk