Fontys meldt meer datalekken bij privacywaakhond
Bij Fontys-Dienst IT zijn vorig jaar 35 datalekken gemeld. Dat aantal is vergelijkbaar met de hoeveelheid in 2018. Wel steeg het aantal meldingen dat in 2019 is doorgezet naar de landelijke Autoriteit Persoonsgegevens (AP): van negen naar vijftien.
Een datalek kan bijvoorbeeld ontstaan door een hack of doordat een medewerker zijn laptop in de trein laat staan. Dit soort zaken moet verplicht worden gemeld bij de AP. Bij Fontys is er een uitgebreide procedure voor het doorgeven van een lek.
Landelijk meldden bedrijven en instellingen volgens de AP vorig jaar bijna 27.000 datalekken, bleek donderdag. Dat aantal is 29 procent hoger dan in 2018.
Met een stijging naar vijftien meldingen zit Fontys net iets hoger dan het gemiddelde van dertien door vergelijkbare onderwijsinstellingen. Volgens functionaris gegevensbescherming Gisa de Jonge van de Dienst IT is dat niet verontrustend.
Drie hacks
Er waren onder meer drie meldingen van hacks. Die zijn doorgezet naar privacywaakhond AP. “De grootste categorie meldingen is van het type ‘verkeerd gestuurd/gedeeld’”, aldus De Jonge. “Zo stuurde iemand een voorbeeldmail door, zonder in de gaten te hebben dat daar onderin de paspoortgegevens van iemand anders stonden.”
De meeste meldingen zijn aan het einde van het studiejaar gedaan. “Dan zijn mensen denk ik moe, willen nog snel dingen afmaken en leven procedures niet na.”
De meldingen van datalekken in 2019 zijn volgens de functionaris gegevensbescherming door 51 procent van het aantal Fontys-instituten en -diensten gedaan. “Wij vermoeden echter dat er veel meer lekken zijn geweest. We willen daarom oproepen om altijd te melden en zo snel mogelijk. Wij bekijken het graag.”
Artikel gaat verder onder het kader
Wie bij Fontys het vermoeden heeft een handeling te hebben verricht die kan leiden tot een datalek, kan dit melden via het datalekprotocol (inloggen). Het Information Security & Privacy Office van Fontys beoordeelt de melding. Het voert een analyse uit, bekijkt welke actie nodig is om gevolgschade te beperken, neemt contact op met de veroorzaker en besluit of de Autoriteit Persoonsgegevens (AP) op de hoogte moet worden gebracht. Ook het College van Bestuur krijgt een melding als de AP in kennis is gesteld.
Meestal volgt er geen reactie van de AP, tenzij die inhoudelijke vragen over de melding heeft. Wanneer echter uit de melding blijkt dat de meldplicht goed is nageleefd en voldoende maatregelen zijn genomen om nieuwe inbreuken te voorkomen, wordt het dossier gesloten. Soms start de AP een onderzoek naar de naleving van de privacywetgeving.
Losgeld Maastricht University
De meeste meldingen aan de AP komen uit de financiële sector. Toch haalde een onderwijsinstelling er recentelijk het nieuws mee.
Deze week werd bekend dat Maastricht University twee ton aan losgeld heeft betaald aan hackers. Die verschaften zich twee maanden lang toegang tot het netwerk van de universiteit en maakten ook de back-ups ontoegankelijk. Daardoor zag de instelling zich genoodzaakt om losgeld voor deze ransomware te betalen.
In vergelijking met wat Maastricht University is overkomen, zijn de meldingen bij Fontys volgens Hub Gerats ‘kleine problemen’. “Maar iedere onderwijsinstelling loopt kans om mee te maken wat er in Maastricht is gebeurd. Fontys doet er alles aan om het te voorkomen”, zegt Gerats, die corporate information security officer is bij de Fontys-Dienst IT.
Hij en Gisa de Jonge woonden deze donderdag in Tilburg een conferentie bij over ransomware. [Tim Durlinger]