De fout in de nieuwe reismodule van de Radboud Universiteit, waardoor honderden medewerkers reisgegevens van anderen konden inzien, was volgens de universiteit ‘een datalek met een laag risico’. Er is dan ook geen melding gedaan bij de Autoriteit Persoonsgegevens. Privacydeskundige Gerrit-Jan Zwenne heeft zijn bedenkingen bij die kwalificatie.

Door een administratieve fout konden zo’n 650 medewerkers van de universiteit de gegevens van collega’s inzien in het nieuwe reisaanvraagsysteem. Hun was ten onrechte de rol van Travel Arranger toegekend en met die status konden ze de geboekte tripjes van willekeurige collega’s bekijken, wijzigen en annuleren. Denk aan vluchtnummers, stoelnummers en hotelkamers. Ook waren de persoonlijke gegevens van reizigers zichtbaar.

De fout is inmiddels opgelost, nadat er vorige week bij het reisbureau een melding van een medewerker binnenkwam. Tot dat moment hadden de 650 medewerkers onbeperkt toegang tot het systeem. Een kleine driehonderd Radboud-collega’s hadden toen een reis geboekt waarvan de details via het computerscherm zichtbaar en toegankelijk waren voor anderen.

‘Administratieve slordigheid’

Een woordvoerder laat weten dat de universiteit geen melding heeft gedaan bij de Autoriteit Persoonsgegevens (AP). ‘Direct na de melding is onze functionaris gegevensbescherming geïnformeerd. Die typeert het als een datalek met een laag risico. Binnen de regelgeving hoef je dat dan ook niet te melden bij de AP.’

De reden hiervoor is dat het niet om ‘gevoelige’ persoonlijke gegevens gaat, aldus de woordvoerder. Verblijfdetails, volledige namen en eventuele telefoonnummers vallen daar volgens hem niet onder. ‘Ook hebben alléén medewerkers van binnen de universiteit toegang gehad tot de gegevens.’

‘Een datalek is een veel te zware term voor wat hier is gebeurd’

Een woordvoerder van reisbureau VCK Travel benadrukt dat er volgens hem zelfs helemaal geen sprake is van een datalek. Het reisbureau is leverancier van de boekingsmodule waarin Radboudmedewerkers sinds 27 februari verplicht hun meerdaagse buitenlandse reis moeten boeken.

‘Het gaat hier om een simpele administratieve slordigheid’, zegt de woordvoerder. ‘Wij werken met gecertificeerde systemen die onze data beschermen. Binnen die strenge regels en richtlijnen is er geen lek geweest. Een datalek is een veel te zware term voor wat hier is gebeurd.’

Hij onderschrijft daarbij de lezing van de universiteitswoordvoerder dat het slechts om mensen binnen de organisatie gaat, en dat de gegevens – voor zover bekend – niet op straat zijn beland.

Loggegevens

Hoogleraar Privacyrecht Gerrit-Jan Zwenne van de Universiteit Leiden en de Open Universiteit adviseert desgevraagd om in dergelijke gevallen tóch een melding te doen bij de Autoriteit Persoonsgegevens. Dat moet binnen 72 uur na bekendwording gebeuren. ‘Het is vaak lastig om te zeggen of er echt sprake is van een groot datalek’, zegt hij.

‘Het ligt er namelijk aan hoeveel medewerkers bepaalde gegevens hebben kunnen inzien én hoe vaak dat is gebeurd. De enige manier om daar achter te komen is door te kijken naar de loggegevens van de website, waarin precies bijgehouden wordt welke gebruiker waarop klikt. Pas dan kom je achter de omvang van het probleem.’

‘Dat een systeem gecertificeerd is, sluit natuurlijk niet uit dat er sprake was van een datalek’

Het valt Zwenne dan ook op dat daarover niets is gezegd door de universiteit. ‘Dat een systeem gecertificeerd is, sluit natuurlijk niet uit dat er sprake was van een datalek. Hetzelfde geldt voor administratieve slordigheden. Je kunt ervan uitgaan dat vele datalekken júist het gevolg zijn van dergelijke slordigheden.’

Ook het feit dat de informatie niet op straat is beland, impliceert niet dat er geen risico is voor medewerkers, zegt de hoogleraar. ‘Mensen hebben toch onbevoegd kennis genomen van reisinformatie en gegevens van collega’s.’

Altijd melden

Het is dus sowieso verstandig om een dergelijk lek te melden, vindt Zwenne. Ook bij een laag risico. Omdat je moet uitgaan van een situatie waarin er nul risico is. Als een organisatie het lek zelf doorgeeft, laat weten dat het inmiddels is gedicht en dat er volgens die organisatie weinig risico bestaat voor betrokkenen, dan is de kans ook groot dat de AP geen vervolgonderzoek instelt of boetes oplegt. Maar dan is de organisatie wél transparant geweest, legt Zwenne uit

Tot slot doet de universiteit er goed aan mensen in te lichten over de situatie, benadrukt hij. ‘Niet alleen met een bericht op de website: betrokkenen moeten persoonlijk geïnformeerd worden. Niet eens zozeer vanuit juridisch oogpunt, maar ook vanuit zorgvuldigheid en goed werkgeverschap. Maar dat is natuurlijk niet mijn vakgebied.’

Dat laatste gaat de universiteit in ieder geval niet doen. Volgens de woordvoerder zou dat niet nodig zijn, omdat er geen signalen zijn dat er daadwerkelijk een risico is.