Minister van Engelshoven van Onderwijs heeft gereageerd op Kamervragen over het omvangrijke datalek bij de TU Delft en Universiteit Utrecht, maar verschillende vragen over het incident blijven onbeantwoord. Een aanvaller wist de privégegevens van zo'n 250.000 alumni, donateurs en relaties van de universiteiten te stelen. Van zesduizend afgestudeerden van de Universiteit Utrecht ging het ook om burgerservicenummers.
Beide universiteiten maken gebruik van de diensten van cloudsoftwarebedrijf Blackbaud, dat in mei het doelwit van een ransomware-aanval werd. Het bedrijf stopte de aanval, maar voordat de aanvaller de ransomware uitrolde wist hij gegevens van een aantal Blackbaud-klanten te stelen, waaronder de twee Nederlandse universiteiten. In het geval van de Universiteit Utrecht en TU Delft kregen de aanvallers toegang tot een oude back-up uit 2017 die onbedoeld nog in de omgeving van Blackbaud stond.
Blackbaud maakte eerder al bekend dat het de crimineel achter de aanval heeft betaald om de data te vernietigen. Het bedrijf denkt niet dat de data buiten de cybercrimineel om is verspreid, is of zal worden misbruikt of op andere wijze openbaar zal worden gemaakt. VVD-Kamerlid Wiersma vroeg Van Engelshoven om opheldering. Zo wilde Wiersma weten welke garantie de Universiteit Utrecht en de TU Delft hebben gekregen dat de buitgemaakte gegevens daadwerkelijk zijn vernietigd en op welke manier de getroffen afgestudeerden, donateurs en relaties dit kunnen controleren.
Ook vroeg het Kamerlid waarom Nederlandse universiteiten later werden geïnformeerd dan Britse universiteiten, die ook onderdeel van het datalek waren, en hoe het kan dat de aanvaller toegang kreeg tot een oude back-up uit 2017 die nog in de omgeving van Blackbaud stond. De minister geeft geen antwoord op deze vragen. Wel laat ze weten dat hoger onderwijsinstellingen zelf verantwoordelijk zijn voor de opslag en verwerking van gegevens van studenten, medewerkers, alumni en overige personen die informatie aan de instelling hebben verstrekt.
Tevens stelt de minister dat honderd procent veiligheid niet bestaat. "Hoger onderwijsinstellingen zijn door hun open en transparante karakter kwetsbaar. Instellingen moeten streven naar een integrale veiligheidsaanpak waarin een afweging wordt gemaakt tussen kernwaarden als openheid, te beschermen belangen zoals de bescherming van persoonsgegevens en bedreigingen", aldus Van Engelshoven.
Wiersma wilde ook weten welke maatregelen de minister gaat treffen om een herhaling van dit incident te voorkomen en in hoeverre de online veiligheid van privacygevoelige informatie onder de verantwoordelijkheid van het ministerie van Onderwijs valt. Daarop antwoordt de minister dat de Onderwijsinspectie naar aanleiding van de ransomware-aanval op de Universiteit Maastricht een onderzoek uitvoert naar de cyberveiligheid op stelselniveau. Van Engelshoven zal in haar reactie op het onderzoek ook ingaan op de "verantwoordelijkheidsverdeling" die bij cybersecurity komt kijken.
Deze posting is gelocked. Reageren is niet meer mogelijk.