image

Datalek Universiteit Twente door verkeerd toegewezen rollen en rechten

vrijdag 6 mei 2022, 11:35 door Redactie, 7 reacties

De Universiteit Twente (UT) heeft met een datalek te maken gekregen waarbij enkele honderden personeelsleden tijdelijk de persoonsgegevens van alle 3500 UT-medewerkers konden inzien. Het ging onder andere om geboortedata, bankrekeningnummers, e-mailadressen, data van indiensttreding, medewerker-type en functie. Het datalek ontstond door de uitrol van nieuwe financiële administratiesoftware, waarbij rollen en gebruikersrechten verkeerd waren toegewezen.

"Daarbij is één vinkje te veel aan- of uit gezet, waardoor veel meer mensen dan de bedoeling was inzicht hadden in die gegevens”, laat finance-directeur Dennis van Zijl aan Tubantia weten. "Zodoende zijn er veel rollen tegelijkertijd opengezet, waar dat niet de bedoeling was. Dat heeft niet zozeer met de software te maken, dit had met ieder systeem kunnen gebeuren."

In de periode dat de rollen en rechten verkeerd waren toegewezen hebben maximaal 116 UT-medewerkers op het systeem ingelogd. Hoeveel daarvan gegevens van andere medewerkers hebben bekeken is onbekend. De universiteit heeft het datalek bij de Autoriteit Persoonsgegevens gemeld, meldt U-Today, een magazine over de UT.

Reacties (7)
06-05-2022, 16:47 door karma4
Een datalek voor het zou kunnen zijn dat ..... dat gaat wel heel ver. Niets iets zeker dus vanaf nu dienen er minsten een tiental meldingen per organisatiedeel aan de AP gemeld te worden.
06-05-2022, 19:25 door root
Tja, het ter beschikking stellen van persoonsgegevens aan onbevoegden is een datalek, onafhankelijk of de gegevens zijn opgehaald.

Als je strikt naar de AVG kijkt heeft vrijwel iedere organisatie continu een datalek. Alleen al als het gaat om het zonder geldige verwerkersovereenkomst laten verwerken van persoonsgegevens door externe partijen, vallen veel organsiaties door de mand.
06-05-2022, 20:31 door Anoniem
Door karma4: Een datalek voor het zou kunnen zijn dat ..... dat gaat wel heel ver. Niets iets zeker dus vanaf nu dienen er minsten een tiental meldingen per organisatiedeel aan de AP gemeld te worden.

Dat is inderdaad hoe de AVG geinterpreteerd moet worden .

Ik merk bij mezelf als een zekere "lek-moeheid" , als er weer een nieuwskop is van "datalek" dat van dit type non-probleem is.

(net zo goed als "kankerverwekkend-moeheid" , als weer iemand een minimaal effect op labratjes bij een enorme overdosering van de een of andere eetwaar hyped in de media. ). Known to cause California in the state of Cancer.
07-05-2022, 11:31 door karma4
Door Anoniem: Dat is inderdaad hoe de AVG geinterpreteerd moet worden . .....
Wil je dan even de consequentie van die interpretatie ook uitvoeren.
Je weet niet welk fouten in rechten toegang er allemaal in het systeem zitten. Met jouw interpretatie moet dan altijd meteen van alles gemeld worden. Hoeveel meldingen denk je dat dat zal geven?
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e3434-1-1 heeft geen interpretatie / richtlijn. Je komt bij:

https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e1489-1-1
(12) ‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;
Als dat zo is dan is dit deel van de GDPR een faal door de aanname dat perfectie mogelijk zou zijn.
07-05-2022, 13:13 door Anoniem
Het betrof een kortstondig datalek in het Unit4 ERP systeem ten gevolge van een menselijke fout. Het ontstond op maandagmiddag 2 mei en werd ontdekt op dinsdagochtend 3 mei. De gegevens waren alleen intern te bereiken, niet extern, en slechts door een beperkt aantal UT medewerkers, die allen gehouden zijn aan een gedragscode.

https://www.utwente.nl/en/cyber-safety/news/2022/5/620523/report-of-unit4-data-breach
08-05-2022, 10:55 door Anoniem
Door Anoniem:
Ik merk bij mezelf als een zekere "lek-moeheid" , als er weer een nieuwskop is van "datalek" dat van dit type non-probleem is.
Dat is het grote probleem van die wet en de manier waarop datalek erin gedefinieerd is.
Het leidt de aandacht af van de echte problemen en laat iedereen zijn tijd verkwisten aan de triviale problemen.
09-05-2022, 09:32 door Anoniem
Dat heeft niet zozeer met de software te maken
Als die rechten en rollen zo makkelijk te overrulen waren ligt het zeker ook aan de software. Geen enkele melding van idiot setting? Zou Unit4 ERP niet met AD zijn gekoppeld?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.