Bij de aanval op it-bedrijf ID-ware zijn de persoonsgegevens van vrijwel alle medewerkers van de Hogeschool Utrecht (HU) buitgemaakt en op internet geplaatst. Met het bedrijf waren afspraken gemaakt om adresgegevens na activatie van de pas te verwijderen, maar dat is niet altijd gedaan. Dat laat de onderwijsinstelling weten in een FAQ die afgelopen dinsdag online kwam.

De gestolen gegevens bestaan uit persoonsnummer, naam, adres, postcode, woonplaats en kaartnummer HU-toegangspas. Verder zijn ook van een onbekend aantal oud-personeelsleden en student-medewerkers de gegevens in handen van de aanvallers gekomen, meldt Trajectum, het online magazine van de Hogeschool Utrecht.

ID-Ware levert toegangssystemen aan bedrijven, overheden en onderwijsinstellingen. In september wist een ransomwaregroep in te breken op systemen van ID-ware en maakte daar allerlei data buit. Het ging om gegevens van duizenden Rijksambtenaren, alsmede medewerkers van de TU Eindhoven en Hogeschool Utrecht. Ook van medewerkers in dienst bij leveranciers van de HU, zoals schoonmaak, kantine en onderhoud, is data gestolen.

De HU had met ID-Ware afgesproken dat woonadressen uit de systemen zouden worden verwijderd zodra de toegangspas is geactiveerd. "We hebben moeten constateren dat dit helaas bij het aanmaken van de nieuwe passen in maart 2021 niet goed is gegaan. Daarna is wel volgens afspraken gewerkt en wordt het woonadres direct na activatie van de passen verwijderd. De HU heeft de leverancier hier op aangesproken", meldt de onderwijsinstelling. De inbraak bij ID-ware werd gisteren besproken door de Commissie Digitale Zaken van de Tweede Kamer.