Vrije Universiteit lekt persoonsgegevens duizenden personen door e-mailfout
De Vrije Universiteit (VU) heeft door een fout met het versturen van een e-mail de gegevens van duizenden personen gelekt. De e-mail was afkomstig van het Nederlands Autisme Register (NAR), dat aan de VU verbonden is. In het bericht werd ontvangers gevraagd om te controleren of hun persoonsgegevens nog klopten. Het ging om voornamen, achternamen en adresgegevens.
Door een menselijke fout kregen ontvangers de gegevens van andere personen te zien, aldus een woordvoerder van de Vrije Universiteit tegenover AT5. Volgens de woordvoerder is er waarschijnlijk iets misgegaan in een Excel-bestand, waardoor de kolom met adresgegevens niet meer juist naast de kolom met namen stond. Het datalek is gemeld bij de Autoriteit Persoonsgegevens, daarnaast zijn alle gedupeerden ingelicht.
Eerder deze week werd bekend dat de Vrije Universiteit vanwege de diefstal van een onversleutelde computer ook al een datalek bij de Autoriteit Persoonsgegevens heeft gemeld. Op de computer stonden documenten die nodig zijn voor een inschrijving voor een doctoraal-, bachelor- of masteropleiding en waarvan de inschrijving niet via Studielink is verlopen. Het ging om inschrijvingen voor de studiejaren tussen 2003 tot en met 2019.
Reacties (19)
Eh... Waarom staan die gegevens in excell? En nog veel belangrijker: waarom heeft een -blijkbaar- incapabel persoon überhaupt de mogelijkheid om er bij te komen?
Nou ja, het zal wel weer met een sisser of een schijnboete van 100k ofzo aflopen.
Nou ja, het zal wel weer met een sisser of een schijnboete van 100k ofzo aflopen.
23-12-2022, 12:25 door
Ron625
Door Anoniem: Eh... Waarom staan die gegevens in excell?
Sterker, het is voor onderwijs instellingen verboden om een bestand in een niet goedgekeurde OpenStandaard te versturen.Alleen voor die daad verdient de VU een flinke boete.
Door Ron625:
Alleen voor die daad verdient de VU een flinke boete.
Afgezien iedereen excel snapt en begrijpt. Door Anoniem: Eh... Waarom staan die gegevens in excell?
Sterker, het is voor onderwijs instellingen verboden om een bestand in een niet goedgekeurde OpenStandaard te versturen.Alleen voor die daad verdient de VU een flinke boete.
Als je een vaag ander formaat gebruikt, snappen de meeste het niet en is je mailing mislukt.
Ok, dus incapabel persoon, verboden en dikke boete graag! Bedankt voor de nuttige toevoegingen.
Door Ron625:
Alleen voor die daad verdient de VU een flinke boete.
Ten eerste is dat helemaal niet verboden en ten tweede is dat ook niet wat er gebeurt is in dit geval. Het excel bestand is gebruik om een "mailmerge" uit te voeren waarbij in dit geval door een fout de namen en adressen aan een ander e-mail adres werden gekoppeld en geadresseerden zo dus naam en adres van (één) iemand anders te zien kregen ipv hun eigen naam en adres.Door Anoniem: Eh... Waarom staan die gegevens in excell?
Sterker, het is voor onderwijs instellingen verboden om een bestand in een niet goedgekeurde OpenStandaard te versturen.Alleen voor die daad verdient de VU een flinke boete.
"Door een menselijke fout kregen ontvangers de gegevens van andere personen te zien"
Maar dat zal dus hooguit 1 adres per ontvanger zijn, waarbij je zelf dan ook op die lijst moet staan.
Datalek valt dan toch enorm mee? Je krijgt een soort van random adres dus te zien. En ze weten ook nog wie welk adres heeft gehad als dat ineens iemand gaat publiceren.
Niet fraai, maar wel begrijpelijk.
Maar dat zal dus hooguit 1 adres per ontvanger zijn, waarbij je zelf dan ook op die lijst moet staan.
Datalek valt dan toch enorm mee? Je krijgt een soort van random adres dus te zien. En ze weten ook nog wie welk adres heeft gehad als dat ineens iemand gaat publiceren.
Niet fraai, maar wel begrijpelijk.
23-12-2022, 17:15 door
karma4
Het wordt steeds zotter met privacy. Een verkeerd bezorgde brief als problematisch datalek.
Je kun er op wachten dat iedereen opgesloten gaat worden omdat hij anders anderen kan zien.
Je kun er op wachten dat iedereen opgesloten gaat worden omdat hij anders anderen kan zien.
Volgens de woordvoerder is er waarschijnlijk iets misgegaan in een Excel-bestand, waardoor de kolom met adresgegevens niet meer juist naast de kolom met namen stond.
Dat is niet zo moeilijk... sorteren op een bepaalde kolom en vergeten aan te geven dat je de rijen als geheel wiltsorteren. Volgens mij is dat tegenwoordig wel de default maar een klik op de verkeerde plek kan deze fout geven.
(in heel oude versies moest je juist zelf aangeven dat je dit zo wilde, anders sorteerde hij alleen 1 kolom)
Door Anoniem: Eh... Waarom staan die gegevens in excell?
Hoewel het niet uitgesloten is dat iemand een adresbestand bijhoudt in Excel, is een veel voorkomende situatie in allerleiadministratie pakketten dat je een "rapport" kunt maken (een of andere selectie uit je data) met uitvoer naar Excel.
Mensen gebruiken dat vaak omdat ze op het eerste gezicht niet de juiste selectie in het pakket zelf kunnen maken, dan
maken ze zo goed mogelijk een Excel file, en daar gaan ze dan verder mee aan de gang.
Na de handmatige bewerking gebruikt men die Excel dan voor (in dit geval) een mailing, en gooit die als het goed is
daarna weer weg. Want de volgende keer moet je de data opnieuw ophalen.
Door Anoniem 12:28:
Afgezien iedereen excel snapt en begrijpt.
Als je een vaag ander formaat gebruikt, snappen de meeste het niet en is je mailing mislukt.
Afgezien iedereen excel snapt en begrijpt.
Als je een vaag ander formaat gebruikt, snappen de meeste het niet en is je mailing mislukt.
Door SecOff 13:18:Ten eerste is dat helemaal niet verboden
ODF is geen vaag formaat, maar een wettelijk voorgeschreven formaat voor overheden en onderwijs instellingen.Zie:
https://www.noraonline.nl/wiki/Lijst_Open_Standaarden_voor_Pas_Toe_of_Leg_Uit
https://www.forumstandaardisatie.nl/open-standaarden/verplicht
En zo zijn er vele overheids linken.
Mocht je willen weten wat onder de publieke sector valt:
https://dwarsligger.org/5Open/OpenStandaard/index.php?url=Wat_is_Publieke_Sector.html
Door Ron625:
Dit heeft toch helemaal NIETS te maken met het onderwerp wat hier behandeld wordt?Door Anoniem 12:28:
Afgezien iedereen excel snapt en begrijpt.
Als je een vaag ander formaat gebruikt, snappen de meeste het niet en is je mailing mislukt.
Afgezien iedereen excel snapt en begrijpt.
Als je een vaag ander formaat gebruikt, snappen de meeste het niet en is je mailing mislukt.
Door SecOff 13:18:Ten eerste is dat helemaal niet verboden
ODF is geen vaag formaat, maar een wettelijk voorgeschreven formaat voor overheden en onderwijs instellingen.Het is IRRLEVANT of het opslag format XLSX of zelfs CSV was, waar het om gaat is dat in de applicatie de data
gehusseld is en het resultaat daarvan is gebruikt om een mailing te doen. Niet het Excel bestand is gemaild, maar
een standaardbericht wat gestuurd is naar de mailadressen uit het Excelbestand.
24-12-2022, 14:32 door
karma4
Door Anoniem: Eh... Waarom staan die gegevens in excell? En nog veel belangrijker: waarom heeft een -blijkbaar- incapabel persoon überhaupt de mogelijkheid om er bij te komen?
Nou ja, het zal wel weer met een sisser of een schijnboete van 100k ofzo aflopen.
Nou ja, het zal wel weer met een sisser of een schijnboete van 100k ofzo aflopen.
Het staat in Excel omdat het in geen andere registratie dan wel systeem zit.
Dan wort het zelf bouwen, geheel als open source wat kolommen en een eigen programmaatje maken.
De boeten zou de AP aan het AP moeten opleggen wegens disproportioneel sleepnet.
Door karma4:
Het staat in Excel omdat het in geen andere registratie dan wel systeem zit.
Ik dacht dat jij zo veel wist van dit soort systemen?Het staat in Excel omdat het in geen andere registratie dan wel systeem zit.
Dan moet het jou toch bekend zijn dat juist als het in een systeem zit "even ad-hoc de data eruit halen voor een mailing" meestal via een Excel bestand loopt.
AT5: 'Volgens de woordvoerder is er vermoedelijk iets misgegaan in een Excelbestand. Daardoor stond de kolom met adresgegevens ineens niet meer juist naast de kolom met namen.'
De reden dat het fout is gegaan is dus vanwege excel, of toch de persoon die na de mailmerge eerst steeksproefgewijs contoleert of de merge naar wens is uitgevoerd, voordat er -met dit soort bulkberichten- op send wordt gedrukt.
Karma4:'Een verkeerd bezorgde brief als problematisch datalek'
ansichtkaart ok, maar een bekende kreeg laatst de bankpas van buur in de klepper (fout van postbezorger, niet bank), er zijn gradaties waar het soms minder prettig kan uitpakken.
De reden dat het fout is gegaan is dus vanwege excel, of toch de persoon die na de mailmerge eerst steeksproefgewijs contoleert of de merge naar wens is uitgevoerd, voordat er -met dit soort bulkberichten- op send wordt gedrukt.
Karma4:'Een verkeerd bezorgde brief als problematisch datalek'
ansichtkaart ok, maar een bekende kreeg laatst de bankpas van buur in de klepper (fout van postbezorger, niet bank), er zijn gradaties waar het soms minder prettig kan uitpakken.
Door Ron625:
Zie:
https://www.noraonline.nl/wiki/Lijst_Open_Standaarden_voor_Pas_Toe_of_Leg_Uit
https://www.forumstandaardisatie.nl/open-standaarden/verplicht
En zo zijn er vele overheids linken.
Mocht je willen weten wat onder de publieke sector valt:
https://dwarsligger.org/5Open/OpenStandaard/index.php?url=Wat_is_Publieke_Sector.html
@Ron625 Voor onderwijsinstellingen is dit helemaal niet verplicht. Alleen voor gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties is het verplicht en dan nog slechts bij het uitwisselen van gegevens.Door Anoniem 12:28:
Afgezien iedereen excel snapt en begrijpt.
Als je een vaag ander formaat gebruikt, snappen de meeste het niet en is je mailing mislukt.
Afgezien iedereen excel snapt en begrijpt.
Als je een vaag ander formaat gebruikt, snappen de meeste het niet en is je mailing mislukt.
Door SecOff 13:18:Ten eerste is dat helemaal niet verboden
ODF is geen vaag formaat, maar een wettelijk voorgeschreven formaat voor overheden en onderwijs instellingen.Zie:
https://www.noraonline.nl/wiki/Lijst_Open_Standaarden_voor_Pas_Toe_of_Leg_Uit
https://www.forumstandaardisatie.nl/open-standaarden/verplicht
En zo zijn er vele overheids linken.
Mocht je willen weten wat onder de publieke sector valt:
https://dwarsligger.org/5Open/OpenStandaard/index.php?url=Wat_is_Publieke_Sector.html
Het forum standaardisatie zegt hier zelf over:
'Pas toe of leg uit'-beleid
Sommige belangrijke open standaarden worden te weinig gebruikt, waardoor onze digitale samenleving kwetsbaar, inefficiënt of niet toegankelijk is voor iedereen. Daarom geldt voor deze standaarden het 'Pas toe of leg uit'-beleid. De verplichting geldt voor gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties. Voor alle andere organisaties in de publieke sector geldt het gebruik van de ‘Pas toe of leg uit’-standaarden als een dringend advies.
https://www.forumstandaardisatie.nl/node/229/
28-12-2022, 16:35 door
Ron625
Door SecOff: Door Anoniem 12:28:[/i]Alleen voor gemeenten, provincies, rijk, waterschappen en alle uitvoeringsorganisaties is het verplicht en dan nog slechts bij het uitwisselen van gegevens.
En wat zijn uitvoeringsorganisaties?Daar vallen ook onderwijsinstellingen onder. (zie mijn 3e link).
Maar dan nog, is een dringend advies eigenlijk een bindend advies zonder boete mogelijkheid.
Door Ron625: ODF is geen vaag formaat, maar een wettelijk voorgeschreven formaat voor overheden en onderwijs instellingen.
De verplichting gaat over de uitwisseling met anderen, niet over welke formaten voor intern gebruik gehanteerd worden. Hier werd geen excel-bestand als bijlage gemaild naar mensen, het excel-bestand was alleen gebruikt om een lijst met adressen bij te houden, het werd zelf niet verstuurd. Dan is daarvoor dat hele pas-toe-of-leg-uit niet aan de orde.De blunder die hier begaan is had trouwens net zo makkelijk in LibreOffice Calc gemaakt kunnen worden.
02-01-2023, 13:09 door
Ron625
Door Anoniem:
De verplichting gaat over de uitwisseling met anderen, niet over welke formaten voor intern gebruik gehanteerd worden.
Inderdaad inclusief uitwisseling met andere overheden.De verplichting gaat over de uitwisseling met anderen, niet over welke formaten voor intern gebruik gehanteerd worden.
Door Anoniem:
De blunder die hier begaan is had trouwens net zo makkelijk in LibreOffice Calc gemaakt kunnen worden.
Met ieder office pakket, tenslotte ondersteunen (bijna?) alle office pakketten de ODF standaard.De blunder die hier begaan is had trouwens net zo makkelijk in LibreOffice Calc gemaakt kunnen worden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
