Sharepoint, onderdeel van Microsoft Office 365, is een programma waarmee gebruikers groepen kunnen aanmaken om bestanden uit te wisselen. Hoe het kan dat de bestanden in een privémap voor iedereen zichtbaar waren is niet duidelijk. De Sharepointgroep is ingesteld als privé, en alleen de twee onderzoekers waren lid.
Het lek kwam aan het licht toen een medewerker van de universiteit in Sharepoint de naam van een van de onderzoekers intikte, op zoek naar een document waar ze ooit aan hadden samengewerkt.
Naast dat document kwamen toen honderden andere bestanden naar voren, waaronder gegevens van sollicitanten, een pensioenoverzicht, ziek- en betermeldingen van medewerkers en een archief aan e-mails.
Op donderdagochtend 12 oktober deed deze medewerker melding van het datalek bij het ICT Shared Service Centre. Pas op maandag 16 oktober aan het begin van de middag werd de gedeelde map ontoegankelijk gemaakt.
Lek afgehandeld
De twee getroffen onderzoekers hoorden pas van het lek toen de medewerker die het lek vond hen op maandagochtend informeerde. De Sharepointgroep was op dat moment nog steeds in te zien voor iedereen met een ULCN-account.
Universiteitswoordvoerder Caroline van Overbeeke zegt dat het lek is afgehandeld volgens de geldende protocollen, maar voegt toe dat ‘op grond van de AVG we geen verdere mededelingen kunnen doen’.
Wel kan ze zeggen dat het lek binnen 72 uur nadat het bekend werd bij het ‘privacy office’ is gemeld bij de
Autoriteit Persoonsgegevens (AP).
Op de website van de universiteit is een stappenplan te vinden hoe datalekken moeten worden afgehandeld. Volgens dat protocol wordt een melding bij de ISSC-helpdesk achtereenvolgens onderzocht en beoordeeld door een informatie-manager, een functionaris gegevensbescherming, het hoofd informatiemanagement en uiteindelijk het college van bestuur.
Pas nadat het college van bestuur zich heeft gebogen over de beoordelingen van de lagere gremia volgt een melding bij de AP en worden de betrokkenen eventueel ingelicht.
Nieuwe evaluatie protocollen
De AP hanteert voor datalekken een uiterste meldtermijn van 72 uur. Op de website van de AP staat expliciet vermeld dat een weekend of drukte geen geldige redenen zijn om van die termijn af te wijken.
In het stappenplan van de universiteit staat geen tijdslimiet vermeld, alleen dat melders die na 55 uur nog niks hebben gehoord contact moeten opnemen met de informatiemanager.
Op vragen van Mare of dit stappenplan niet te omslachtig is om met acute situaties zoals datalekken om te gaan, zegt Van Overbeeke dat de universiteit het protocol opnieuw gaat evalueren. Ook zegt ze dat de ICT-afdeling van de universiteit een onderzoek heeft uitgevoerd naar andere SharePoint- en Teamspagina’s die onbedoeld openstonden voor derden en dat er enkele zijn afgeschermd.
De betrokken medewerkers zijn hierover geïnformeerd. Het privacy office krijgt bovendien meer medewerkers om dergelijke risico’s in de gaten te kunnen houden.