Alumni zijn bezorgd over gevolgen datalek

In het eerste bericht over de hack dat de UU op 11 augustus naar buiten bracht, zei de universiteit dat de impact van de gestolen gegevens leek mee te vallen. De universiteit had van Blackbaud op 16 juli te horen gekregen dat in het voorjaar contactgegevens, geboortedata en in sommige gevallen loopbaangegevens in handen van hackers waren gevallen. Maar er zouden geen wachtwoorden, bankgegevens of bsn-nummers zijn buit gemaakt omdat die gegevens versleuteld waren. Bovendien zouden de hackers Blackbaud beloofd hebben alle gegevens te hebben gewist. Op dat moment was ook niet bekend om hoeveel gegevens het precies zou gaan.

In eerste instantie wilde de universiteit wachten met communiceren omdat niet duidelijk was om welke relaties het zou gaan. Maar omdat de Technische Universiteit Delft, die ook slachtoffer is van de hack, op 11 augustus hun alumni  zou gaan infomeren, besloot de UU die dag met Delft naar buiten te treden. Pas een paar dagen daarna kreeg ze te horen dat het lek ging om een gigantisch bestand uit 2017 van een backup van alle bij de universiteit bekende alumni, donateurs en een deel van de relaties. Het ging om 180.000 namen. Bovendien bleek dat van 6000 ook de bsn-gegevens te herleiden.  Bankgegevens waren dusdanig versleuteld dat ze niet toegankelijk zijn.

Blackbaud is al jaren en tot op heden een partner van de UU als het gaat om relatiebeheer. Maar in 2017 is besloten de daadwerkelijke gegevens te verhuizen naar een Nederlandse server. Die optie bood Blackbaud aan bij de in gebruikname van een nieuwe systeem. Daar is gebruik van gemaakt omdat opslag in eigen land elke vorm van twijfel/discussie over veiligheid van data. voorkomt. Toch is er blijkbaar een oude back-up op de server blijven staan. Die gegevens zaten bij de informatie die de hackers op de site van Blackbaud vonden. Wereldwijd waren er vele organisaties getroffen. 

De UU is de afgelopen weken druk bezig geweest om alle gedupeerden te informeren via een mail of een brief. Hierin zegt de universiteit dat het risico op misbruik klein is en dat de gedupeerden geen actie hoeven te ondernemen. Toch komen er veel reacties binnen. Mensen zijn bezorgd en vragen zich af wat er met hun gegevens kan gebeuren. Ze geloven niet dat de hackers zomaar al die gegevens vernietigd zouden hebben, zoals Blackbaud zegt. De hackers weten de mailadressen, vaak de opleiding en soms ook dat ze bereid zijn te doneren. Daarmee kunnen ze gericht adressen verkopen voor spam of phishing. RTV Utrecht heeft een expert laten uitzoeken hoe identiteitsfraude mogelijk is wanneer bsn-gegevens zijn gehackt.

Tweede Kamerlid van de VVD Dennis Wiersma en ook alumnus van de UU, heeft Kamervragen gesteld over het onderwerp. Hij wil weten welke garanties er zijn dat de hackers het materiaal daadwerkelijk hebben vernietigd. Blackbaud heeft weliswaar losgeld betaald, maar biedt dit voldoende zekerheid, aldus Wiersma.

Ook de functionaris voor gegevensbescherming van de UU heeft veel bezorgde mails ontvangen. Een aantal gedupeerden vindt dat de universiteit de zaak bagatelliseert door te stellen dat het risico op misbruik gering is. Sommige willen dat nu al hun gegevens uit het systeem van de UU gehaald worden.

De UU zoekt uit hoe het kan dat dit oude bestand nog op de server van Blackbaud stond. Ook zoekt de universiteit uit in hoeverre het bedrijf hiervoor aansprakelijk gesteld kan worden. De universiteit zegt het risico op misbruik wel degelijk serieus te nemen, maar heeft van Blackbaud te horen gekregen dat de gegevens niet meer gebruikt gaan worden. De Amerikaanse organisatie heeft een bedrijf ingehuurd dat via darkweb monitort of de gegevens aangeboden worden. Als dat het eval is, moet Blackbaud dat weer melden aan de UU.