Kennisgeving datalek subverwerker UU
Vorige maand werden wij geïnformeerd dat er een datalek heeft plaatsgevonden bij één van onze externe leveranciers. Voor de registratie van onder andere de UU Wellbeing Week wordt gebruik gemaakt van een externe leverancier die een aantal diensten, zoals het SMS-verkeer, heeft uitbesteed aan andere leveranciers die gebruik maken van back-up carriers voor het afleveren van de SMS-berichten. Het datalek heeft plaatsgevonden bij één van de back-up carriers van het SMS-verkeer; IdentifyMobile.
Ethische hackers hebben geconstateerd dat persoonsgegevens openbaar toegankelijk waren voor onbevoegden gedurende een periode van 5 dagen. Het gaat om de telefoonnummers, SMS berichten (herinnering van registratie voor een activiteit van de UU Wellbeing week) en een SMS tijdstempel van 571 studenten. De betreffende studenten hebben een mail ontvangen op het e-mailadres dat ze hebben opgegeven bij de UU Wellbeing Week.
Na het ontdekken van het datalek zijn er direct maatregelen getroffen om het datalek te dichten. De persoonsgegevens zijn niet meer toegankelijk en de ethisch hackers hebben bevestigd dat zij niet beschikken over de persoonsgegevens. Daarnaast is de samenwerking met IdentifyMobile als back-up carrier gestopt en is het datalek gemeld bij de Autoriteit Persoonsgegevens. Ondanks dat het privacyrisico zeer beperkt is, kan IdentifyMobile niet garanderen dat er geen andere partijen toegang hebben gehad tot de gegevens. Wij betreuren dit ten zeerste en hebben de getroffen studenten verzocht alert te zijn op spam en phishing- en smishing-pogingen.
Indien je naar aanleiding van dit bericht nog vragen hebt over het datalek kun je contact opnemen met de Privacy Officers van Studenten, Onderwijs en Onderzoek per mail te bereiken via ubd.oo.privacy@uu.nl. Voor klachten kun je contact opnemen met de onafhankelijke functionaris voor gegevensbescherming van de Universiteit Utrecht via fg@uu.nl.