Ernstig datalek bij Fontys: medische dossiers en persoonlijke gegevens studenten onbeschermd

Bij hogeschool Fontys is een omvangrijk datalek ontdekt waarbij gevoelige studentinformatie, waaronder medische gegevens, toegankelijk was voor onbevoegden. De onderwijsinstelling heeft inmiddels maatregelen genomen om het lek te dichten en heeft een intern onderzoek aangekondigd.

Omroep Brabant bracht het datalek aan het licht na eigen onderzoek. Iedereen die zich voor een cursus bij Fontys aanmeldde en daarmee toegang kreeg tot het interne netwerk, kon via de zoekfunctie bij talloze vertrouwelijke documenten komen. Het ging hierbij niet om een hack, maar om een configuratiefout in het systeem.

De blootgestelde informatie was verontrustend uitgebreid. Naast basisgegevens zoals pasfoto's, woonadressen en telefoonnummers van studenten, waren ook interne e-mailcorrespondentie tussen medewerkers en vertrouwelijke gespreksverslagen tussen mentoren en studenten zichtbaar. Bijzonder zorgwekkend was dat in sommige documenten medische informatie stond over mentale gezondheid en leerproblemen zoals dyslexie.

Volgens een woordvoerder van Fontys ontstond het lek doordat medewerkers onbedoeld documenten als 'openbaar' deelden op het intranet, dat gebruik maakt van Microsoft OneDrive. Hoewel de standaardinstelling op 'privé' staat, werden sommige bestanden per ongeluk voor iedereen toegankelijk gemaakt.

De hogeschool heeft inmiddels alle openbare bestanden omgezet naar privé-status, waardoor ze niet langer toegankelijk zijn voor onbevoegden. "Dit datalek had niet mogen gebeuren en daar willen we onze oprechte excuses voor aanbieden," verklaarde een woordvoerder. Het college van bestuur neemt de situatie "zeer ernstig" en heeft een onderzoek ingesteld.

Organisaties zijn wettelijk verplicht datalekken te melden bij de Autoriteit Persoonsgegevens (AP). De toezichthouder kon nog niet ingaan op de specifieke details van deze zaak. Het blijft onduidelijk hoeveel mensen daadwerkelijk toegang hebben gehad tot de vertrouwelijke informatie.

Studenten die vrezen dat hun persoonlijke gegevens zijn ingezien, kunnen contact opnemen met Fontys. De onderwijsinstelling voert regelmatig bewustwordingscampagnes uit om medewerkers te informeren over het veilig omgaan met gevoelige informatie, maar dit incident toont aan dat er nog steeds risico's bestaan.

Omroep Brabant, die het lek ontdekte, heeft alle ingeziene documenten inmiddels verwijderd en niet verder verspreid. Dit voorval onderstreept het belang van zorgvuldige omgang met persoonsgegevens binnen onderwijsinstellingen, waar grote hoeveelheden gevoelige informatie worden verwerkt.