Navigatie overslaan

Groot datalek bij Fontys: medische gegevens studenten in te zien

donderdag om 13:30 • Aangepast gisteren om 09:46
Een gelekte foto van een vergadering bij Fontys.
Een gelekte foto van een vergadering bij Fontys.
nl
Honderden bestanden op het netwerk van de Fontys Hogeschool waren lange tijd eenvoudig in te zien voor iedereen die daar wat moeite voor deed. Dit blijkt uit onderzoek van Omroep Brabant. Het gaat om zeer gevoelige informatie zoals medische gegevens van studenten, studieadviezen en interne mails van Fontys medewerkers.
Profielfoto van Wim Heesterbeek
Geschreven door
Wim Heesterbeek

Het lek openbaarde zich als iemand zich via de website van Fontys, met vooral scholen in Brabant, aanmeldde voor een cursus van de hogeschool. Nog voordat er een contract was getekend of studiegeld was overgemaakt, ontving de geïnteresseerde een mail met daarin een speciaal Fontys-mailadres en logingegevens voor het intranet. Dat is het interne netwerk van de hogeschool.

Op dat netwerk is in eerste instantie alleen wat algemene informatie over de opleidingen te zien, maar via de zoekfunctie kan er breder gezocht worden. Dan verschijnen honderden documenten, foto's en video's met soms zeer gevoelige informatie. Het gaat om actuele bestanden, maar ook om bestanden die al enkele jaren oud zijn.

Hoe ging Omroep Brabant te werk?

We werden op het spoor van dit nieuws gezet door een tip van een lezer. Deze had zich begin deze maand aangemeld voor een cursus bij Fontys en kon vervolgens alle bestanden inzien.

Vervolgens hebben we onszelf ook aangemeld, om te verifiëren of de tip juist was. Dit bleek het geval.

Voor publicatie hebben we Fontys ingelicht en ze de gelegenheid gegeven het lek te dichten. Dat is inmiddels gebeurd, de documenten zijn niet meer door buitenstaanders in te zien. Omroep Brabant heeft alle documenten die we hebben ingezien, verwijderd.

Psycholoog bezoek
Omroep Brabant zag een groot aantal van die documenten in. Het gaat onder andere om lijsten met pasfoto’s van studenten, thuisadressen, privé e-mailadressen en 06-nummers. Ook contactgegevens van docenten en interne e-mails tussen medewerkers van Fontys waren in te zien. Van enkele studenten vonden we verslagen van gesprekken met hun coach of mentor. Hierin stond soms zeer persoonlijke informatie over de student.

Nog pijnlijker werd het toen we ook mails van studenten zagen die om extra tijd bij examens vragen. In deze mails worden vaak medische details genoemd. Vaak gaat het om dyslexie, maar ook concentratieproblemen na een ongeluk worden genoemd, of mentale problemen waarvoor een psycholoog bezocht wordt. De naam en alle contactgegevens van deze studenten waren in te zien, net als de reactie van de docent op hun verzoek.

Interne video
Naast de talloze documenten vonden we ook een filmpje van de voorzitter van het college van bestuur van Fontys. Ook dit lijkt niet voor de buitenwereld bedoeld: Houterman spreekt zijn personeel toe over strategische uitdagingen waar de hogeschool voor staat.

Joep Houterman, voorzitter van het college van bestuur van Fontys, in een interne video.
Joep Houterman, voorzitter van het college van bestuur van Fontys, in een interne video.

Studieadviezen
Ook gevoelige informatie rond de opleiding die gevolgd wordt, was eenvoudig in te zien. Zo zagen we cijferlijsten, getekende stageovereenkomsten, uitspraken van de examencommissie en lijsten met studieadviezen. Dat laatste zijn grote bestanden met tientallen namen van studenten, met de vermelding of Fontys nog een toekomst voor hen ziet binnen hun hogeschool.

Wie zoekt op studentennummers zoals die bijvoorbeeld vermeld staan op het document met pasfoto’s, kon nog meer informatie over een specifieke student vinden. Zo achterhaalde je met één zoekopdracht de cijfers, stageplek en eventuele andere bijzonderheden rond een specifiek persoon.

Eerder ook al mis
Het is niet de eerste keer dat Fontys in het nieuws komt met een datalek. Vorig jaar onthulde Omroep Brabant al dat studenten en medewerkers gevoelige data zoals persoonsgegevens en contracten konden bekijken. De instelling beloofde toen beterschap. Bij dit nieuwe lek ging het om nog gevoeligere gegevens en ze waren bovendien ook in te zien door mensen van buiten Fontys.

Een datalek binnen een organisatie moet gemeld worden bij de Autoriteit Persoonsgegevens (AP), zij kan dan een onderzoek instellen en soms maatregelen nemen. Dat er in dit geval ook medische gegevens gelekt zijn, maakt de zaak extra schrijnend, maar de AP laat weten nog niks over het verdere verloop van de zaak te kunnen zeggen.

'Oprechte excuses'
Fontys geeft donderdag toe dat er fouten zijn gemaakt. "Dit datalek had niet mogen gebeuren en daar willen we dan ook onze oprechte excuses voor aanbieden", zegt een woordvoerder. De hogeschool neemt de situatie 'zeer ernstig' op. Het college van bestuur van Fontys stelt een onderzoek in.

Volgens Fontys is het lek ontstaan omdat medewerkers bepaalde documenten per ongeluk openbaar via het netwerk gedeeld hebben. De hogeschool heeft na het datalek direct alle openbare bestanden omgezet naar ‘privé’ en medewerkers moeten voortaan om toestemming vragen als ze bestanden op openbaar willen zetten.

Maar waarom krijgt iemand die zich aanmeldt voor een cursus direct toegang tot de bestanden, inclusief een eigen mailadres? Volgens Fontys is dat wenselijk, maar de hogeschool bekijkt wel of het anders kan: "In sommige gevallen hoeft een cursist geen Fontys-account te krijgen, waardoor toegang tot interne informatie verder beperkt kan worden." Studenten die bang zijn dat hun informatie ook gedeeld is, kunnen zich melden bij Fontys. Of bestanden ook daadwerkelijk door derden bekeken zijn, zegt een woordvoerder niet te kunnen achterhalen.

App ons!

Heb je een foutje gezien of heb je een opmerking over dit artikel? Neem dan contact met ons op.

Deel dit artikel
Download de app en draag het gevoel van hier altijd bij je!