Het aan Webwereld getipte lek omvat alumni van de Hogeschool, op het eerste gezicht het volledige bestand van oud-studenten. Naast hun naw-gegevens (naam, adres, woonplaats), telefoonnummer en e-mailadres lekt de Hogeschool meer privédata. Dit zijn: geboortedatum en plaats van geboorte, gevolgde studie, de behaalde titel en datum van afstuderen. Daarnaast worden ook het studentnummer, studentenmailadres en waar relevant de voertaal gemeld.

Dichten en dubbel checken

Woordvoerster Saskia Struik van de Hogeschool voor de Kunsten in Utrecht (HKU) schrikt als ze maandagmiddag geconfronteerd wordt met de gelekte gegevens. Ze zegt er zo snel mogelijk iets aan te doen. "Het is sowieso heel slecht, want het gaat gewoon om privacygevoelige gegevens", erkent ze. Ze belooft dan ook om de zaak direct voor te leggen aan de ict-afdeling. Ongeveer 20 minuten later is de informatielekkende open dir niet meer toegankelijk.

Ook belooft ze dat er kritisch gekeken gaat worden naar de rest van de informatiehuishouding van de HKU. " Als je één lek hebt, mag je wel even gaan kijken of er niet nog meer lek is." De HKU gaat het gat dan ook zo snel mogelijk dichtmaken en dubbel checken of er niet meer mis is.

Meer bestanden

Webwereld is getipt over dit informatielek. Daarover zegt Struik: "Ze hadden natuurlijk ook direct contact met ons kunnen opnemen." Volgens haar was het netter geweest om de organisatie op de hoogte te stellen in plaats van naar de media te stappen.

Naast de gegevens van alumni waren ook andere bestanden in de open dir te benaderen, zoals updateMedewerkers.php en updateStudenten.php. Deze twee voorbeelden zijn respectievelijk ongeveer even groot (3,8 kilobyte) en veel groter (9,7K) dan het alumnibestand updateAlumniGebDatum.php (3,7K), maar kleiner dan updateAlumni.php (13K).

'Verouderde gegevens'

Of er daarmee ook medewerkers- en studentengegevens zijn gelekt, kan de HKU in eerste instantie niet zeggen. Wel zegt de Hogeschool in een nadere toelichting dat het om een bestand met verouderde gegevens van alumni ging, die per abuis niet werd afgeschermd. Dit wordt tegengesproken door alumna Priscilla Tienkamp, wiens gegevens ook ongevraagd online werden gezet door de HKU: "Ik heb afgelopen zomer mijn gegevens geüpdatet, zo lang geleden vind ik dat helemaal niet." Ze is zeer verbaasd dat een Hogeschool zo met de gegevens van zijn oud-studenten omgaat. "Ik ben benieuwd of ze alumni daar nog persoonlijk over gaan berichten."

In een tweede reactie van de HKU wordt met stelligheid ontkend dat de gegevens van medewerkers en studenten ook in gevaar zijn geweest. Dit stelt Emile Bijk, hoofd netwerk en informatiediensten. "Die gegevens worden niet op dezelfde manier verwerkt als alumnigegevens. Die zijn dus niet op dezelfde manier benaderbaar geweest."

Volgens Bijk ging het mis met het updaten van de alumnigegevens. Door een fout bij dat proces was een logbestand online benaderbaar. "Die had er nooit zo mogen instaan", aldus Bijk.