De VU heeft de verbinding met het eigen intranet beveiligd met https en het bezoeken van de 'voordeur' van de site levert slechts de inlogpagina op. Via Google zijn achterliggende pagina's echter wel toegankelijk. Daar eenmaal binnen kan een websurfer gewoon op andere links klikken en daarmee door een deel van het intranet struinen. Het gaat om het deel 'Medezeggenschap' van de Ondernemingsraad van de universiteit.

Verslagen, planningen en OR-adviezen

Daar zijn naast vergaderverslagen en planningen ook de adviezen van de Ondernemingsraad te vinden en het stappenplan bij reorganisaties. Verder zijn er zaken toegankelijk als het interne adresboek van de hele universiteit, en de samenstellingen van de diverse commissies en werkgroepen. Ook zijn er intern gepubliceerde fotoreportages van uitjes en borrels in te zien.

In een eerste reactie vraagt woordvoerder Ronald van Gelder zich af of er inderdaad iets aan de hand is. Hij vertelt Webwereld de ict-afdeling van de VU in te lichten, zodat die actie kan ondernemen. "Voor zover dat de bedoeling is." Van Gelder stelt namelijk dat de toegankelijkheid van het interne adresboek geen probleem is; dat is langs andere wegen immers ook al in te zien.

Openbaar beschikbaar

In een tweede reactie laat hoofdredacteur Michel Hoekstra van de VU-site weten: "De genoemde informatie van Medezeggenschap is expliciet in het CMS ingesteld als openbaar." Het door Webwereld ook aangetroffen interne adresboek is volgens Hoekstra de Personenzoeker die identiek is aan de versie die al van buitenaf toegankelijk is via de VU-internetsites.

De vermelding van 'intranet' bovenaan de van buiten toegankelijke pagina's duiden er volgens Hoekstra dus niet op dat er iets niet in orde is. "De VU kiest er dus voor om bepaalde interne informatie openbaar beschikbaar te maken. Dat wordt het beste gedemonstreerd met de volgende pagina op de externe site, waar wij expliciet vermelden welke info openbaar is:

http://www.vu.nl/nl/over-de-vu/vu-website/vu-net-id/open-intranet-onderdelen/index.asp"

'Voor externen'

Op die informatiepagina valt te lezen dat sommige onderdelen van het intranet ook zonder VU-net-id zijn te bezoeken. "Het gaat met name om onderdelen die ook voor externen of oud-medewerkers van de VU van belang zijn", vermeldt de http-pagina. Dit zijn naast het onderdeel Medezeggenschap ook de sectie Arbeidsvoorwaarden Vrije Universiteit. Beide linken door naar het intranet, met een versleutelde en beveiligde https-verbinding.

Bij laatstgenoemde zijn alle arbeidsformulieren, -regelingen en andere P&O-informatie in te zien. Zo zijn bijvoorbeeld ook de salarisschalen van het docentencorps in te zien.

Veel scholen lekken

De VU spreekt tegen dat het zich hiermee schaart in het rijtje van Nederlandse instellingen die hun intranet blootstellen aan het extranet dat internet heet. In september 2009 bleken diverse Hogescholen hun intranet te delen met de buitenwereld. Sommige deden dat al jaren.

Daarmee openbaarden zij onder andere naw-gegevens (naam, adres, woonplaats) en opdrachten van studenten, cijferlijsten, notulen van vergaderingen, correspondentie met de examencommissie, e-mails van bronnen voor artikelen zoals bijvoorbeeld Maurice de Hond en beleidsstukken van de organisatie zelf.

Deze datalekkage komt neer op schending van de Wet Bescherming Persoonsgegevens en heeft nog tot Kamervragen geleid. Minister Plasterk van Onderwijs heeft daarop uiteindelijk geantwoord dat hij geen actie onderneemt. Het is namelijk de verantwoordelijkheid van de onderwijsinstellingen zelf om informatie te beveiligen, aldus de minister.