Zesduizend bsn-nummers in handen van hackers door datalek Universiteit Utrecht

© RTV Utrecht
UTRECHT - Bij het datalek op de Universiteit Utrecht zijn ook 6.000 bsn-nummers in handen gekomen van hackers. Dat bevestigt de universiteit na vragen van RTV Utrecht. De universiteit erkent dat het de burgerservicenummers niet op had mogen slaan.
Dinsdag bracht de universiteit naar buiten dat bij een cyberaanval gegevens van alumni, donateurs en externe relaties waren buitgemaakt door hackers. Het ging om namen, geboortedata, e-mailadressen en telefoonnummers, maar ook loopbaangegevens en informatie over donatiegedrag.
Vandaag heeft de universiteit alle getroffen personen ingelicht over het datalek. Dat gaat in totaal om 190.000 mensen. Zo'n 6.000 daarvan hebben bericht gekregen dat naast de eerder genoemde gegevens, ook hun bsn-nummer in handen van de hackers is gekomen.

'Had niet mogen gebeuren'

Een kwalijke zaak, erkent de universiteit, omdat die gegevens helemaal niet in de database hadden mogen staan. "De universiteit had die bsn-nummers niet mogen opslaan en dat was ook niet de bedoeling", zegt een woordvoerder. De gegevens worden volgens haar ook helemaal niet gebruikt door de universiteit. "Die gegevens zijn waarschijnlijk bij een export vanuit het systeem meegekomen. We weten niet hoe dat heeft kunnen gebeuren, dat onderzoek loopt nog."
Volgens de universiteit waren de bsn-nummers niet als zodanig te herkennen in het systeem. De universiteit acht daarnaast de kans dat de gegevens misbruikt zijn klein, omdat de cyberaanval niet specifiek gericht was op de Universiteit Utrecht maar op de site Blackbaud, een bedrijf dat wereldwijd klantgegevens beheert voor onderwijsinstellingen en organisaties in de non-profitsector. De UU is dan ook niet de enige organisatie die getroffen is door de hackers.

Identiteitsfraude ligt op de loer

Het burgerservicenummer wordt gebruikt voor het contact met de overheid en wordt gegeven aan iedereen die zich inschrijft in de basisregistratie personen (BRP). Het bsn-nummer is bijvoorbeeld nodig voor het afhandelen van belastingen of het krijgen van zorg. Maar met zo'n nummer kan ook gefraudeerd worden.
Identiteitsfraude ligt op de loer, zegt privacyjurist Jeroen Terstegge van het bedrijf Privacy Management Partners uit Utrecht. "Banken, scholen, ziekenhuizen, notarissen, werkgevers. Dat soort organisaties gebruiken allemaal bsn-nummers", legt hij uit. "Zij controleren op die manier of je identiteit klopt."
Toch hoeven mensen van wie nu gegevens gestolen zijn niet bang te zijn dat een hacker ineens op hun naam een huis koopt of een lening afsluit. "Notarissen en bijvoorbeeld banken zijn verplicht om ook naar je identiteitsbewijs te kijken. Dus als je dan je paspoort of identiteitskaart laat zien, wordt duidelijk dat jij het niet bent en val je door de mand."
Een bsn-nummer moet je beter beveiligen dan wanneer iemand jarig is.
Jeroen Terstegge - privacyjurist
Maar doordat er bij het datalek zowel bsn-nummers als namen zijn buitgemaakt, bestaat er volgens Terstegge wel een kans dat er bijvoorbeeld verzekeringsfraude wordt gepleegd. "Als je bij een fysiotherapeut of tandarts komt en je geeft je naam en bsn-nummer, dan is er een kans dat ze niet controleren of jij dat wel bent."
Bedrijven die persoonsgegevens gebruiken zijn om die reden dan ook verplicht deze informatie veilig te bewaren. "Je moet passende beveiliging doen, zegt de wet. Wat passend is, hangt af van de risico's. Een bsn-nummer moet je beter beveiligen dan wanneer iemand jarig is", zegt Terstegge. Dat de bsn-nummers van de universiteit in de online database terechtgekomen zijn, is volgens hem dan ook "niet conform standaard". De gegevens hadden volgens de jurist op z'n minst versleuteld moeten zijn.
De Universiteit Utrecht onderzoekt of naar aanleiding van dit datalek persoonsgegevens anders moeten worden opgeslagen. "Ook evalueren we de samenwerking met Blackbaud", aldus een voorlichter. Blackbaud heeft de universiteit laten weten dat de hackers de data inmiddels vernietigd hebben en dat er geen aanleiding is om aan te nemen dat ze de data hebben verspreid.

Heb je een tip of opmerking? Stuur ons je nieuws of foto via WhatsApp of mail.