Op dinsdagochtend 3 mei heeft een medewerker melding gedaan van het hebben van toegang tot rapportages in Unit4, het financieel systeem dat de Universiteit Twente gebruikt, waartoe deze medewerker geen toegang behoorde te hebben. Het bleek dat deze medewerker geautoriseerd was voor een rapportage met persoonsgegevens van medewerkers en gast-medewerkers , terwijl de medewerker hiertoe geen toegang zou mogen hebben. We waarderen dat dit snel gemeld is. Dit helpt om het systeem veilig te houden.
Intern is vervolgens direct gekeken wat hiervan de oorzaak is. Gebleken is dat er bij de invoering van dit specifieke onderdeel in Unit4 op maandagmiddag 2 mei een fout is gemaakt in de toewijzing van rechten (autorisaties). Dit heeft ertoe geleid dat alle medewerkers die toegang hadden tot dit onderdeel in Unit4 deze gegevens hebben kunnen zien. De gegevens betreffen: naam, M-nummer, UT emailadres, geboortedatum, bankrekeningnummer (alleen van medewerkers, niet van gast-medewerkers), datum indiensttreding, medewerker-type en functie.
Na het ontdekken heeft de dienst Finance er direct voor gezorgd dat de autorisatie is aangepast, zodat er niet langer sprake van onterechte toegang is. Het is niet te achterhalen hoeveel personen daadwerkelijk onterecht toegang hebben gehad tot deze gegevens. Wel hebben we kunnen zien dat er tussen het moment van implementatie en het moment waarop de rollen zijn aangepast, 116 medewerkers hebben ingelogd. We kunnen niet met zekerheid zeggen of deze personen de gegevens ook hebben gezien.
Finance heeft, naast het aanpassen van deze rollen, een extra check uitgevoerd op overige weergaven en gekoppelde rollen. Daarbij zijn geen onjuistheden ontdekt. De Functionaris Gegevensbescherming (fg@utwente.nl) heeft dit incident geregistreerd als datalek en meldt deze ook aan de Autoriteit Persoonsgegevens.
We betreuren ten zeerste dat dit voorval heeft plaatsgevonden en bieden daarvoor onze excuses aan. Mochten er naar aanleiding van dit bericht vragen zijn, dan horen wij dat graag. Je kan je vraag mailen naar unit4@utwente.nl.
Dennis van Zijl
Directeur Finance
