Vrije Universiteit: gegevens lekken. Welnee, het staat bewust open, hoor !

9 februari 2010

De VU heeft de verbinding met het eigen intranet beveiligd met https en het bezoeken van de 'voordeur' van de site levert slechts de inlogpagina op. Via Google zijn achterliggende pagina's echter toegankelijk. Komt men zo binnen dan kan een surfer rustig op op andere links klikken en daarmee een deel van het intranet bekijken. Het gaat om het deel 'Medezeggenschap' van de Ondernemingsraad van de universiteit. Daar zijn naast vergaderverslagen en planningen ook de adviezen van de Ondernemingsraad te vinden en het stappenplan bij reorganisaties. Verder zijn er zaken toegankelijk als het interne adresboek van de hele universiteit, en de samenstellingen van de diverse commissies en werkgroepen. Ook zijn er intern gepubliceerde fotoreportages van uitjes en borrels in te zien. In een eerste reactie vraagt woordvoerder Ronald van Gelder zich af of er inderdaad iets aan de hand is. Hij vertelt dat hij de IT-afdeling van de VU in zal lichten, zodat die actie kan ondernemen. 'Voor zover dat de bedoeling is'. Van Gelder stelt dat de toegankelijkheid van het interne adresboek geen probleem is; dat is langs andere wegen al in te zien.


In een tweede reactie laat hoofdredacteur Michel Hoekstra van de VU-site weten: 'De genoemde informatie van Medezeggenschap is expliciet in het CMS ingesteld als openbaar'. Het interne adresboek is volgens Hoekstra de Personenzoeker die identiek is aan de versie die al van buitenaf toegankelijk is via de VU-internetsites. De vermelding van 'intranet' bovenaan de van buiten toegankelijke pagina's duiden er volgens Hoekstra niet op dat er iets niet in orde is. 'De VU kiest er dus voor om bepaalde interne informatie openbaar beschikbaar te maken. Dat wordt het beste gedemonstreerd met de volgende pagina op de externe site, waar wij expliciet vermelden welke info openbaar is: klik hier'. Op die pagina valt te lezen dat sommige onderdelen van het intranet ook zonder VU-net-id zijn te bezoeken. 'Het gaat met name om onderdelen die ook voor externen of oud-medewerkers van de VU van belang zijn', zo staat op de pagina vermeldt. Dit zijn naast het onderdeel Medezeggenschap ook de sectie Arbeidsvoorwaarden Vrije Universiteit. Beide linken door naar het intranet, met een versleutelde en beveiligde https-verbinding. Bij laatstgenoemde zijn alle arbeidsformulieren, -regelingen en andere P&O-informatie in te zien. Zo zijn bijvoorbeeld ook de salarisschalen van het docentencorps in te zien. De VU spreekt tegen dat het zich hiermee schaart in het rijtje van Nederlandse instellingen die hun intranet blootstellen aan het internet. In september 2009 bleken diverse Hogescholen hun intranet te delen met de omgeving. Sommige deden dat al jaren. Daarmee openbaarden zij onder andere NAW-gegevens (naam, adres, woonplaats) en opdrachten van studenten, cijferlijsten, notulen van vergaderingen, correspondentie met de examencommissie, e-mails van bronnen voor artikelen zoals bijvoorbeeld Maurice de Hond en beleidsstukken van de organisatie zelf. Dit was (en is) schending van de Wet Bescherming Persoonsgegevens. Dat de VU dat niet doet lijkt wel duidelijk. Waarom het deze gegevens dan wel openstelt ? Ik twijfel ten zeerste aan het 'bewuste' karakter ervan….

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *