ICT, Veiligheid
Datalek publieke groepen in SharePoint/Teams
Er is een datalek geconstateerd op 24 oktober 2023. Bij dit datalek konden de gegevens van ongeveer 155 publieke groepen (die open staan voor alle medewerkers) in SharePoint (waar ook gegevens van Teams worden opgeslagen) mogelijk worden ingezien door medewerkers en studenten met toegang tot SharePoint. Deze publieke groepen zijn na het vaststellen van het datalek direct dichtgezet (kregen de instelling private). Partijen of individuen buiten de universiteit hadden geen toegang tot de gegevens.
Het gaat hier om groepen die zijn aangemaakt na een eerder datalek in maart. Op dat moment bestaande groepen zijn toen dichtgezet, maar gebleken is dat sommige nieuwe SharePoint-groepen standaard stonden ingesteld als public (openbaar). Hierdoor konden ook medewerkers/studenten die niet lid zijn van de groepen de gegevens hiervan inzien.
Omdat er ten tijde van het onderzoek ook nog groepen zijn gedeletet en aangemaakt, is niet exact in te schatten welke persoonsgegevens in te zien waren. Het gaat in elk geval om namen, e-mailadressen en ‘gesprekken’ via de chat-functie.
Het datalek is gemeld bij de Autoriteit Persoonsgegevens.
Groepen in SharePoint/Teams
Binnen SharePoint en Teams heb je de mogelijkheid om een groep als public of private (publiek of privé) in te stellen. Deze keuze bepaalt of gegevens in de groep kunnen worden gevonden en geopend door medewerkers en studenten die geen lid zijn van een groep. Een groot aantal groepen was ingesteld op public. Sommige groepen zijn bewust openbaar toegankelijk gemaakt, omdat dit past bij het doel van de groep. Andere groepen waren niet bewust als openbaar ingesteld, maar waren het toch door een menselijke fout.
Maatregelen en vervolgstappen
Wij betreuren het ongemak dat dit datalek mogelijk heeft veroorzaakt. De bescherming van de persoonsgegevens van onze medewerkers en studenten heeft voor ons de hoogste prioriteit, we hebben stappen ondernomen om dergelijke incidenten in de toekomst te voorkomen. Zo zijn het CERT-team van het ISSC en het Privacy Office na melding van het datalek een onderzoek begonnen. De publieke groepen zijn dichtgezet: middels een aanvraag en een controle op basis van ‘twee paar ogen principe’ kunnen groepen weer opengesteld worden als daar noodzaak toe is. Ook is de aanvraagprocedure voor een openbare SharePoint-site aangepast, zodat dergelijke datalekken in de toekomst minder snel kunnen optreden.
Heb je vragen?
Neem contact op met het Privacy Office of de Functionaris Gegevensbescherming bij vragen: privacy@bb.leidenuniv.nl.