De hogeschool maakt gebruik van OneDrive, de digitale werkomgeving van Microsoft. Gebruikers kunnen daarin aangeven of ze bestanden alleen zichtbaar willen maken voor zichzelf, voor specifieke mensen of voor iedereen binnen de gehele organisatie.

Een paar korte zoekopdrachten door een student leverden al toegang tot gevoelige bestanden op, maar mogelijk zijn er nog meer bestanden zichtbaar voor mensen die deze eigenlijk niet mogen zien. In een reactie zegt de hogeschool dat tenminste één medewerker een document heeft gedeeld met de gehele organisatie, terwijl dat niet de bedoeling was.

Zichtbaar voor hele hogeschool
De laatste optie is herhaaldelijk gebruikt, waardoor gevoelige bestanden te vinden en te openen waren voor iedereen binnen de hele hogeschool. In de screenshots die Omroep Brabant kreeg, staan onder andere tentamens, inloggegevens, gegevens van stageadressen en meer. Als een docent voor een tentamen dit document al deelde met de hele organisatie, konden studenten deze vinden in de OneDrive.

Hoewel de documenten niet zichtbaar waren voor de buitenwereld, is hier toch sprake van een datalek. De bestanden worden gedeeld met een grote groep mensen, waarbij het niet de bedoeling is dat iedereen die kan lezen. Met name als het gaat om gevoelige gegevens zoals dus tentamens, inloggegevens of contracten is het de bedoeling dat deze alleen leesbaar zijn voor mensen die dit direct nodig hebben.

Schaal van lek onbekend
Om onze bron te beschermen, kon Omroep Brabant de screenshots niet sturen naar de Fontys Hogeschool. Met die screenshots zou de hogeschool kunnen achterhalen wie de tipgever is. Wel stuurden wij van zeven bestanden of mappen de namen, auteurs en data naar de Fontys.

In een reactie zegt de hogeschool dat van deze zeven bestanden de meeste van studenten afkomstig zijn. "De documenten van studenten mogen publiek staan. Er staan twee tentamens op de OneDrive van studenten, hoogstwaarschijnlijk oefententamens. Dat onderzoeken we nog."

Het document dat van een medewerker is, gaat over de organisatie van een evenement. "Het is niet goed dat een medewerker het document op 'public' heeft gezet. Je kunt dit als een datalek bestempelen. We nemen dit op met het betreffende opleiding en de betreffende medewerker", aldus de hogeschool. Fontys is nog aan het beoordelen of dit als datalek gemeld moet worden aan de Autoriteit Persoonsgegevens.

Bewustwording over informatieveiligheid
Fontys zegt dat de hogeschool 'periodiek campagnes houdt om medewerkers en studenten bewust te maken van het veilig omgaan met (vertrouwelijke) informatie en informatieveilig handelen'.

Heb je een tip? Mail de onderzoeksredactie of bereik ons 100% anoniem via Publeaks.