Het bericht ‘Gegevens van alumni, donateurs en relaties Universiteit Utrecht in handen van hackers’

Vragen

1. V1Bent u bekend met het data-veiligheidsincident bij leverancier Blackbaud, waar in ieder geval alumni, donateurs en relaties van Universiteit Utrecht en TU Delft door zijn getroffen? 1 2

2. V2Welke gegevens zijn er precies buitgemaakt bij de datalek die veroorzaakt is door de aanval op Blackbaud? Op welke manier hebben Universiteit Utrecht en TU Delft inmiddels de gedupeerden geïnformeerd over het datalek, waardoor gegevens van alumni, donateurs en relaties op straat zijn komen te liggen?

3. V3Welke garantie hebben Universiteit Utrecht en TU Delft gekregen dat de buitgemaakte gegevens daadwerkelijk zijn vernietigd, nadat Blackbaud losgeld heeft betaald aan de internetcriminelen? Op welke manier kunnen de getroffen alumni, donateurs en relaties dit controleren?

4. V4Waarop baseert de Universiteit Utrecht «de schatting van de waarschijnlijkheid van eventuele risico’s voor de privacy van betrokkenen momenteel in als laag»? 3 Is het niet zo dat door de aanval privacygevoelige data al lang op straat liggen, dus dat lage schatting van de risico’s nergens op gebaseerd is?

5. V5Klopt het dat op 17 juli 2020 de datadiefstal al bekend was en dat op 24 juli meer dan 20 Britse universiteiten al op de hoogte waren van het datalek? Waarom werden Nederlandse universiteiten pas op 11 augustus 2020 hierover geïnformeerd?

6. V6Hoe kan het dat aanvallers toegang kregen tot een oude back-up uit 2017 die nog in de omgeving van Blackbaud stond? Op welke manier controleren hoger onderwijsinstellingen of bepaalde privacygevoelige gegevens daadwerkelijk nog in het bezit zijn van derde partijen?

7. V7Wie is uiteindelijk eindverantwoordelijk voor het goed verwerken en beveiligen van privacygegevens van alumni, donateurs en relaties? Is dat de hoger onderwijsinstelling of een derde partij zoals een cloud softwarebedrijf? Indien de hoger onderwijsinstelling, hoe kan het dat Blackbaud nog beschikte over een oude back-up uit 2017?