Help, mijn privacy lekt weg!

Tentamencijfers, stageverslagen, werkstukken, adresgegevens van studenten, gsm-nummers, zelfreflecties, opdrachten, vergadernotulen, declaratielijsten, begrotingen, conceptbeleidsdocumenten, vakantiefoto’s, de administratie van de volleybalvereniging, homevideo’s, losse mp3-muziekbestanden en complete filmmuziek. Wat ligt er eigenlijk niet op straat via de websites en servers van scholen? Verslag van een weekje websurfen.

Hadden de webbeheerders van de Universiteit Utrecht maar eens op Google gezocht met de combinatie uu.nl en mp3. Waarom zouden ze ook? Maar dan waren ze ongetwijfeld gestuit op de liedjes van Shakira en Christina Aguilera, de symfonieën van Prokofiev, het complete album van de Amsterdam Klezmer Band of Eddie Vedders soundtrack van de film Into the wild. Die kun je namelijk zo downloaden vanaf openstaande computermappen bij de faculteit natuur- en sterrenkunde.
Die bestanden zijn op het gezicht aan het oog onttrokken. Aan de voorkant is www.uu.nl een keurig universiteitbreed portaal, met duizend-en-een verwijzingen naar onder meer faculteitspagina’s, opleidingen, en onderzoek. Maar als je achterom gaat, gewoon door zelf een rechtstreeks adres in te tikken, gaat er een wereld voor je open.
Het begint met de portfoliopagina’s bij geesteswetenschappen. Voor studentportfolio’s heeft de universiteit allang een apart portaal in gebruik, en beveiligd. Maar bij geesteswetenschappen liggen via een simpel internetadres portfolio’s van (oud-)studenten op straat, inclusief telefoonnummers, adresgegevens, uitvoerige zelfbeoordelingen, cijfers en cv’s.
Zo schrijft een student (de naam laten we vanwege de privacy weg) bij het kopje ‘planning van werkzaamheden’ dat hij een jaar of vijf naar tevredenheid zonder agenda werkt. ‘Vaak moeten dingen op het laatste moment nog gebeuren. Het komt altijd wel goed terecht.’ Aan zijn volledige cijferlijst over de periode 2002-2005 te zien, is het ook wel goed gekomen.
Meer privacygevoelige presentie- en cijferlijsten slingeren rond bij de faculteiten farmaceutische wetenschappen, geowetenschappen, en sociale wetenschappen.
We gaan door naar natuur- en sterrenkunde. Daar staan achter het faculteitsadres www.phys.uu.nl talloze bestanden bloot van medewerkers en van studenten. Via een studentenmap kan iedereen meekijken achter de schermen van de Utrechtse Studenten Volleybalvereniging Protos. Pasfoto’s, de begroting van de toernooicommissie, notulen van vergaderingen, rekeningen. In een factuuroverzicht zien we de gedeclareerde bonnetjes: 49,96 bij de Gamma en 51,10 euro voor brandvertragers.
Wat komen nog meer tegen? Foto’s en video’s van een optreden van Spinvis, een kopie van een cijferlijst uit 2006, kiekjes uit Ierland, foto’s van feestjes, opdrachten van studenten.
En muziek: mp3-bestanden van klassiek tot rock. Niet alleen in studentenmappen, maar ook in die van (oud-)medewerkers. En zo aan het oog onttrokken zijn de muziekbestanden bij nader inzien niet. Op verschillende andere websites wordt openlijk verwezen naar de gratis downloadbare liedjes. Een weblog uit 2006, maar ook verschillende mp3-zoeksites zoals Filestube verwijzen naar het universiteitsnetwerk als muziekserver.

Ophef
Drie weken voor dit onderzoek was er ophef over de Hogeschool Utrecht. Er stond nog ergens een computerserver te pruttelen, waarop duizenden mappen van het oude intranet van de faculteit communicatie en journalistiek stonden. Met documenten van studenten, personeel en directie. Iemand die per toeval op zijn eigen spullen stuitte, tipte eind augustus een studentenblogsite en binnen de kortste keren was het lokale intranet landelijk nieuws. Toen de hogeschool er lucht van kreeg, werd de server in allerijl opgespoord en ging de stekker eruit. Het CDA was rap met Kamervragen en wil van minister Ronald Plasterk weten of het vaker misgaat. Het Onderwijsblad ging zelf op onderzoek uit. De oogst aan privacygevoelige informatie is zo groot, dat die zich in vier pagina’s nauwelijks laat samenvatten.
Het Blackboard, een elektronische leeromgeving, van Avans Hogescholen in Breda gooit via Google de namen, vooropleiding, studierichting, studentnummers en volledige adressen van honderden studenten op straat. Als we ons aan de voordeur van het intranet melden, worden we geweerd door een inlogscherm. Maar via Google’s cache (bewaarde kopietjes van webpagina’s) duiken er toch tal van persoonlijke gegevens op. Lange lijsten met woon- en mailadressen, groepsindelingen met studentnummers en –namen. Pasfoto’s van studenten uit 2008. Kiekjes van trainingen en informatiebijeenkomsten. Maar bijvoorbeeld ook een telefoonlijst met 140 medewerkers van het leer- en innovatiecentrum, inclusief mobiele nummers.
Dat niet alleen, buitenstaanders kunnen via directe webadressen binnen het Blackboard zelf door persoonlijke mappen bladeren vol privacygevoelige documenten van studenten. We komen opdrachten tegen, foto’s, een mp3-bestand, een zelfreflectie van zeven pagina’s inclusief cijferlijst van een student communications and multimedia design, of opdrachten en een jaarevaluatie van een andere student.
Ook van Fontys Hogescholen in Eindhoven is nog een cijferlijst te vinden. Zo te zien heeft de hogeschool een openbaar deel van intranet dichtgetimmerd en aan Google gevraagd om er niet naar te verwijzen. Maar via cache van Google is er nog wel een cijferlijst ontsnapt, met namen, studentnummers en beoordelingen.

Notulen
Bij roc Deltion College in Zwolle kun je op de server met rechtstreekse webadressen door honderden mappen bladeren. Met de volledige webadressen van een simpele Google-zoekopdracht kun je naar hartenlust rondneuzen.
Er zit van alles bij. Notulen uit 2007 van studentenraad CSR, bijvoorbeeld. Zo lezen we dat op 14 maart 2007 in het bijzijn van het college van bestuur een uitzending van Rondom 10 is besproken, waarin klachten over het competentiegerichte leren en gebrek aan lesuren centraal stonden. De overeenkomsten met Deltion – ‘lesuitval en te weinig structuur en begeleiding’ – passeren de revue. Een aanwezig collegelid ‘vraagt wat er gedaan moet worden, zodat het Deltion College niet in Rondom 10 komt’.
Wat nog meer? Draaiboeken voor een systeemmigratie, testfilmpjes van computeranimaties, een mp3-liedje van de Engelse zanger Billy Bragg, en talloze foto’s, logo’s en illustraties.
Het Grotius College, een openbare school voor voortgezet onderwijs met twee locaties in Delft, is sowieso niet zuinig met fotowerk. In de fotogalerij staan 215 albums met foto’s van leerlingen tijdens alle mogelijke uitstapjes, excursies en lessen. Het Grotius draait de ‘vooraf toestemming vragen’-richtlijn van het College Bescherming Persoonsgegevens om: wie zich tegen een reeds gepubliceerde foto’s verzet, kan zich achteraf melden met een mailtje.
Maar zonder veel moeite kun je ook foto’s vinden die niet op de site staan, maar in mapjes op de websiteserver. Door een webadres handmatig aan te passen kun je ongehinderd rondsnuffelen en liggen de pasfoto’s van alle leerlingen uit vier eerstejaarsgroepen uit 2004 op straat.
Bij de Hogeschool Utrecht is het oude intranet van communicatie en journalistiek uit de lucht. Google heeft het geheugen versneld leeggemaakt, wat kan op verzoek van belanghebbenden.
Het was niet voor het eerst dat de hogeschool meer prijs geeft dan de bedoeling is. In januari 2005 maakte hogeschoolblad Trajectum melding van een lek in het intranet bij, ook weer, de faculteit communicatie en journalistiek. Leesrechten werden na een programmeerfout niet goed toegepast, waardoor privacygevoelige delen van studentportfolio’s voor iedereen toegankelijk waren.
En ook nu nog, drie weken na de recentste ophef, heeft de hogeschool moeite om van haar oude faculteitssites af te komen. Zo is er nog een oude website van gezondheidszorg, opgezet door de facultaire informatiemanager. Met foto’s van studenten. En gezellige kiekjes van medewerkers die Amsterdam onveilig maken tijdens het jaarlijkse uitje.
En zo is de cirkel weer rond. Het is namelijk een onschuldig linkje op deze oude gezondheidzorg-website van de Hogeschool Utrecht die ons op het spoor zette van de studentportfolio’s bij de Universiteit Utrecht. De universiteit heeft ze inmiddels afgeschermd.

{noot}
In dit artikel zijn de bevindingen en reacties samengevat. Kijk op www.aob.nl voor meer voorbeelden en de uitgebreide reacties.

{kader 1}
Reacties

Het Onderwijsblad heeft alle scholen en instellingen in dit verhaal voor publicatie de bevindingen voorgelegd.

De Universiteit Utrecht is zich een hoedje geschrokken van de bevindingen. Er is gelijk begonnen met het ‘verwijderen van verouderde informatie of informatie die niet op onze universitaire server thuishoort’. De universiteit heeft Google gevraagd gegevens uit de cache (bewaarde kopietjes van webpagina’s) te verwijderen. Bij geesteswetenschappen zijn alle portfolio’s achter slot en grendel gezet, ook al zegt de universiteit dat studenten zelf verantwoordelijk zijn voor het openbaren ervan. Met die auteursrechtelijk beschermde mp3-bestanden op hun servers zijn ze niet bepaald gelukkig. Of dat ook nog juridische implicaties heeft, kan woordvoerder Ludo Koks niet zeggen. Wel verzekert hij dat de universiteit het UU-web “met de stofkam” zal doorvlooien.
De security manager van Avans Hogeschool heeft onze bevindingen onder de loep genomen en wat blijkt? Blackboard-gebruikers hebben de privacygevoelige gegevens onbewust gepubliceerd. Dat wil zeggen: de bestanden hebben het predicaat ‘public’ gekregen en dat mag alleen ‘als de betreffende content voor externe mensen toegankelijk moet zijn en het geen privacygevoelige gegevens bevat’. Avans heeft de informatie weer binnen het hek gezet en Google gevraagd om de cache te wissen. De hogeschool verscherpt het toezicht.
Er zijn problemen geweest met privacygevoelige zaken die onbedoeld toegankelijk waren bij Fontys Hogeschool Ict, erkent de instelling. Volgens directeur Ad Vissers stonden er zaken onterecht op het publieke deel van het webportaal en is daar al de bezem door gehaald. De cijferlijst die tijdens onze surftocht opdook, is trouwens een apart geval. Die stond op een server die al in 2008 uit de lucht is, maar Google houdt een kopie in leven via de cache. Ondanks verzoeken van Fontys om de gegevens te wissen.
Dat de intranetbeveiliging is omzeild, bestrijdt Roc Deltion College; het gaat volgens de instelling om een openbaar deel van de site. Maar Deltion geeft toe dat er documenten online stonden die niet voor de openbaarheid bedoeld waren. ‘Dit is inmiddels in de door u genoemde voorbeelden hersteld.’ De volgende ochtend blijkt dat die genoemde voorbeelden nog altijd te vinden zijn. Nieuwe reactie van Deltion: er is inderdaad nog iets mis met de serverconfiguratie. Inmiddels zijn de mappen dichtgetimmerd en worden gluurders wel buiten de deur gehouden.
De pasfotolijst van brugklassen uit 2004 is ‘absoluut niet in de haak’ en wordt verwijderd, reageert rector Jan Edo Otten van het Grotius College. Wat die publieke fotoalbums betreft: ze geven een mooi beeld van allerhande schoolactiviteiten; ouders en leerlingen waarderen het volgens hem. Vandaar die ‘omgekeerde bewijslast’. Toch gaat het Grotius kijken of de fotogalerij beter kan worden beveiligd op de site.
Freek Zuidweg van de Hogeschool Utrecht, faculteit gezondheidszorg, vindt niet dat er erg privacygevoelige zaken op de oude website staan, maar hij heeft de pagina’s wel gelijk offline gezet. “Ik heb de indruk dat die niet meer wordt gebruikt.” Sterker nog, die site was aan zijn eigen aandacht ontsnapt. “Niemand denkt aan die oude site op die server. Dat hij er nog stond is inderdaad minder charmant.”

{kader 2}
Gevangen in Google
Een lek hoeft niet per se te komen door een technisch mankement aan een website. Onverstandig omgaan met privacygevoelige informatie is net zo’n grote boosdoener. Vaak ontbreekt het besef dat je op internet meer sporen achterlaat dan je denkt. De zoekmachine Google maakt kopietjes van webpagina’s en bewaart die voor iedereen toegankelijk in de zogenoemde ‘cache’. Ook pagina’s van een intranet belanden daarin als ze niet goed zijn afgeschermd. Net als de vakantiekiekjes en vergadernotulen die je voor het gemak even op de onbeveiligde webserver parkeert. Een adreslijst die je vandaag van je website haalt, blijft dankzij die cache nog een poos zichtbaar. In bepaalde gevallen verwijdert de zoekmachine op verzoek die kopieën sneller.

{kader 3}
Tips

Is het nodig om bepaalde privacygevoelige informatie op een website te publiceren? Deze vraag moeten scholen beantwoorden voordat ze allerlei zaken op internet plaatsen, vindt Madeleine McLaggan-van Roon, lid van het College Bescherming Persoonsgegevens (CBP).

“Er gelden regels voor het openbaar maken van gegevens die herleidbaar zijn tot bepaalde personen. Zo moeten betrokkenen in de regel toestemming geven voordat die informatie mag worden gepubliceerd”, zegt Madeleine McLaggan-van Roon, CBP-lid.
“Ons beeld is dat scholen allerlei zaken op hun websites zetten zonder er eigenlijk bij stil te staan. Als foto’s en andere informatie eenmaal op internet staan, heb je geen controle meer over wat ermee gebeurt. Het kan worden gedownload, op andere sites gezet, in bestanden terechtkomen waar je helemaal geen weet van hebt. Dat brengt grote risico’s met zich mee. Denk bijvoorbeeld aan identiteitsfraude: mensen kunnen op internet allemaal stukjes en beetjes informatie van iemand bij elkaar zoeken. Ook studenten en leerlingen publiceren soms zelf privacygevoelige informatie, zonder zich bewust te zijn van de mogelijke gevolgen. Scholen moeten hen beter op die gevaren wijzen.”
De vuistregels van het CBP:
1. Vraag je af of publicatie van privacygevoelige informatie echt noodzakelijk is voor het beoogde doel. Zo ja, vraag toestemming van betrokkenen.
2. Scherm gevoelige pagina’s af van zoekmachines, zodat persoonlijke informatie niet is terug te vinden in de cache van Google.
3. Scherm het intranet adequaat af met een persoonlijke gebruikersnaam en wachtwoord.
4. Zorg dat de overdracht van privacygevoelige gegevens via een beveiligde https-verbinding verloopt.
5. Beveilig de achterliggende databases waar gegevens in worden opgeslagen.

Kijk op www.aob.nl voor een link naar het CBP-richtsnoer.