Migratie gegevens naar nieuw systeem

Op maandag 5 januari 2026 ging de universiteit live met BAS InSite, ons nieuwe administratiesysteem. In het oude systeem werden declaraties van onder andere medewerkers afgehandeld door deze als 'crediteur' aan te maken. Bij de migratie naar het nieuwe systeem zijn alle leveranciers van de universiteit waaraan in de afgelopen twee jaar betalingen zijn gedaan, overgenomen naar het nieuwe systeem. De personen die vanwege declaraties als crediteur waren aangemaakt, maakten ook deel uit van deze migratie.

Gegevens onbedoeld zichtbaar

In BAS InSite is bewust gekozen om alle universitaire medewerkers inzicht te geven in onze leveranciers, zodat inkoopactiviteiten op een bewuste en rechtmatige manier kunnen plaatsvinden. Van deze leveranciers toonde het portaal de naam, het adres, een telefoonnummer en een e-mailadres. Doordat ook de personen die een declaratie hebben ingediend deel uitmaakten van de migratie, bleken ook van deze personen onbedoeld de naam, het adres en het telefoonnummer zichtbaar voor ingelogde medewerkers van de universiteit. Het veld voor e-mailadressen was bij deze personen niet ingevuld. 

Melding door collega's en aanpassing in systeem

Op maandag 5 januari is rond het middaguur melding gedaan bij het ISSC dat deze persoonsgegevens zichtbaar waren. Het datalek was rond 14.45 uur verholpen. Vanaf dat moment waren de gegevens van personen die declaraties hebben ingediend niet meer toegankelijk voor medewerkers. Alleen gegevens van zakelijke relaties zijn zichtbaar in het Inkoop-portaal van BAS InSite. Daarnaast is ook het standaardoverzicht van deze leveranciersgegevens aangepast: naast de naam van de leverancier wordt hierin enkel de plaatsnaam getoond. Het volledige adres van een leverancier is toegankelijk door door te klikken naar een aanvullende weergave, een actie die gelogd wordt door het systeem.  

Het dichten van het lek had de eerste prioriteit. Vervolgens is door de collega's van het Privacy Office onderzocht of er gegevens ingezien zijn en zo ja welke en door wie. Ook hebben zij het risico beoordeeld dat het lek met zich meebracht.  Dit hebben zij onder meer gedaan door logbestanden op te vragen bij de leverancier.

De conclusies tot nu toe:

• 661 collega's hebben mogelijk toegang gehad tot de inkooppagina waarop de persoonsgegevens onbedoeld zichtbaar waren.
• Op basis van de logbestanden kunnen we niet achterhalen of er zoekopdrachten zijn uitgevoerd om gegevens van specifieke mensen op te zoeken.
• Van elf personen is de naam aangeklikt om een detailpagina te bekijken. Op deze pagina stond geen aanvullende informatie.
• Over deze elf gevallen hebben we verklaringen ontvangen van de gelogde medewerkers en we hebben vast kunnen stellen dat er geen misbruik is gemaakt van persoonsgegevens.
• Er is een melding van het datalek gedaan bij de Autoriteit Persoonsgegevens.
• Wij schatten het risico op misbruik van het datalek als zeer laag in. Alleen medewerkers van de Universiteit Leiden die waren ingelogd met multi-factor authenticatie hebben mogelijk voor een korte periode toegang gehad tot deze gegevens.
• In het (onwaarschijnlijke) geval dat een medewerker met kwade bedoelingen toegang heeft gehad, achten wij het waarschijnlijk dat de detailpagina van een persoon geopend zou zijn. Indien dat het geval was, is dit geregistreerd in ons logbestand. Van deze gelogde acties is inmiddels een afdoende verklaring afgegeven door betreffende collega's. 

Als je wilt controleren of jouw adres of telefoonnummer door een specifieke collega is ingezien, kun je contact opnemen via privacy@bb.leidenuniv.nl. Wij kunnen samen met jou nagaan of deze persoon tot de 661 collega's behoort die het mogelijk hebben ingezien. Ook voor andere vragen naar aanleiding van dit datalek kun je contact opnemen met het Privacy Office via privacy@bb.leidenuniv.nl.

Na het dichten van het lek en het beoordelen van het risico, wordt uiteraard ook geëvalueerd hoe dit ondanks de zorgvuldige voorbereidingen en testen toch kon gebeuren.

De overgang naar een ander administratiesysteem is een relatief unieke situatie. Structurele maatregelen om dit volledig te voorkomen zijn daarom niet standaard ingericht. Voorafgaand aan de livegang van BAS InSite is een technische controle uitgevoerd, een zogenaamde pentest, om de veiligheid van de omgeving te waarborgen. Momenteel onderzoeken we in hoeverre het bij toekomstige pentesten mogelijk is om niet alleen de technische veiligheid, maar ook de instellingen van de verschillende systeemonderdelen te beoordelen.

Daarnaast evalueren we de stappen die gezet zijn rond het informeren van onze eigen gemeenschap. We betreuren dat een deel van de medewerkers het nieuws over het datalek via derden heeft moeten vernemen.