ID-bewijzen, salarissen en schorsingen: dit ligt op straat na hack ROC

Het ROC Mondriaan heeft 'een goed' beeld van de data die op het dark web is geplaatst door hackers. Het gaat onder meer om een aantal identiteitsbewijzen, tientallen documenten met persoonlijke informatie van studenten zoals klachten, schorsingen en incidenten en om persoonsgegevens van 'een aanzienlijk deel' van de medewerkers en studenten. Dat meldt mediapartner

. Bij de persoonsgegevens gaat het om namen, contactgegevens, BSN-nummers en salarisgegevens. De informatie is afkomstig van een beperkt aantal servers, laat de school weten. Volgens ROC hebben hackers geen toegang gehad tot belangrijke applicaties zoals het leerlingvolgsysteem en het personeelssysteem. 'Het grootste deel van de gevonden data betreft organisatie-informatie.' Wel is er dus privacygevoelige informatie gelekt door de hackers die eind augustus de systemen van de school binnendrongen. Medewerkers en studenten hadden plotseling geen toegang meer tot bestanden en applicaties. Half september hebben de hackers gegevens op internet geplaatst, nadat er eerder vier miljoen euro losgeld werd geëist.

Na onderzoek is er op het dark web 'een beperkt aantal' geldige identiteitsbewijzen gevonden. Om hoeveel ID-bewijzen het precies gaat, maakt de school niet bekend. 'Slechts een klein deel hiervan is van studenten.' De mensen die het betreft, zijn persoonlijk op de hoogte gesteld. 'Wij vergoeden de kosten voor een nieuw identiteitsbewijs en ondersteunen hen waar nodig', meldt het ROC. 'Dit doen we ook bij mensen waarvan we de komende periode nog een geldige ID-bewijs vinden en mensen waarvan we andere privacygevoelige informatie vinden.' Het gaat daarbij ook om informatie van lang geleden. 'We doen ons uiterste best iedereen persoonlijk te informeren.'

Het ROC Mondriaan kan niet precies vast te stellen van wie alle gelekte informatie is. 'Het gaat om zo'n omvangrijke hoeveelheid data, dat het voor ons niet mogelijk is dit op persoonsniveau volledig in beeld te krijgen.' Het risico dat hackers nog meer informatie gaan publiceren, is volgens het ROC 'niet waarschijnlijk'. Zeker weten doen ze het niet, maar ervaring bij andere gevallen van ransomware leert dat hackers alles in één keer op het dark web plaatsen als er geen losgeld wordt betaald. De verwachting is dat de meeste studenten en medewerkers na de herfstvakantie weer gebruik kunnen maken van de systemen van de school.