Gegevens duizenden Saxion-studenten openbaar na lek van data Studystore

De persoonlijke gegevens van duizenden studenten van hogeschool Saxion zijn op straat beland. De gegevens zijn oorspronkelijk afkomstig van studieboekensite Studystore.

Het gaat om gegevens van 5.100 studenten, bevestigt een woordvoerder namens Studystore aan NU.nl. De gelekte database bevat onder meer namen, e-mailadressen, adresgegevens, schoolgegevens en informatie over bestelde studieboeken.

Bij Studystore kunnen studenten van onder andere Saxion hun schoolboeken bestellen. Om de bestelling te controleren, stuurt de webwinkel de complete bestelgegevens door naar Saxion. De hogeschool heeft echter geen zakelijke relatie met Studystore, benadrukt een woordvoerder van Saxion.

Na de controle op de gegevens stuurt Saxion ze door naar de Koepel Overleg Studenten Saxion (KOSS), een belangenorganisatie voor studieverenigingen. De koepelorganisatie stuurt de gegevens op haar beurt door naar de aangesloten leden. Volgens de woordvoerder van Studystore zijn de gegevens in het laatste deel van dit traject gelekt.

De penningmeester van KOSS laat aan NU.nl weten gegevens van bestellingen niet van Saxion, maar direct van Studystore te ontvangen. Hoe de data op straat zijn beland, kon hij niet zeggen. "Dat willen wij ook graag weten."

'Niet de bedoeling'

Bij het doorgeven van bestellingen werden ook persoonsgegevens van studenten doorgestuurd. "Dat was niet de bedoeling", zegt de Studystore-woordvoerder, hoewel het volgens hem ook de standaardwerkwijze is. "Dat gaan we nu aanpassen."

De slachtoffers van het lek hebben in ieder geval tussen juni en december 2017 bij Studystore studieboeken besteld. Volgens Studystore worden de getroffen Saxion-studenten dinsdag of woensdag op de hoogte gesteld.

Beveiligingssite Have I Been Pwned kwam het datalek eind vorige week op het spoor. De site heeft de slachtoffers van het lek ook al bericht, mits ze hebben aangegeven een melding te willen ontvangen als hun e-mailadres op het internet verschijnt.

Bedrijven en organisaties zijn sinds 2016 verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens. Dat is inmiddels gebeurd, zegt de Studystore-woordvoerder.

Tip de redactie