2min Security

Menselijke fout leidt tot datalek bij onderzoek NTR

Menselijke fout leidt tot datalek bij onderzoek NTR

Door een menselijke fout verliep een onderzoek bij de publieke omroep NTR niet anoniem. Een online enquête over de interne sociale veiligheid en werkcultuur werkte met een link die onvoldoende beveiligd was.

Dat meldt het AD. Een woordvoerder van CAOP, de uitvoerder van het onafhankelijke onderzoek, bevestigt dat de foutieve enquêtelinks door een menselijke fout zijn verzonden. Het zou gaan om “één vinkje” dat ontbrak, waardoor het mogelijk was om de links aan te passen en zo de antwoorden van collega’s in te zien. Na deze fout probeerde de toezichthouders het opnieuw, deze keer met de juiste beveiliging. Echter was het vertrouwen toen al geschaad. Tegenover het AD laat de raad van toezicht weten enorm te balen van de fout, terwijl de redactieraden van de NTR en Nieuwsuur hun onvrede hebben geüit over de gang van zaken.

Misstanden

Het onderzoek bij de NTR werd opgestart na het verschijnen van het rapport (pdf) van de commissie-Van Rijn over misstanden bij de publieke omroep. Daar kwam de NTR slecht naar voren: in vragenlijsten werd de directie negatiever ingeschat dan bij andere omroepen en ook was het werkplezier lager dan elders. Discriminatie, een gebrek aan verantwoordelijkheid en leiderschapskwaliteiten passeerden tevens de revue.

Een verder onderzoek werd nodig geacht, maar dat blijkt vandaag zelf tekort te hebben geschoten. Gezien de gevoelige aard van de antwoorden is het “ene vinkje” dat ontbrak bijzonder schadelijk voor het klaarblijkelijk al schaarse vertrouwen, hoewel het erop lijkt dat de fout enkel bij de externe onderzoeker lag.

Test van Fox-IT

De enquêtesoftware is na een melding bij de Autoriteit Persoonsgegevens over het voorval extra getest door Fox-IT. Op maandag herstartte het onderzoek, maar het AD meldt dat dit al snel weer werd gesloten. Het ging niet om een herhaling van dezelfde fout, maar een beveiligingsstap die de medewerkers hadden verwacht, zou via automatische herkenning zijn gegaan. Omdat de NTR-medewerkers een interactieve extra verificatiestap hadden verwacht, moet het onderzoek op een ander moment opnieuw worden uitgevoerd.

Door het opnieuw terugtrekken van het onderzoek lijkt er echter een misverstand te zijn ontstaan bij de raad van toezicht. “Tot onze grote schrik hebben we ontdekt dat het door CAOP gestarte cultuuronderzoek nog steeds niet op orde is qua beveiliging. We hebben het onderzoek daarom direct weer laten sluiten. We kunnen niet onder woorden brengen hoe vervelend we dit vinden.”

Lees ook: AP: gebruik AI-chatbot kan leiden tot datalekken