EASY-applicatie weer toegankelijk
Geen datasets gedownload met gelekte accountgegevens
Plaatsingsdatum: 1 augustus 2024. Revisiedatum: 14 augustus 2024
Het online archiveringssysteem EASY is vanaf 31 juli weer toegankelijk. Het systeem was uit voorzorg korte tijd buiten gebruik nadat een datalek was geconstateerd. Inmiddels is de oorzaak van het datalek gevonden en is duidelijk dat er geen datasets gedownload zijn met de gelekte gegevens. EASY kan weer veilig worden gebruikt.
Wat kunnen gebruikers van EASY zelf doen?
Om weer toegang tot EASY te krijgen is het nodig om eerst een nieuw wachtwoord aan te maken.
Ook voor toegang tot de DANS Data Stations is het nodig een nieuw wachtwoord aan te maken. Uit voorzorg zijn op 9 augustus 2024 alle wachtwoorden gereset in de DANS Data Stations. Een nieuw wachtwoord aanmaken voor toegang tot de Data Stations is dus ook nodig als je dit al hebt gedaan vóór 9 augustus. Uitzondering: als voor de Data Stations gebruik wordt gemaakt van een zogenaamd ‘federated account’ via SURFconext, Google of GitHub, is een nieuw wachtwoord niet nodig.
Gebruikers die bij andere toepassingen en websites hetzelfde wachtwoord hanteren, raden we met klem aan om het wachtwoord daar ook aan te passen. En om daarnaast extra alert te zijn bij verdachte e-mails.
Wat is er gebeurd?
Persoonsgegevens uit accounts van EASY waren in handen gekomen van een derde partij. Hoewel wachtwoorden versleuteld worden opgeslagen, is niet uit te sluiten dat deze ontcijferd kunnen worden.
Inmiddels hebben we geconstateerd dat er geen downloads hebben plaatsgevonden vanuit EASY en de DANS Data Stations van niet-openbare datasets met behulp van accountgegevens die betrokken waren bij het datalek. Dit betreft dus niet-openbare datasets, waarvoor toestemming van de eigenaar nodig is voor het downloaden van de data. Deze conclusie kunnen we trekken na een zorgvuldige analyse inclusief dubbele controle van het gebruik van datasets in EASY en de DANS Data Stations.
Wat is er gedaan?
De oorzaak van het datalek is gevonden en we hebben de benodigde maatregelen getroffen. EASY kan weer veilig worden gebruikt.
Direct nadat het datalek werd geconstateerd, hebben we uit voorzorg de toegang tot EASY geblokkeerd en wachtwoorden gereset voor zowel EASY als de DANS Data Stations. Daarnaast is onderzocht of gelekte accountgegevens zijn gebruikt voor het downloaden van niet-openbare datasets.
Gebruikers van EASY en de Data Stations hebben we persoonlijk geïnformeerd. Daarnaast is het datalek gemeld bij de Autoriteit Persoonsgegevens.
Wat is EASY?
EASY is een online archiveringssysteem dat DANS voorheen gebruikte voor het deponeren en hergebruiken van onderzoeksdata. Het bevat datasets uit onder meer de geesteswetenschappen, gezondheidswetenschappen, maatschappij- en gedragswetenschappen, oral history en ruimtelijke wetenschappen. Opvolger van EASY zijn de Data Stations van DANS.
Welke gegevens zijn deel van het huidige datalek?
Persoonsgegevens die in accounts voor EASY stonden ten tijde van het datalek zijn betrokken bij het huidige datalek.
Welke accountgegevens staan bij DANS geregistreerd?
Welke gegevens precies verzameld zijn hangt af van welke gegevens gebruikers in hun accounts hebben opgegeven. Het betreft in ieder geval de verplichte velden: e-mailadres, initialen, achternaam, adres en de organisatie waaraan de gebruiker verbonden is. Welke gegevens onderdeel (kunnen) zijn van jouw account kun je inzien in dit detailoverzicht bij de privacyverklaring van DANS.
Zijn accounts die lange tijd niet gebruikt zijn ook deel van het datalek?
Ja, alle accounts voor EASY zijn deel van het lek. Aan het aanhouden van het account is geen termijn gekoppeld, omdat het gebruik van diensten van DANS in principe voor langere termijn bedoeld is. Accounts worden om die reden in principe niet verwijderd, ook al zijn deze lang niet gebruikt.
Het datalek is wel aanleiding voor DANS om de huidige procedures te evalueren en waar mogelijk te verbeteren.
Als om verwijdering van accounts is gevraagd, zijn die gegevens dan geen deel van het lek?
Het staat gebruikers altijd vrij om een verzoek in te dienen om accounts te laten verwijderen. In een aantal gevallen is verwijderen niet mogelijk (zie hieronder). In die gevallen waar dit wel mogelijk was, zijn accountgegevens in het verleden verwijderd en heeft het lek geen betrekking op die gegevens.
Om welke redenen kunnen accountgegevens niet verwijderd worden?
Er zijn twee situaties waarin DANS accounts niet kan verwijderen, omdat ze noodzakelijk zijn voor de uitvoering van dienstverlening:
- Accounts die gebruikt zijn om een of meer datasets te deponeren bij DANS kunnen niet verwijderd worden. Tussen deze zogenaamde depotgevers en DANS is een deponeerovereenkomst gesloten (voorheen licentieovereenkomst genoemd) en op grond hiervan is het noodzakelijk dat DANS de accountgegevens bewaart.
- Accounts die gebruikt zijn voor het downloaden van datasets die niet openbaar toegankelijk zijn. DANS heeft met de deponerende partij de afspraak om te registreren wie deze data downloadt. Dit is voor de deponerende partij van belang om er zeker van te zijn dat de EASY General Terms and Conditions of Use en de DANS licentie zijn gehanteerd bij het downloaden. Daarnaast kan er reden zijn om gebruikers van data te benaderen over de data, bijvoorbeeld wanneer het gebruik om juridische redenen gestaakt moet worden.
Wat kan ik doen om mijn gegevens te beschermen?
Beveilig jouw account goed met een sterk wachtwoord.
Waar kan ik terecht als ik meer vragen heb?
Vragen kun je mailen naar .