Waarom kunnen zoveel TU’ers in backoffice Topdesk?

Tijdens een onderzoek naar de matige beveiliging van gedeelde opslaglocaties van de TU Delft stuit Delta op een getal dat vraagtekens oproept. Er blijken 1479 behandelaars actief te zijn in het backoffice van selfservice portal Topdesk. Als Delta-redacteuren behoren wij zelf tot die groep. Dat is ons vorig jaar ook gemeld toen we autorisatie kregen voor het plaatsen van artikelen op het toen nieuwe intranet.

Maar dat dat betekent dat we personeels- en ict-meldingen en verzoeken van collega’s en studenten kunnen inzien terug tot april 2017 met daarin onder andere informatie als baancodes en facturen, dat wisten we niet. En ook niet dat we beschikking hebben over lijsten met leveranciersgegevens en personeelsnummers. Is het de bedoeling dat wij en zoveel andere TU-medewerkers zoveel van hun collega’s te weten kunnen komen?

De afdeling informatiemanagement ziet geen probleem. Topdesk blijkt namelijk te zijn opgezet om een groot aantal behandelaars de mogelijkheid te geven om vanuit het backoffice meldingen te beantwoorden. “Op HR-meldingen na, hebben we afgesproken dat we geen geheimen voor elkaar hebben, iedereen mag alles zien”, vertelt functioneel beheerder Topdesk Tom Verschuur. “Maar dan hebben we het alleen over de meldingen waar je ook daadwerkelijk autorisatie voor hebt. Een medewerker van Communicatie kan geen melding inzien die bij een oplosgroep van ict is ingediend, tenzij de medewerker is geautoriseerd voor de categorie.”

Baancode en personeelsnummers
Wat kunnen we als behandelaar zoal zien? Hoewel het in het systeem zonder training best lastig navigeren is, zien we lange lijsten met meldingen waarmee we niets van doen hebben. Zoals een melding van een collega bij CiTG die moeite heeft met het aanvragen van een laptop en die een specifieke baancode (een financiële code van een afdeling) noemt en facturen bijvoegt, een student van dezelfde faculteit die de software Qualtrics op zijn laptop wil laten installeren of een collega bij TBM die wil weten wanneer het salaris wordt gestort. We kunnen deze en meer meldingen openen als we willen of beantwoorden of doorzetten naar een collega.

Personeelsnummers zijn zichtbaar tot aan het college van bestuur aan toe

Iedere student en medewerker met een Net-id kan daarnaast via het selfservice portal een melding aanmaken. Daarbij hebben ze toegang tot het volledige naam- en e-mailadresbestand van TU-studenten en medewerkers. Net-id’s en personeelsnummers zijn zichtbaar tot aan het college van bestuur aan toe. Om de melding compleet te maken, kunnen we een overzicht van leveranciers downloaden inclusief telefoonnummers, e-mailadressen en geslacht. Daarna kunnen we vanuit het account servicepunt @tudelft.nl een reactie op een melding sturen.

Dat alles kunnen niet alleen wij, maar alle 1479 medewerkers met rechten in Topdesk als behandelaar. Wie zijn die mensen en vooral: wat doen zij? Volgens Verschuur behoren ruim vijfhonderd accounts toe aan secretaresses die alleen de module voor het reserveren van ruimtes op de campus gebruiken. Van de andere behandelaars kan hij niet exact zeggen wat ze doen. “Sommige medewerkers gebruiken het portal een paar keer per jaar om rapportages uit te draaien, terwijl servicepuntmedewerkers dagelijks meerdere meldingen beantwoorden.”

Als wij meldingen kunnen inzien waarmee we niets te maken hebben, hoeveel medewerkers kunnen dat dan ook? Volgens Verschuur kan niet iedereen zomaar elke melding zien. “In Topdesk zijn verschillende behandelaarsgroepen aangemaakt, ingericht op specifieke faculteit- en dienstverlening. Er zijn er groepen die uit tientallen medewerkers bestaan, denk aan HR. Medewerkers van een groep kunnen alleen meldingen die binnen hun groep zijn aangemaakt bekijken. We gaan bekijken of we de autorisaties nog scherper kunnen instellen.”

Privacy
Wanneer een melding privacygevoelige informatie bevat, kan een melder dit dan vooraf aangeven zodat deze informatie niet voor iedereen en langere tijd beschikbaar is? Nee, zegt Verschuur. Hij zegt hierover wel in gesprek te gaan met zijn  privacy officer.

En hoe zit het met de bewaartermijn? De oudste melding die we bekeken dateert van 18 april 2017. “De bewaartermijn van deze meldingen is wettelijk vastgelegd”, vertelt Verschuur (zeven jaar na afsluiten van de melding, red.). Het bewaren van oude meldingen dient volgens hem een belang. “Zo kunnen we bijvoorbeeld rapportages draaien op de staat van een gebouw. Denk aan: hoeveel reparatieverzoeken zijn er de afgelopen jaren ingediend.”

Lijst met informatie over het geslacht van contactpersonen bij leveranciers

Dat Delta een lijst kan downloaden met informatie over het geslacht van contactpersonen bij leveranciers, vindt Verschuur zorgelijk. “In het Topdesksysteem is dit veld standaard ingebouwd, maar wij laten het leeg. Dat het in dit geval is ingevuld, is niet de bedoeling.” Verschuur heeft de informatie inmiddels uit het systeem verwijderd.

Ondernemingsraad
In een reactie op dit stuk laat Biemla Sewnandan, voorzitter van de ondernemingsraad, weten dat de mogelijkheid dat iemand kwaad kan doen zo klein mogelijk moet zijn. “Zelf kijk ik altijd naar wat een medewerker nodig heeft voor zijn functie. Sinds de algemene verordening gegevensbescherming (AVG) is dat spanningsveld ook flink aangescherpt. Het is daarom goed om te kijken naar het huidige systeem, misschien moet het opnieuw worden ingericht? Want ook al biedt een applicatie verschillende functies, dat wil niet zeggen dat die functies voor iedere medewerker relevant en beschikbaar moeten zijn.”

• Onze toegangsrechten zijn op eigen aanvraag inmiddels ingetrokken. Alle door Delta gemaakte screenshots en opgeslagen informatie inclusief persoonsgegevens zijn verwijderd.