Fout in nieuwe module: medewerkers konden zomaar reisgegevens van collega’s inzien en aanpassen

08 mei 2024

Door een administratieve fout konden honderden medewerkers in de nieuwe reismodule van de Radboud Universiteit werkreizen van collega’s boeken, aanpassen of annuleren. Ook konden zij persoonsgegevens inzien. De fout is woensdag (vandaag) rechtgezet.

De treinreis van een decaan annuleren? Het stoelnummer van een FNWI-hoogleraar die naar de VS vliegt wijzigen in een plek naast het toilet? Of een trip inclusief hotelovernachtingen boeken voor een collega zonder dat diegene daar zelf van op de hoogte is? Het kon allemaal op de Radboud Universiteit.

Door een administratieve fout hadden honderden medewerkers toegang tot de reisdetails van collega’s. Ten onrechte was hen een verkeerde bevoegdheid toegewezen, waardoor ze niet alleen voor zichzelf een reis konden boeken maar ook naar hartelust konden snuffelen in de aanstaande trips van anderen. Vluchtummers, hotelgegevens en persoonlijke gegevens (waaronder 06-nummers) waren vrij in te zien.

Reisbureau

Sinds 27 februari moeten medewerkers van de Radboud Universiteit meerdaagse reizen naar het buitenland verplicht regelen via de website van reisbureau VCK Travel. Wanneer medewerkers daar een account aanmaken, komen zij in een menu terecht waar zij een trip voor zichzelf kunnen boeken – en later aanpassen. Ook kunnen zij een andere medewerker machtigen om dat voor hen te doen.

Maar ruim 650 medewerkers kregen per ongeluk de status van Travel Arranger toegewezen. De fout zit ‘m in een simpele slordigheid, legt een woordvoerder van VCK Travel uit. ‘De universiteit heeft rollen toegekend aan personen die daar niet toe bevoegd zouden moeten zijn.’

Een screenshot uit het boekingssysteem, waarbij de reizen, hotelovernachtingen en gegevens van alle medewerkers die gebruik hebben gemaakt van de module in te zien waren.

Een woordvoerder van de universiteit geeft desgevraagd toe dat er inderdaad iets fout is gegaan in het administratieve proces. ‘Bij de invoering van het systeem is aan alle medewerkers die inkoopbestellingen kunnen plaatsen (namens de universiteit, red.) ook de rol van Travel Arranger toegekend. Voor een deel van die medewerkers had dat echter niet gemogen.’

‘Die rol is alleen bedoeld voor medewerkers die voor meerdere personen reizen moeten kunnen boeken, zoals bijvoorbeeld managementassistenten’, aldus de woordvoerder. Ook mensen op ondersteunende afdelingen als HR en ICT zouden – bijvoorbeeld – dergelijke rechten moeten kunnen bezitten.

Fout hersteld

Illustratie: Dall-E. Beeldbewerking: Johannes Fiebig

De fout is inmiddels rechtgezet. Het aantal medewerkers met die status is sinds vrijdag 3 mei teruggebracht tot ‘iets meer dan honderd’, aldus de universiteitswoordvoerder. Medewerkers aan wie de rol wél rechtmatig was toegekend. Dat gebeurde nadat VCK Travel een melding ontving van een medewerker en na vragen van Vox.

Het bedrijf nam contact op met de universiteit. ‘Nadat er vorige week een melding bij ons werd gemaakt van de situatie is met de unversiteit besproken hoe deze te corrigeren’, zegt de woordvoerder van VCK Travel.

Met het intrekken van de rechten is de kous nog niet helemaal af. De universiteit overweegt om in de toekomst de rechten tot het boeken van reizen van anderen te beperken tot de eigen afdeling. Er is geen melding van een datalek gedaan, laat de universiteitswoordvoerder desgevraagd weten.

Proef op de som

Om te kijken hoe lek het systeem precies was, nam Vox vorige week vrijdag de proef op de som. Dat gebeurde even nadat een medewerker van de FNWI-faculteit zich op de redactie meldde met de mededeling dat hijzelf, net als enkele collega’s, zomaar de werkreizen van anderen kon inzien en aanpassen.

Dat ging zo: Nadat de medewerker inlogt in de online module, verschijnt direct een lijst van zo’n 2500 andere Radboudianen die een account hebben. Daarin zijn mensen uit alle afdelingen en faculteiten te vinden.

Met enkele muisklikken volgt een overzicht van alle geboekte reizen. Per boeking kunnen de details bekeken worden: vlucht- of treinnummers, soms zelfs met stoelnummer, het adres van het hotel, de totale prijs en het telefoonnummer dat is opgegeven om last-minute wijzigingen door te geven.

Het gaat om een kleine driehonderd van die trips. Van enkele promovendi die naar Italië vliegen en daar in een hotel verblijven, tot een hoogleraar die enkele dagen naar Estland reist. En van een decaan die per trein naar België gaat, tot een hoogleraar die twee steden in de Verenigde Staten bezoekt. Het is allemaal te zien. Én te wijzigingen.

Zo kan de FNWI-medewerker voor de vluchten van de hierboven genoemde medewerkers het stoelnummer en het bagagegewicht aanpassen. Of zelfs de hele vlucht omboeken. Ook hotelovernachtingen kunnen veranderd worden.

Voorbeeld van een geboekte reis. Met enkele muisklikken had de vlucht geannuleerd kunnen worden door een medewerker die daar niet toe bevoegd hoort te zijn. Onder de vlucht was ook persoonlijke informatie zichtbaar, waaronder het telefoonnummer van de boeker.

Daarnaast kan de medewerker boekingen doen voor collega’s, zonder dat zij daar weet van hebben. ‘Dat heb ik natuurlijk allemaal niet gedaan’, verklaart de medewerker meteen. ‘Maar het is toch ontzettend gek dat ik dit zomaar zou kunnen.’

Retourtje Brussel

Om te kijken of het ook daadwerkelijk lukt in de praktijk, vragen we hem een stapje verder te gaan. We laten hem voor de auteur van dit artikel een retour per trein naar Brussel boeken.

Het lukt zonder moeilijkheden. Om te kunnen boeken moet wel een ‘reisaanvraagnummer’ van zes cijfers worden ingevoerd. Dat nummer koppelt de reis aan een eerder goedgekeurde aanvraag in BASS, het digitale systeem voor medewerkers. Maar bij het boeken blijkt dat de fictieve code 123456 volstaat.

In beeld verschijnt de mededeling dat het is gelukt. Op naam van de verslaggever is, zonder dat hij daar zelf daar iets voor heeft gedaan, voor 22 juli een ticket richting de Belgische hoofdstad geboekt. Plus een retour de dag erop. Kosten: 55 euro.

Enkele minuten later zitten de treinkaarten in de mail.

Om te checken of het net zo makkelijk is om een reis te annuleren, schiet een collega van de FNWI-medewerker met dezelfde rechten bij. En ja hoor, met enkele muisklikken is het ticket geannuleerd, wederom zonder inmenging van de reiziger.

Niet veel later volgt alsnog een mail van de crediteurenafdeling dat er een factuur van VCK Travel binnen is gekomen. Plus wat aanvullende vragen en het dringende verzoek de aanvraag in het vervolg volgens de regels te doen. Maar uit de meegestuurde rekening en het bericht blijkt nergens dat de reis helemaal niet door de Vox-auteur zelf is geboekt.

‘Nu gaat het om één treinkaartje. Maar ik had dus net zo goed voor tien willekeurige mensen een groepsreis naar de andere kant van de wereld kunnen boeken’, zegt de FNWI-medewerker vol verbazing.

Ook na het melden van de fout door Vox kan de medewerker nog twee dagen opereren als Travel Arranger. Pas op woensdagochtend meldt hij dat nu ook bij hem de rechten – terecht – zijn afgenomen.

Leuk dat je Vox leest! Wil je op de hoogte blijven van al het universiteitsnieuws?

Bedankt voor het toevoegen van de vox-app!

3 reacties

  1. Jan Schoone schreef op 8 mei 2024 om 16:22

    “De fout is inmiddels rechtgezet. Het aantal medewerkers met een foutieve status is sinds vrijdag 3 mei teruggebracht tot ‘iets meer dan honderd’, aldus de universiteitswoordvoerder.”

    In mijn optiek kun je pas zeggen dat de fout is rechtgezet als er geen medewerkers met foutieve status meer zijn, maar een beetje fout is niet fout?

    Daarnaast was het eigenlijk wel te verwachten dat als iets overhaast ingevoerd wordt, dat er fouten kunnen gebeuren.
    Wel goed dat er vlug gehandeld wordt en er ook meteen verder nagedacht wordt of de rechten die men heeft, wel echt noodzakelijk zijn.

    • Vincent Decates schreef op 8 mei 2024 om 16:27

      Beste Jan,

      Dank voor je reactie. Ik zie nu dat de passage die jij aanhaalt wat ongelukkig verwoord was in het artikel. Het valt inderdaad op te vatten alsof er nogsteeds 100 medewerkers onterecht de status van Travel Arranger bezitten. Dat is niet het geval. Alle medewerkers die onterecht benoemd zijn, is dat recht inmiddels afgenomen. De honderd zijn de medewerkers die deze status (om verschillende redenen) wél terecht hebben gekregen.

      Ik heb de tekst aangepast!

  2. mark schreef op 10 mei 2024 om 22:46

    Waarom moet Vox voor de plaatjes een industriële plagiaatmachine als Dalle2 gebruiken? Wat is de volgende stap, dat jullie kopij door ChatGPT geschreven wordt? En zo niet, waarom dan wel voor beeld? Ik verwacht een kritischere benadering van een universiteitsblad.

Geef een reactie

Vox Magazine

Het onafhankelijke magazine van de Radboud Universiteit

lees de laatste Vox online!

Vox Update

Een directe, dagelijkse of wekelijkse update met onze artikelen in je mailbox!

Wekelijks
Nederlands
Verzonden!