Aantal datalekken bij DUO toegenomen

Studieboeken op een stapel met een boekenkast op de achtergrond

Het aantal datalekken bij de Dienst Uitvoering Onderwijs (DUO) is afgelopen jaar fors toegenomen. In 2019 meldde het bestuursorgaan 80 lekken, in 2020 steeg het aantal meldingen naar 91. In totaal deed de dienst 16 keer melding bij de Autoriteit Persoonsgegevens.

Dat blijkt uit het jaarverslag van het ministerie van Onderwijs, Cultuur en Wetenschap (OCW), dat deze week werd aangeboden aan de Tweede Kamer.

Meer datalekken bij DUO, maar minder meldingen bij de toezichthouder

Demissionair minister van OCW Ingrid van Engelshoven en minister voor Basis- en Voortgezet Onderwijs en Media Arie Slob zeggen dat het ministerie en DUO vorig jaar veel aandacht hebben besteed aan het veilig omgaan met persoonsgegevens en het melden van datalekken. Bij het ministerie van OCW kwamen 18 datalekken aan het licht. In 7 gevallen deed het ministerie melding bij de Autoriteit Persoonsgegevens.

DUO, een zelfstandig bestuursorgaan dat een groot aantal administratieve onderwijstaken voor zijn rekening neemt, werd met aanzienlijk meer datalekken geconfronteerd. In 2020 nam het aantal lekken toe tot 91. Ter vergelijking: in 2019 bedroeg het aantal datalekken nog 80. Vorig jaar meldde de onderwijsdienst 16 gevallen bij de toezichthouder en 7 bij andere departementen. In 2019 deed DUO 20 keer melding bij de privacywaakhond en 17 keer bij andere ministeries. Nader onderzoek wees uit dat er geen noodzaak was om de overige 68 gevallen te melden.

“De acties in 2020 om de bewustwording te vergroten om een lek te melden en om bij voorkeur preventief te werken (ook bij twijfel melden) hebben bijgedragen aan het lagere aantal meldingen bij de Autoriteit Persoonsgegevens en andere departementen”, schrijven de ministers. Dat beeld werd eind vorig jaar ook al bevestigd door de Audit Dienst Rijk (ADR) In het rapport ‘Proces meldplicht datalekken DUO’ stelde de ADR dat het proces rondom datalekken goed is ingericht bij het bestuursorgaan. Thuiswerken had volgens Van Engelshoven en Slob geen invloed op de kwantiteit van de meldingen of op het soort datalekken.

UWV en SVB meldden afgelopen jaar honderden datalekken

Deze week werd bekend dat het Uitkeringsinstituut Werknemersverzekeringen (UWV) en de Sociale Verzekeringsbank (SVB) afgelopen jaar honderden datalekken hebben gemeld bij de Autoriteit Persoonsgegevens. Het UWV kreeg in 2020 in totaal 3.033 signalen over mogelijke gegevensinbreuk. Ongeveer in een derde van  de gevallen (1.066) deed de uitkeringsorganisatie daadwerkelijk aangifte bij de toezichthouder. Meer dan 90 procent van de datalekken werd veroorzaakt doordat er fouten in de post werden gemaakt. Dan moet je denken aan een verkeerd adres op de envelop of dat een medewerker een verkeerde bijlage aan de brief toevoegde.

De SVB meldde in 2020 353 postgerelateerde datalekken en 93 lekken met een andere oorzaak bij de Autoriteit Persoonsgegevens. Naar aanleiding van deze meldingen is de toezichthouder één keer bij de uitkeringsinstantie langs geweest om te kijken hoe de SVB persoonsgegevens van burgers verwerkt.

Op het vlak van informatiebeveiliging en digitale weerbaarheid heeft de SVB haar zaakjes beter op orde. De oudere IT-systemen zijn afgelopen jaar uitgefaseerd, de beheersprocessen verbeterd, heeft er verdere segmentatie van de IT-infrastructuur plaatsgevonden, wordt er meer gebruik gemaakt van moderne encryptie en volgen medewerkers continu een awareness programma om hen op gevaren als phishing te wijzen. “Dit heeft geleid tot een aanzienlijke reductie van het aantal IT-kwetsbaarheden en de kwetsbaarheid voor ransomware dreigingen”, aldus de SVB.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen