DUO lekt per ongeluk BSN-nummer van 1.700 klanten

Stapel enveloppen met adresvenster

Een medewerker van de Dienst Uitvoering Onderwijs (DUO) heeft een pijnlijke uitglijder gemaakt. Via het adresvenster van enveloppen was het burgerservicenummer (BSN) van zo’n 1.700 mensen zichtbaar. De onderwijsdienst onderzoekt of het mogelijk is om in de toekomst het BSN-nummer uit correspondentiebrieven weg te laten. Het datalek is gemeld bij de Autoriteit Persoonsgegevens.

Dat schrijft dagblad Trouw.

DUO meldt datalek bij Autoriteit Persoonsgegevens

Foutje, bedankt! Een vergissing maken is menselijk, zeker als er hard gewerkt wordt. De boog kan niet altijd gespannen zijn. Bij DUO, de instantie die zich bezig houdt met het uitvoeren het onderwijsbeleid van de regering, ging het onlangs goed mis. Door een menselijke fout kon iedereen via het adresvenster van enveloppen het BSN-nummer van ongeveer 1.700 mensen zien.

De fout deed zich voor bij de opmaak van brieven met jaaropgaven. Deze documenten waren bestemd voor mensen die zich bezighielden met het opstellen, organiseren en uitvoeren van staatsexamens in het voortgezet (speciaal) onderwijs. Toen een van de ontvangers meldde dat naast de naam en het adres ook zijn BSN-nummer zichtbaar was, kwam het incident aan het licht.

DUO heeft daarop direct actie ondernomen. De onderwijsinstantie heeft alle mogelijke slachtoffers via een brief op de hoogte gesteld van het voorval en haar welgemeende excuses aangeboden. Tevens is het datalek gemeld bij de Autoriteit Persoonsgegevens. Bedrijven en organisaties die te maken krijgen met een datalek, zijn verplicht om dit binnen 72 uur te melden aan de toezichthouder. Die bepaalt vervolgens of er een onderzoek naar de kwestie wordt ingesteld.

DUO: ‘Kans op identiteitsfraude enkel met BSN-nummer is klein’

DUO kan niet met zekerheid zeggen dat bij alle 1.700 dezelfde fout is gemaakt. “Uit oogpunt van zorgvuldigheid en uit voorzorg is iedereen wel op de hoogte gesteld”, vertelt woordvoerder Martijn Grimmius tegenover Trouw.

Het datalek is volgens hem ‘vervelend’, maar benadrukt dat de kans op identiteitsfraude zeer klein is. “Het BSN is een zogenoemd ‘informatieloos’ nummer en wordt alleen door de overheid gebruikt bij de verwerking van persoonsgegevens en in contact met de burger. Wel is het verstandig om alert te zijn op misbruik”, vertelt de woordvoerder.

Fraudehelpdesk: ‘Oplichting ligt op de loer’

De Fraudehelpdesk bevestigt desgevraagd dat de kans op identiteitsfraude met enkel een BSN-nummer klein is. “Wel kan een oplichter het nummer gebruiken als onderdeel van een poging om fraude met je identiteit te plegen”, vertelt woordvoer Tanya Wijngaarde.

Cybercriminelen en hackers kunnen het burgerservicenummer gebruiken om meer persoonsgegevens van hun slachtoffer te bemachtigen bij andere instanties. “Dit nummer wordt vaak gevraagd om je te identificeren bij een instantie en ligt oplichting dus op de loer”, waarschuwt Wijngaarde.

Omvang datalek DUO zeer gering in vergelijking met GGD

De aard en omvang van het datalek bij DUO is niet te vergelijken met het privacyschandaal bij de GGD. Eind januari onthulde techjournalist Daniël Verlaan dat medewerkers maandenlang toegang hadden tot persoonsgegevens van Nederlanders die een testafspraak voor een coronatest hadden gemaakt. Via de print- en exportfunctie van twee IT-systemen was het mogelijk om privacygevoelige gegevens van burgers te bemachtigen. Medewerkers verkochten deze informatie via kanalen als Snapchat, Telegram en Wickr aan de hoogste bieder.

Minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge erkende dat bij het opschalen van de systemen minder prioriteit lag op privacy en veiligheid. De eerste maatregelen om de systemen beter te beveiligen tegen ongeautoriseerde toegang, zijn inmiddels genomen. Zo zijn de export- en printfunctie grotendeels uitgeschakeld: slechts een klein aantal medewerkers kan deze functionaliteiten nu nog gebruiken.

Verder vinden er meer controles plaats op eventueel misbruik, zijn de zoekmogelijkheden in de systemen beperkt, wordt de VOG-administratie (Verklaring Omtrent Gedrag) op orde gebracht en vindt er over enkele weken een externe audit plaats. De politie voert momenteel een strafrechtelijk onderzoek uit naar datadiefstal. Tot op heden hebben agenten zes verdachten aangehouden.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen