Persoonsgegevens 18.000 inburgeraars op straat door datalek

Man aan het werk op zijn laptop die op zijn schoot staat

Door een datalek bij een organisatie die diplomawaarderingen verwerkt, liggen de persoonsgegevens van 18.000 inburgeraars op straat. Er is geen sprake van een hack of cyberaanval: een script dat persoonsgegevens moest anonimiseren werkte niet goed. Daardoor kwamen de gegevens in handen van een nieuwe leverancier. De huidige leverancier heeft de data verwijderd.

Dat schrijft minister van Onderwijs, Cultuur en Wetenschap Ingrid van Engelshoven, mede namens het ministerie van Sociale Zaken en Werkgelegenheid, maandag in een brief aan de Tweede Kamer.

Inburgeraars kunnen diplomawaardering aanvragen

Voor mensen die naar Nederland verhuizen en willen integreren, biedt het ministerie van Sociale Zaken en Werkgelegenheid een integratietraject aan. Deelnemers leren er niet alleen de basisbeginselen van de Nederlandse taal, maar ook over onze cultuur, omgangsvormen en gewoontes. Ook kunnen participanten een diplomawaardering laten uitvoeren. Daarmee krijgen ze een antwoord op de vraag wat hun diploma op de Nederlandse arbeidsmarkt waard is. Cursisten die een baan zoeken kunnen deze informatie gebruiken als ze gaan solliciteren.

Inburgeraars kunnen digitaal een aanvraag doen voor een diplomawaardering. Deze aanvraag verloopt via Nuffic. Het Nederlandse bedrijf heeft een vestiging in Servië, waar de testers en ontwikkelaars van het digitale aanvraagsysteem wonen en werken. Nuffic heeft een verwerkingsovereenkomst afgesproken met de leverancier om persoonsgegevens te anonimiseren. De AVG verbiedt namelijk om buiten de EU persoonsgegevens te verwerken, tenzij hier duidelijke afspraken over zijn gemaakt.

18.000 inburgeraars de dupe van ongelukkig datalek

Om de persoonsgegevens te anonimiseren, maakt de ontwikkelaar van het digitale aanvraagsysteem gebruik van een script. Minister Van Engelshoven schrijft aan de Tweede Kamer dat dit script niet goed heeft gewerkt. Zodoende zijn er persoonsgegevens in de testdatabase terechtgekomen. Zo’n zestig testers en ontwikkelaars hadden toegang tot de betreffende gegevens. “Al deze medewerkers hebben een verklaring ondertekend gegevens van hun werk niet openbaar zullen maken”, aldus de minister.

Bij de overdracht van de testdatabase aan een nieuwe leverancier, constateerde de nieuwe eigenaar dat er persoonsgegevens in stonden. Volgens Van Engelshoven gaat het om ‘alle persoonsgegevens’ van inburgeraars die sinds 1 februari 2017 digitaal een diplomawaardering hebben aangevraagd. In totaal zijn dat zo’n 18.000 inburgeraars.

Maatregelen getroffen om herhaling te voorkomen

De gegevens staan sinds 11 augustus 2020 in de testomgeving. Op 9 februari jongstleden kwam het datalek aan het licht. Op 12 februari werd er een eerste analyse uitgevoerd. Volgens de minister zijn er geen aanwijzingen dat er misbruik is gemaakt van de persoonsgegevens, maar dat honderd procent uitsluiten kan ze niet.

Uit voorzorg heeft Nuffic een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens. Op 15 februari is het lek tevens doorgegeven aan het ministerie van Sociale Zaken en Werkgelegenheid en het meldpunt datalekken van de Dienst Uitvoering Onderwijs (DUO). De huidige leverancier heeft de persoonsgegevens uit de testomgeving verwijderd. De nieuwe leverancier heeft de ontvangen testbestanden onmiddellijk verwijderd, zowel uit de database als de back-ups.

Iedereen waarvan de persoonsgegevens zijn betrokken bij het datalek, zijn maandag 8 maart op de hoogte gebracht. Wie vragen heeft over het lek, kan contact opnemen met de telefonische helpdesk. Momenteel wordt er extern onderzoek uitgevoerd naar het datalek. “Doel van dit onderzoek is enerzijds om te achterhalen waarom er iets is misgegaan bij het anonimiseren en anderzijds om zo veel als mogelijk is uit te sluiten dat er misbruik is gemaakt van de gegevens”, schrijft minister van Engelshoven. Met de nieuwe leverancier van het diplomawaarderingssysteem zijn door Nuffic afspraken gemaakt die ervoor moeten zorgen dat dit niet meer kan voorkomen.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen