Hierbij een algemene update over de cyberaanval van 11 april op Iddink Learning Materials en informatie over het aanvullen van de melding van het datalek bij de Autoriteit Persoonsgegevens (AP). Over de herstart van het leermiddelenproces zijn de leermiddelencoördinatoren via een webinar op 24 april en een aparte mail geïnformeerd.
Iddink heeft via de blog laten weten dat er nauw wordt samengewerkt met externe cyberbeveiligingsexperts die onderzoek doen naar de oorzaak en omvang van de hack. Er is aangifte gedaan bij de politie en het onderzoek van de politie loopt. Informatie over welke data geraakt is door de hack, wordt nog onderzocht.
Wachtwoorden
SIVON heeft er bij Iddink op aangedrongen om bij het terugzetten van een back-up, niet de wachtwoorden terug te zetten. De reden hiervoor is dat een deel van de wachtwoorden mogelijk in handen is van de hackers. Iddink heeft er daarom voor gezorgd dat bij de herstart van het leermiddelenproces medewerkers van scholen zelf een nieuw wachtwoord moeten instellen. Het advies is om niet hetzelfde wachtwoord te gebruiken dat eerder bij Iddink is gebruikt.
Bankgegevens
Iddink beschikt alleen over bankrekeningnummer van (oud-)leerlingen en hun ouders als er aanvullende schoolspullen zijn besteld en betaald of als er bijvoorbeeld borg is betaald. Dat betekent dat niet van alle leerlingen en ouders bankgegevens bekend waren bij Iddink. Iddink beschrijft dat wanneer leerlingen en hun ouders deze aanvullende bestellingen en betalingen hebben gedaan, Iddink verwerkingsverantwoordelijke is voor deze (bank)gegevens. Iddink heeft daarom zelf ook het datalek bij de AP gemeld. Het verlies van de bankgegevens van leerlingen en ouders bij de hack, valt dus niet onder de verantwoordelijkheid van de school.
Bewaartermijn gegevens
Er zijn door scholen vragen gesteld over de bewaartermijn van de gegevens. Iddink heeft in haar blog aangegeven dat zij beschikken over gegevens van de bestellingen en leveringen van eerdere jaren omdat zij informatie over betalingen en facturen 7 jaar moet bewaren. De data van leerlingen wordt op basis van de overeenkomst met scholen tot 2 jaar – na het verlaten van de school – bewaard door Iddink. Iddink onderzoekt nog tot welke datum de data teruggaan. Als hier meer informatie over bekend is, zal dat worden gedeeld met de scholen.
Melding AP door schoolbestuur
Schoolbesturen die eerder (zelf) het datalek hebben gemeld bij de AP, hebben – mogelijk – gemeld dat zij eind april een aanvullende melding zullen doen. Met de informatie in deze brief kan de school (de privacy officer of functionaris voor gegevensbescherming) de informatie in de datalekmelding aanvullen. Daarbij kan ook worden vermeld hoe de school de betrokkenen (leerlingen, ouders en medewerkers) heeft geïnformeerd voor zover dat nog niet in de datalekmelding was opgenomen. Omdat nog niet alle informatie over de cyberaanval bekend is, is het advies om de melding bij de AP nog niet definitief te maken, maar op een later moment de informatie aan te vullen (bijvoorbeeld over 3 of 4 weken). Is alle informatie eerder compleet dan kan je de melding eerder dan over 3 of 4 weken definitief maken en de datalekmelding afronden).
SIVON blijft in nauw contact met Iddink over het onderzoek naar de cyberaanval, het beperken van de gevolgen daarvan en over de herstart van het leermiddelenproces. Als daar aanleiding toe is, deelt SIVON via een nieuwsbrief en sivon.nl informatie met de scholen om daarmee eventueel de melding bij de AP aan te vullen.