Iddink heeft de schoolbesturen en de functionarissen voor gegevensbescherming op donderdag 2 mei een e-mail gestuurd met een update over de cyberaanval van 11 april op Iddink Learning Materials. In onderstaand bericht geven wij ons advies aan schoolbesturen, over hoe nu te handelen naar aanleiding van de mail van Iddink. En leggen we ons advies uit. Op 16 mei houden we hierover een webinar.
Nieuwe adviezen
- Scholen kunnen de eerder gedane voorlopige datalek-melding bij de AP aanvullen met de informatie uit de mail van Iddink.
- Omdat het in sommige gevallen om oude gegevens gaat en niet precies is vast te stellen welke gegevens bij welke school horen heeft Iddink Learning Materials de melding bij AP uitgebreid met de gegevens van alle scholen.
- Vermeld in de melding van de school aan AP de melding van Iddink Learning Materials van 12 april 16.47 uur. Deze melding van Iddink wordt continu geüpdatet door Iddink Learning Materials.
- Iddink heeft via de pers, mailings en de blog alle betrokkenen geïnformeerd. Scholen hebben tevens de leerlingen en ouders actief geïnformeerd met de voorbeeldbrieven van SIVON. Voor zover je als school beschikt over de gegevens van betrokken oud-leerlingen en hun ouders, adviseren we je deze te informeren.
Voor het overige hebben we er gezamenlijk alles aan gedaan om iedereen zo goed mogelijk te informeren en een zo breed mogelijk publiek te bereiken. Iddink geeft aan dat scholen erop kunnen vertrouwen dat dit op dit moment voldoende is. Mocht blijken dat dit niet het geval is, dan informeert SIVON de scholen hierover.
Toelichting op de adviezen
Getroffen gegevens
Uit onderzoek van Iddink blijkt dat er data van scholen uit schooljaar 2001-2002 betrokken zijn in de cyberaanval. Door wijzigingen in schoolorganisaties door de jaren, kan Iddink niet volledig reconstrueren welke data bij welk bestuur hoort. Informatie over welke gegevens van welke scholen in de database van Iddink zijn opgenomen, is dus niet beschikbaar. Verder laat Iddink weten dat het interne beleid op het verwijderen van (klant)data niet consequent is toegepast. Het is dus niet bekend of gegevens van leerlingen, oud-leerlingen en hun ouders wel verwijderd zijn. Er kan ook niet worden vastgesteld of de gegevens van scholen van wie het contract met Iddink (eerder) is beëindigd, zijn verwijderd. Behalve voor Iddink, is dit voor scholen een heel vervelende situatie.
Iddink laat weten dat de hackergroep een klein deel van de gegevens heeft gepubliceerd op het dark web. Het gaat daarbij om bedrijfsgegevens van Iddink zelf. Er zijn geen gegevens van klanten van Iddink online gezet. Mocht er relevante veranderingen plaatsvinden dan informeert Iddink SIVON en wordt in samenspraak met SIVON bekeken of er nog verdere communicatie nodig is.
Verantwoordelijkheid gegevens
In het kader van de Wet Gratis Schoolboeken levert Iddink Learning Materials in opdracht van de school leermiddelen aan scholen en/of diens leerlingen. De school is voor deze persoonsgegevens de verwerkingsverantwoordelijke en Iddink Learning Materials heeft de rol van verwerker. Dat is vastgelegd in een verwerkersovereenkomst met de school (schoolbestuur).
Als verwerkingsverantwoordelijke moet het schoolbestuur de betrokkenen informeren. Scholen hebben tevens de leerlingen en ouders actief geïnformeerd met de voorbeeldbrieven van SIVON. Voor zover je als school beschikt over de gegevens van betrokken oud-leerlingen en hun ouders, adviseren we je deze te informeren. Iddink heeft via de pers, mailings en de blog alle betrokkenen geïnformeerd.
Gezamenlijk hebben we er alles aan gedaan om iedereen zo goed mogelijk te informeren en een zo breed mogelijk publiek te bereiken. Iddink geeft aan dat scholen erop kunnen vertrouwen dat dit op dit moment voldoende is. Mocht blijken dat dit niet het geval is, dan informeert SIVON de scholen hierover.
Aanvulling advies aan scholen
Iddink vermeldt in het bericht van 2 mei dat niet bekend is welke gegevens van welke scholen in de database aanwezig waren. Ook kan niet wordt vastgesteld of data van oud-leerlingen en hun ouders en oud-medewerkers eerder wel consequent verwijderd is. Dit betekent dat het advies van SIVON voor scholen is:
- Scholen met een lopend contract hebben eerder - als het goed is – een voorlopige melding gedaan van de datalek bij de AP. Het advies is om de voorlopige melding aan te vullen.
- Bij het doen van een (voorlopige) melding van een datalek bij de AP wordt gevraagd om aantallen betrokkenen (personen over wie de gegevens gaan). Omdat dat niet kan worden vastgesteld, is het advies om op basis van eigen informatie een schatting te geven van het aantal leerlingen/ouders dat in het verleden bij Iddink heeft besteld voor de school. Hierbij kan bij het opmerkingenveld bij de datalekmelding worden verwezen naar de uitleg die Iddink heeft gegeven in de mail van 2 mei, en de datalekmelding van Iddink Learning Materials B.V. op 12 april 2024 om 16:47 uur bij de AP.
- Iddink laat weten dat de gegevens in de gehackte database teruggaan tot schooljaar 2001-2002. Scholen hebben tevens de leerlingen en ouders actief geïnformeerd met de voorbeeldbrieven van SIVON. Voor zover je als school beschikt over de gegevens van betrokken oud-leerlingen en hun ouders, adviseren we je deze te informeren.
- Om scholen hierbij te helpen, zijn voorbeeldbrieven beschikbaar.
Controle bewaartermijnen binnen de school
Kennisnet geeft in het recent bijgewerkte artikel in de Aanpak IBP informatie over actuele bewaartermijnen voor scholen. Gegevens van oud-leerlingen in het leerlingadministratiesysteem moeten bijvoorbeeld 5 jaar en 8 weken (na uitschrijving van de leerling) verwijderd worden. De cyberaanval bij Iddink maakt duidelijk dat het niet altijd vanzelfsprekend is dat gegevens van oud-leerlingen, hun ouders en oud-medewerkers op tijd verwijderd wordt. Dat betekent dat het verstandig is om binnen de eigen school te controleren of en welke bewaartermijnen er gehanteerd worden voor de leerlingen- en personeelsadministratie en of alle gegevens ook daadwerkelijk op tijd verwijderd worden. Verwijderde persoonsgegevens kunnen niet worden gehackt. SIVON zal in gesprek gaan met brancheorganisaties en leveranciers over de cyberaanval bij Iddink en hoe deze partijen omgaan met het (tijdig) bewaren en vernietigen van gegevens.
Rol SIVON
SIVON volgt nauwlettend de situatie bij Iddink en is regelmatig in gesprek met Iddink zodat we de schoolbesturen goed kunnen bijstaan en van advies kunnen voorzien. Hiermee zorgen wij ervoor dat vragen van scholen worden beantwoord door Iddink en dat alle scholen op de hoogte blijven van nieuwe informatie. We helpen scholen ook met praktische adviezen en hulpmiddelen. SIVON doet dit vanuit haar rol als belangenbehartiger voor en namens haar leden.
Daarnaast is SIVON intensief in contact met Iddink en is er structureel incident respons overleg.
Veelgestelde vragen
SIVON heeft een overzicht gemaakt van veelgestelde vragen en antwoorden voor scholen. Deze is op sivon.nl te vinden.
Heb je aanvullende vragen, mail deze naar ibp@sivon.nl zodat we de veelgestelde vragen kunnen aanvullen. Op donderdag 16 mei van 17.00 -18.00 uur organiseren we een webinar naar aanleiding van dit bericht.