SIVON heeft op maandag 1 juli van verschillende ouders en scholen signalen ontvangen over een nieuw datalek bij Iddink. Iddink heeft inmiddels de nodige maatregelen genomen om dit datalek te verhelpen. Uit een eerste onderzoek van Iddink blijkt dat de kans niet groot is dat er misbruik is gemaakt van het datalek. Het advies van SIVON is om het datalek te melden bij de Autoriteit Persoonsgegevens (AP). SIVON werkt hierin nauw samen met School-CERT.
Wat was het datalek?
Bij het proces voor het inleveren van schoolboeken door leerlingen, wordt een link gebruikt om in te loggen bij Iddink. Deze link was eenvoudig aan te passen waardoor toegang kon worden verkregen tot gegevens van andere leerlingen. Het gaat hierbij om de naam, straatnaam, postcode en woonplaats, schoolinformatie en de schoolboeken van schooljaar 2023-2024. De meeste van deze gegevens waren ook betrokken bij de hack van Iddink Learning Materials van april dit jaar. Iddink heeft deze link en werkwijze inmiddels aangepast waardoor deze kwetsbaarheid is verholpen.
Uit onderzoek van Iddink blijkt tot op heden dat er niet op grote schaal misbruik is gemaakt van het datalek. Er zijn volgens Iddink geen gegevens geautomatiseerd gedownload. Iddink verwacht uiterlijk vrijdag 5 juli meer duidelijkheid te kunnen geven wat er met de gegevens is gebeurd.
Wie zijn er getroffen?
Leerlingen van scholen in de vakantieregio zuid hebben vanaf 24 juni een mail ontvangen van Iddink met de link naar het inleverportaal. Door de link in de webbrowser aan te passen, konden gegevens van andere leerlingen uit heel Nederland worden ingezien. De gegevens waren ook in te zien van leerlingen uit de vakantieregio midden en noord. Ondanks dat zij nog geen mail hadden ontvangen van Iddink. Voorbeeld: de link van een leerling in Tilburg, kon worden aangepast zodat de gegevens van een leerling uit Alkmaar konden worden ingezien. Het datalek raakt daarom alle leerlingen van alle scholen in Nederland die dit schooljaar boeken moeten inleveren bij Iddink.
Melden datalek
Iddink heeft onderzocht of er misbruik is gemaakt van de kwetsbaarheid. De kans dat de gegevens van leerlingen wordt misbruikt, is volgens Iddink nihil tot klein. Er is een aantal meldingen bekend van ouders die deze kwetsbaarheid hebben gezien en getest. Ook al lijkt de impact van het datalek beperkt en gaat het om een kleine set met persoonsgegevens, er is een risico (geweest) voor de gegevensbescherming van betrokkenen. Betrokkenen kunnen nadeel ondervinden. SIVON raadt daarom aan om melding te doen van het datalek. Omdat de kwetsbaarheid is verholpen en de impact beperkt lijkt te zijn, is het mogelijk om dit datalek meteen definitief in te dienen bij de AP.
SIVON heeft een meldformulier van het datalek voor de AP alvast ingevuld. De privacy officer of functionaris voor gegevensbescherming die het datalek voor de eigen school gaat melden, kan dit bestand (let op download dit bestand) uploaden bij het meldformulier bij de AP en daarin eigen school specifieke informatie invullen.
Informeren betrokkenen
Uit onderzoek van Iddink blijkt tot op heden dat het risico voor de leerlingen dat er misbruik wordt gemaakt van hun gegevens niet hoog is. Dat betekent dat scholen volgens de AVG niet verplicht zijn om betrokkenen te informeren over het datalek. Dat mag natuurlijk wel. Scholen kunnen overwegen de betrokkenen niet te informeren, of pas als Iddink het onderzoek naar het datalek heeft afgerond. Dat is naar verwachting vrijdag.
Als de school de betrokkenen niet informeert over het datalek, dan moet dat bij de datalekmelding van de AP worden gekozen als optie, waarbij er uitleg moet worden gegeven waarom de betrokkenen niet worden geïnformeerd. Als de school wil wachten met de keuze om betrokkenen te informeren, is het advies om het datalek voorlopig te melden bij de AP. De melding kan later worden aangevuld met de informatie of de betrokkenen wel of niet zijn geïnformeerd.
SIVON heeft een voorbeeldbrief voor leerlingen en hun ouders gemaakt die scholen kunnen gebruiken om de betrokkenen te informeren.