Veelgestelde vragen cyberaanval Iddink Learning Materials

Onze school heeft in een verwerkersovereenkomst afspraken gemaakt over welke gegevens Iddink Learning Materials mag gebruiken en bewaren om de boeken te leveren aan onze leerlingen. Als leerlingen of hun ouders zelf bestellingen plaatsen bij Iddink en een betaling doen, dan bewaart Iddink het bankrekeningnummer en de facturen.   

Iddink heeft bekend gemaakt dat de volgende informatie in de gehackte database aanwezig was:   

• Namen en adressen van studenten en mogelijk ouders  
• Persoonlijke contactinformatie zoals e-mailadressen en telefoonnummers  
• Geboortedatum  
• Schoolgegevens, zoals contactgegevens, verzonden facturen  
• Bankrekeningnummers  
• Gearchiveerde e-mails (particulieren en scholen)  

Iddink beschikt alleen over bankrekeningnummers van leerlingen, oud-leerlingen en hun ouders als er aanvullende schoolspullen zijn besteld en betaald of als er bijvoorbeeld borg is betaald aan Iddink. Dat betekent dat niet van alle leerlingen en ouders bankgegevens bekend waren bij Iddink. Iddink beschrijft dat wanneer leerlingen en hun ouders deze aanvullende bestellingen hebben gedaan, Iddink verwerkingsverantwoordelijke is voor deze (bank)gegevens.  

Het burgerservicenummer wordt niet gebruikt door Iddink, dat gegeven is dus niet geraakt door de cyberaanval. Ook het unieke leerling-nummer (ECK-id) dat wordt gebruikt om in te loggen bij leveranciers van digitaal leermateriaal, is niet door Iddink gebruikt.      

De gegevens van Iddink die zijn gehackt, bevatten ook gegevens van leerlingen die al van school zijn. De gegevens van Iddink gaan bij sommige scholen terug tot het schooljaar 2001/2002. Als uw kind vanaf die periode op school zat en u of uw kind bestelde bij Iddink, dan gelden de adviezen ook voor u en uw kind.   

De gegevens bij Iddink zijn gehackt, niet de systemen van de school. Als u of uw zoon/dochter in de toekomst bij Iddink een bestelling moet plaatsen, dan zal er een nieuw account (waaronder nieuw wachtwoord) worden ingesteld.   

De systemen die de school gebruikt voor uw zoon/dochter, zijn voldoende beveiligd. We hebben geen aanwijzingen dat de schoolaccounts zijn geraakt bij de cyberaanval. Er is geen reden om leerlingen en medewerkers een nieuw account te geven. We houden onze systemen natuurlijk goed in de gaten of er verdachte activiteiten plaatsvinden en nemen de nodige veiligheidsmaatregelen.    

A1 (als de school het contract met Iddink eerder heeft beëindigd): De afspraak is dat na beëindiging van de overeenkomst, Iddink verplicht is om de gegevens te verwijderen van onze leerlingen, hun ouders en medewerkers. We begrijpen dat Iddink mogelijk nog wel beschikt over die informatie. Daarom informeren wij en Iddink zoveel als mogelijk leerlingen, oud-leerlingen en hun ouders.  

A2 (als de school nog wel een contract heeft): Iddink heeft op de website laten weten dat er verschillende redenen zijn om gegevens te bewaren. Dat heeft te maken met de wettelijke termijnen. Informatie over betalingen en facturen moet bijvoorbeeld 7 jaar bewaard worden. Daarnaast heeft Iddink  afspraken met de scholen gemaakt. Het is in sommige gevallen belangrijk dat bekend is wat leerlingen en hun ouders in eerdere schooljaren hebben besteld en gekregen. Iddink heeft met scholen afgesproken om data te bewaren zolang een leerling op school zit + 2 jaar daarna. We begrijpen nu van Iddink dat er in haar database gegevens aanwezig zijn van sommige scholen uit het schooljaar 2001/2002. Daarom gaan we er van uit dat Iddink niet alle gegevens heeft verwijderd.   

De systemen van Iddink zijn uitgezet om verdere schade te beperken.  Bij het terugzetten van de back-up worden de wachtwoorden niet teruggezet. De reden hiervoor is dat een deel van de wachtwoorden mogelijk in handen is van de hackers.  Bij het opnieuw gebruiken van de systemen van Iddink Learning Materials, wordt u dus gevraagd om een nieuw wachtwoord aan te maken.  

Het advies is om niet hetzelfde wachtwoord te gebruiken dat eerder bij Iddink is gebruikt. Als het wachtwoord dat eerder bij Iddink is gebruikt, ook is in andere systemen (denk aan: e-mail, social media of online bankieren), dan is het advies om in die andere systemen het wachtwoord te wijzigen in een nieuw, uniek wachtwoord.   

Magister is het leerlingadministratiesysteem dat op school wordt gebruikt. Magister wordt in een aparte digitale omgeving gebruikt. Uit onderzoek van Iddink is gebleken dat Magister niet is betrokken is bij de cyberaanval. Dit geldt ook voor alle andere onderwijspartners van Iddink. Uit onderzoek van Iddink blijkt dat er geen ransomware verder is verspreid. Magister kan daarom wel worden gebruikt.    

Voor scholen gelden er strikte wettelijke bewaartermijnen hoe lang gegevens van en over leerlingen bewaard moeten worden. De school houdt deze termijnen scherp in de gaten en informatie wordt op tijd door de school zelf verwijderd.   

De informatie bij Iddink voor het bestellen van schoolboeken en lesmateriaal, wordt door Iddink bewaard en verwijderd. Iddink heeft laten weten dat de gegevens van leerlingen, oud-leerlingen, hun ouders en medewerkers en oud-medewerkers in het verleden niet altijd consequent is verwijderd.   

Het advies is om te letten op vreemde emailberichten (phishing mails), sms’jes en telefoongesprekken. Daarbij kunt u denken aan een vreemd emailadres, raar taalgebruik, gebruik van Engelse woorden of een mail die er vreemd uitziet. In een dergelijk bericht wordt u gevraagd om persoonlijke gegevens te delen, op een link te klikken of om geld over te maken. Als u het bericht of de afzender niet vertrouwt, en u verwacht niet dat u dat bericht ontvangt, is het advies om de e-mail of sms meteen weg te gooien en nergens in de mail op klikken. Als u gebeld wordt, dan verbreekt u de verbinding en kunt u het telefoonnummer zo nodig blokkeren.   

Het advies is om altijd een uniek wachtwoord te gebruiken voor digitale diensten en software.  Als het wachtwoord dat eerder bij Iddink is gebruikt, hetzelfde is als bij andere systemen (denk aan: e-mail, social media of online bankieren), dan is het advies om in die andere systemen het wachtwoord te wijzigen in een nieuw, uniek wachtwoord. 

We hebben op dit moment geen aanwijzingen dat hackers actief gebruik maken van de data van Iddink die getroffen is bij de cyberaanval. Iddink heeft wel laten weten dat er wel bedrijfsinformatie van Iddink op het dark web is gezet. Gebruikers krijgen vaker phising-mail, spam of telefoontjes van oplichters. Ouders leggen nu een verband met de gegevens die bij de cyberaanval bij Iddink zijn gestolen. Het is lastig om een algemeen advies hierover te geven of de school moet reageren op deze specifieke vragen van ouders. SIVON heeft een lijst met veelgestelde vragen en antwoorden gemaakt die ouders en scholen hierbij helpt.   

Iddink kan niet vaststellen of gegevens bij scholen van wie het contract is beëindigd, zijn verwijderd. Daarom gaan we er vanuit dat deze gegevens er nog wel in stonden. Inmiddels heeft Iddink de oude gegevens verwijderd.  

In de verwerkersovereenkomst tussen een school en Iddink is opgenomen dat Iddink na het einde van de overeenkomst verplicht is om alle gegevens (van leerlingen, hun ouders en medewerkers) te verwijderen. Deze scholen hoeven daar niets voor te doen.  

Iddink laat weten dat de procedure voor het verwijderen van gegevens, niet consequent is toegepast. Er is voor sommige scholen ook data betrokken vanaf het schooljaar 2001-2002. Door wijzigingen in schoolorganisaties door de jaren, is niet volledig te reconstrueren welke data bij welk bestuur hoort. Daarom kan Iddink niet vaststellen of gegevens bij scholen van wie het contract is beëindigd, waren verwijderd. Inmiddels heeft Iddink de oude gegevens verwijderd.  

SIVON gaat er voorlopig van uit dat deze gegevens nog wel in de database van Iddink stonden. Dit betekent: 

• Scholen kunnen de eerder gedane voorlopige datalek-melding bij de AP aanvullen met de informatie uit de mail van Iddink.  
• Omdat het in sommige gevallen om oude gegevens gaat en niet precies is vast te stellen welke gegevens bij welke school horen heeft Iddink Learning Materials de melding bij AP uitgebreid met de gegevens van alle scholen.  
• Vermeld in de melding van de school aan AP de melding van Iddink Learning Materials van 12 april 16.47 uur. Deze melding van Iddink wordt continu geüpdatet door Iddink Learning Materials.  
• Iddink heeft via de pers, mailings en de blog alle betrokkenen geïnformeerd. Scholen hebben tevens de leerlingen en ouders actief geïnformeerd met de voorbeeldbrieven van SIVON. Voor zover je als school beschikt over de gegevens van betrokken oud-leerlingen en hun ouders, adviseren we je deze te informeren. 

Voor het overige hebben we er gezamenlijk alles aan gedaan om iedereen zo goed mogelijk te informeren en een zo breed mogelijk publiek te bereiken. Iddink geeft aan dat scholen erop kunnen vertrouwen dat dit op dit moment voldoende is. Mocht blijken dat dit niet het geval is, dan informeert SIVON de scholen hierover. 

Iddink laat weten dat voor sommige scholen ook data betrokken is vanaf het schooljaar 2001-2002. Door wijzigingen in schoolorganisaties door de jaren, is volgens Iddink niet volledig te reconstrueren welke data bij welk bestuur hoort. Daarnaast is het interne beleid van Iddink voor verwijdering van (klant)data niet consequent toegepast. 

Dit betekent:  

•  Scholen kunnen de eerder gedane voorlopige datalek-melding bij de AP aanvullen met de informatie uit de mail van Iddink.  
• Omdat het in sommige gevallen om oude gegevens gaat en niet precies is vast te stellen welke gegevens bij welke school horen heeft Iddink Learning Materials de melding bij AP uitgebreid met de gegevens van alle scholen.  
• Vermeld in de melding van de school aan AP de melding van Iddink Learning Materials van 12 april 16.47 uur. Deze melding van Iddink wordt continu geüpdatet door Iddink Learning Materials.  
• Iddink heeft via de pers, mailings en de blog alle betrokkenen geïnformeerd. Scholen hebben tevens de leerlingen en ouders actief geïnformeerd met de voorbeeldbrieven van SIVON. Voor zover je als school beschikt over de gegevens van betrokken oud-leerlingen en hun ouders, adviseren we je deze te informeren. 

Voor het overige hebben we er gezamenlijk alles aan gedaan om iedereen zo goed mogelijk te informeren en een zo breed mogelijk publiek te bereiken. Iddink geeft aan dat scholen erop kunnen vertrouwen dat dit op dit moment voldoende is. Mocht blijken dat dit niet het geval is, dan informeert SIVON de scholen hierover. 

Iddink heeft in haar blog aangegeven dat zij beschikken over gegevens van de bestellingen en leveringen van eerdere jaren. Iddink heeft laten weten dat het beleid voor verwijdering van gegevens niet consequent is toegepast. Dat betekent dat de gegevens van oud-klanten en huidige klanten niet (volledig) waren verwijderd. Iddink bevestigt dus dat er wel beleid was om gegevens te verwijderen maar dat dit niet consequent is gebeurd.   

Scholen moeten als verwerkingsverantwoordelijke toezicht houden op de gegevens van (oud)leerlingen, hun ouders en (oud)medewerkers en zorgen dat leveranciers de afspraken over het beveiligen, bewaren, gebruiken en vernietigen nakomen.  

Of en in welke mate Iddink de afspraken met de scholen heeft geschonden, en of Iddink daarvoor aansprakelijk is, wordt nog onderzocht. SIVON zal op een later moment meer informatie geven over de eventuele juridische en privacyrechtelijke gevolgen van het niet-verwijderen van die gegevens door Iddink.  

Als de school geen contactgegevens van oud-leerlingen, hun ouders en oud-medewerkers meer heeft, dan kunnen deze betrokkenen niet worden geïnformeerd. In een persbericht worden betrokkenen geïnformeerd over de aanval en de gevolgen daarvan voor betrokkenen.  

Iddink heeft via de pers, mailings en de blog alle betrokkenen geïnformeerd. Scholen hebben tevens de leerlingen en ouders actief geïnformeerd met de voorbeeldbrieven van SIVON. Voor zover je als school beschikt over de gegevens van betrokken oud-leerlingen en hun ouders, adviseren we je deze te informeren. 

Voor het overige hebben we er gezamenlijk alles aan gedaan om iedereen zo goed mogelijk te informeren en een zo breed mogelijk publiek te bereiken. Iddink geeft aan dat scholen erop kunnen vertrouwen dat dit op dit moment voldoende is. Mocht blijken dat dit niet het geval is, dan informeert SIVON de scholen hierover. 

Het sturen van een brief om Iddink aansprakelijk te stellen is op dit moment niet noodzakelijk, dat kan als dat nodig is op een later moment. Door het sturen van deze brief wordt de cyberaanval niet (sneller) opgelost, ook worden de gevolgen niet beperkt door deze brief.  Als daar aanleiding voor is, zal SIVON de scholen hierover meer informatie geven.