image

Schoolboekenleverancier Iddink opnieuw getroffen door datalek

vrijdag 5 juli 2024, 12:24 door Redactie, 7 reacties

De Gelderse schoolboekenleverancier Iddink is opnieuw getroffen door een datalek, zo laat ict-coöperatie voor het onderwijs SIVON weten. Bij het proces voor het inleveren van schoolboeken door leerlingen, wordt een link gebruikt om in te loggen bij Iddink. Deze link, die via e-mail was gestuurd naar leerlingen van scholen in de vakantieregio zuid, was eenvoudig aan te passen waardoor toegang kon worden verkregen tot gegevens van andere leerlingen uit heel Nederland.

Het gaat hierbij om de naam, straatnaam, postcode en woonplaats, schoolinformatie en de schoolboeken van schooljaar 2023-2024. De meeste van deze gegevens werden ook al gecompromitteerd bij de ransomware-aanval op Iddink die eerder dit jaar plaatsvond. "Iddink heeft deze link en werkwijze inmiddels aangepast waardoor deze kwetsbaarheid is verholpen."

Volgens Iddink is er misbruik van de kwetsbaarheid gemaakt, maar zijn er geen gegevens geautomatiseerd gedownload. "Er is een aantal meldingen bekend van ouders die deze kwetsbaarheid hebben gezien en getest. Ook al lijkt de impact van het datalek beperkt en gaat het om een kleine set met persoonsgegevens, er is een risico (geweest) voor de gegevensbescherming van betrokkenen", laat SIVON weten. De schoolboekenleverancier komt, als het onderzoek is afgerond, nog met meer informatie over wat er met de gegevens is gebeurd.

SIVON meldt dat Iddink het risico op misbruik van gegevens niet hoog inschat. "Dat betekent dat scholen volgens de AVG niet verplicht zijn om betrokkenen te informeren over het datalek. Als de school de betrokkenen niet informeert over het datalek, dan moet dat bij de datalekmelding van de AP worden gekozen als optie, waarbij er uitleg moet worden gegeven waarom de betrokkenen niet worden geïnformeerd. Als de school wil wachten met de keuze om betrokkenen te informeren, is het advies om het datalek voorlopig te melden bij de AP."

Reacties (7)
05-07-2024, 12:41 door Anoniem
SIVON meldt dat Iddink het risico op misbruik van gegevens niet hoog inschat. "Dat betekent dat scholen volgens de AVG niet verplicht zijn om betrokkenen te informeren over het datalek.
Wat een prachtige wet is die AVG toch hè?
Zodra je een databreuk "niet hoog inschat" hoef je de slachtoffers niet te waarschuwen!
05-07-2024, 12:45 door Anoniem
Heel fijn want dat soort partijen verwijderen geen gegevens van oude scholieren...
05-07-2024, 13:46 door Anoniem
Door Anoniem:
SIVON meldt dat Iddink het risico op misbruik van gegevens niet hoog inschat. "Dat betekent dat scholen volgens de AVG niet verplicht zijn om betrokkenen te informeren over het datalek.

Wat een prachtige wet is die AVG toch hè?
Zodra je een databreuk "niet hoog inschat" hoef je de slachtoffers niet te waarschuwen!

Je vergeet een klein stukje te citeren:

"Als de school de betrokkenen niet informeert over het datalek, dan moet dat bij de datalekmelding van de AP worden gekozen als optie, waarbij er uitleg moet worden gegeven waarom de betrokkenen niet worden geïnformeerd."

en:

"Als de school wil wachten met de keuze om betrokkenen te informeren, is het advies om het datalek voorlopig te melden bij de AP."
05-07-2024, 13:48 door Anoniem
Door Anoniem:
SIVON meldt dat Iddink het risico op misbruik van gegevens niet hoog inschat. "Dat betekent dat scholen volgens de AVG niet verplicht zijn om betrokkenen te informeren over het datalek.
Wat een prachtige wet is die AVG toch hè?
Zodra je een databreuk "niet hoog inschat" hoef je de slachtoffers niet te waarschuwen!

Want zonder AVG was het allemaal veeeel beter?
Zouden slachtoffers dan wel geinformeerd worden?
06-07-2024, 08:41 door Anoniem
Door Anoniem: Wat een prachtige wet is die AVG toch hè?
Zodra je een databreuk "niet hoog inschat" hoef je de slachtoffers niet te waarschuwen!
Ze hebben geconstateerd dat er geen gegevens geautomatiseerd zijn gedownload. Dat kunnen ze niet constateren zonder logbestanden te analyseren. Als ze zo'n analyse doen weten ze precies vanaf welke IP-adressen gegevens zijn opgevraagd van leerlingen die op verschillende adressen wonen, en dat kan weer naast de meldingen die ze erover hebben ontvangen gehouden zijn. Daaruit kan blijken dat het meeviel, situaties zijn niet altijd alleen maar zo erg mogelijk.

Zorgwekkender is dat dit überhaupt gebeurd is. Dit is een type kwetsbaarheid dat zo bekend is dat die fout domweg al vele jaren niet meer over het hoofd gezien zou moeten worden (ik weet dat ik er in 1997 in een webapplicatie waar ik toen aan mee-ontwikkelde al rekening mee hield). Een ontwikkelaar (ook een goede onder hoge werk- of andere druk, of simpelweg na een nacht slecht slapen) kan steekjes laten vallen, maar daarvoor is zoiets als kwaliteitscontrole bedacht, en controleren op dit soort kwetsbaarheden zou daar standaard deel van uit moeten maken. Dus de vraag hoe dit zo ver heeft kunnen komen lijkt me een heel belangrijke voor Iddink om uit te zoeken; ik hoop dat ze doorhebben dat dit echt niet goed genoeg is, dat deze fout afgevangen had moeten zijn voor hij live ging.
06-07-2024, 10:09 door Anoniem
Het is zorgwekkend dat bedrijven zelf mogen bepalen of informatie als gevoelig wordt beschouwd en dus wel of niet gemeld moet worden. Neem bijvoorbeeld NAW-gegevens (Naam, Adres, Woonplaats). De privacy officer van een bedrijf zoals Iddink heeft alle informatie om te beoordelen of gegevens van leerlingen gevoelig zijn (sarcasme). Stel je het volgende scenario voor: een leerling is uit huis geplaatst vanwege misbruik of bedreigingen, of omdat de ouders door jeugdzorg uit het ouderlijk gezag zijn ontzet. Als deze informatie op straat komt te liggen, kunnen adressen van bijvoorbeeld opvanghuizen openbaar worden. Als de privacy officer hier geen kwaad in ziet, is dat zeer zorgwekkend. Bedrijven die herhaaldelijk betrokken zijn bij dergelijke datalekken zouden boetes moeten krijgen. AP, voer uw toezichtstaak uit.
06-07-2024, 13:18 door Anoniem
Door Anoniem: Het is zorgwekkend dat bedrijven zelf mogen bepalen of informatie als gevoelig wordt beschouwd en dus wel of niet gemeld moet worden. Neem bijvoorbeeld NAW-gegevens (Naam, Adres, Woonplaats). De privacy officer van een bedrijf zoals Iddink heeft alle informatie om te beoordelen of gegevens van leerlingen gevoelig zijn (sarcasme). Stel je het volgende scenario voor: een leerling is uit huis geplaatst vanwege misbruik of bedreigingen, of omdat de ouders door jeugdzorg uit het ouderlijk gezag zijn ontzet. Als deze informatie op straat komt te liggen, kunnen adressen van bijvoorbeeld opvanghuizen openbaar worden. Als de privacy officer hier geen kwaad in ziet, is dat zeer zorgwekkend. Bedrijven die herhaaldelijk betrokken zijn bij dergelijke datalekken zouden boetes moeten krijgen. AP, voer uw toezichtstaak uit.
Uit de AVG, artikel 33, 1e lid:
Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee.
Dus in het voorbeeld dat je geeft is die verplichting er wel degelijk.

Het is wel zo dat een bedrijf zijn logbestanden mag (nee: moet) inspecteren om uit te zoeken hoe groot de gevolgen van het lek in de praktijk zijn. Als daaruit blijkt dat het waarschijnlijke hoge risico dat de AVG noemt er niet is, omdat de gegevens simpelweg niet door een ander zijn gedownload, dan is op grond daarvan het melden aan de betrokkenen niet verplicht.

En ja, het is wel zo dat bedrijven de situatie zelf moeten uitzoeken en beoordelen, zoals er zoveel is dat bedrijven en burgers zelf in de gaten moeten houden. Als aan het licht komt dat ze dingen verkeerd hebben beoordeeld, bijvoorbeeld nadat benadeelden klachten erover indienen, kunnen ze daarvoor stevig op de vingers worden getikt. De AP zit niet bij alle medewerkers van alle bedrijven permanent over hun schouders mee te kijken om elke slipper af te vangen, net zo min als belastingdienst, politie, ACM en al die andere toezichthouders dat doen. We leven niet in een politiestaat.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.