De Gelderse schoolboekenleverancier Iddink is opnieuw getroffen door een datalek, zo laat ict-coöperatie voor het onderwijs SIVON weten. Bij het proces voor het inleveren van schoolboeken door leerlingen, wordt een link gebruikt om in te loggen bij Iddink. Deze link, die via e-mail was gestuurd naar leerlingen van scholen in de vakantieregio zuid, was eenvoudig aan te passen waardoor toegang kon worden verkregen tot gegevens van andere leerlingen uit heel Nederland.

Het gaat hierbij om de naam, straatnaam, postcode en woonplaats, schoolinformatie en de schoolboeken van schooljaar 2023-2024. De meeste van deze gegevens werden ook al gecompromitteerd bij de ransomware-aanval op Iddink die eerder dit jaar plaatsvond. "Iddink heeft deze link en werkwijze inmiddels aangepast waardoor deze kwetsbaarheid is verholpen."

Volgens Iddink is er misbruik van de kwetsbaarheid gemaakt, maar zijn er geen gegevens geautomatiseerd gedownload. "Er is een aantal meldingen bekend van ouders die deze kwetsbaarheid hebben gezien en getest. Ook al lijkt de impact van het datalek beperkt en gaat het om een kleine set met persoonsgegevens, er is een risico (geweest) voor de gegevensbescherming van betrokkenen", laat SIVON weten. De schoolboekenleverancier komt, als het onderzoek is afgerond, nog met meer informatie over wat er met de gegevens is gebeurd.

SIVON meldt dat Iddink het risico op misbruik van gegevens niet hoog inschat. "Dat betekent dat scholen volgens de AVG niet verplicht zijn om betrokkenen te informeren over het datalek. Als de school de betrokkenen niet informeert over het datalek, dan moet dat bij de datalekmelding van de AP worden gekozen als optie, waarbij er uitleg moet worden gegeven waarom de betrokkenen niet worden geïnformeerd. Als de school wil wachten met de keuze om betrokkenen te informeren, is het advies om het datalek voorlopig te melden bij de AP."