DUO weerspreekt datalek

    Tientallen medewerkers van DUO hadden in 2017 ten onrechte toegang tot privacygevoelige informatie van studenten. Een datalek dat gemeld had moeten worden, vindt de Algemene Rekenkamer. DUO en de minister zijn het daar niet mee eens.

    De Rekenkamer heeft zich over de jaarverslagen van de ministeries gebogen en geconstateerd dat verschillende overheidsinstanties de beveiliging van hun computersystemen niet op orde hadden. Zo ook de Dienst Uitvoering Onderwijs, die onder meer de studiefinanciering uitkeert aan studenten en de schulden int bij terugbetalers.

    Privacygevoelig
    DUO was de afgelopen tijd druk bezig met het overzetten van data naar een nieuw ICT-systeem en daarbij ging het vorig jaar mis, schrijft de Rekenkamer. Er was sprake van een te ruim autorisatiebeheer, dat wil zeggen dat medewerkers tijdelijk bevoegdheden hadden die ze eigenlijk niet hoorden te hebben. Hierdoor hadden zij theoretisch de mogelijkheid om onbevoegd kennis te nemen van privacygevoelige informatie van studenten, “hetgeen al snel is te kwalificeren als een datalek”, schrijft de Rekenkamer.

    Of deze DUO-medewerkers ook daadwerkelijk informatie hebben ingezien, is niet bekend. De Rekenkamer vindt desondanks dat DUO het vermeende datalek had moeten melden bij de Autoriteit Persoonsgegevens. Die eist namelijk dat dit gebeurt zodra men “redelijkerwijs niet kan uitsluiten dat een inbreuk op de beveiliging tot een onrechtmatige verwerking heeft geleid.”

    Functiescheiding
    Geen sprake van, zegt DUO. Het gaat namelijk niet om een datalek, maar om een “doorbreking van de functiescheiding”, zegt een woordvoerder. “Zo’n zeventig DUO-medewerkers die werkten aan de omzetting van het oude naar het nieuwe ICT-systeem, hadden tijdelijk toegang tot gegevens, terwijl dat volgens hun functie niet nodig was.”

    De situatie is volgens haar niet vergelijkbaar met bijvoorbeeld het incident bij het Haga-Ziekenhuis, waar tientallen medewerkers het medische dossier van soapster Barbie opzettelijk hebben geraadpleegd terwijl ze niet bij haar zorg betrokken waren. “We hebben een protocol voor datalekken en dit valt hier niet onder.” Minister Van Engelshoven is het met DUO eens, zo valt te lezen in haar reactie op het rapport van de Rekenkamer.

    De Autoriteit Persoonsgegevens laat desgevraagd weten dat ze uitkomsten van het Rekenkameronderzoek zal bestuderen. “Ik kan niet ingaan op de vragen of het bij DUO om een datalek ging en of dit had moeten worden gemeld, we kennen de details niet”, aldus een woordvoerder.

    MEER ARTIKELEN OVER

          

    DEEL DIT ARTIKEL

    REAGEER OP DIT ARTIKEL

    * Verplicht veld

    REACTIES

    Er zijn nog geen reacties.

    TRENDING OP SOCIAL
    Volg voor het laatste nieuws @PuntAvans

    Volg Punt.