32 761 Verwerking en bescherming persoonsgegevens

Nr. 179 BRIEF VAN DE MINISTER VAN ONDERWIJS, CULTUUR EN WETENSCHAP

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 8 maart 2021

Hierbij wil ik uw Kamer, mede namens de Minister van Sociale Zaken en Werkgelegenheid, informeren over een datalek bij de uitvoering van diplomawaardering als onderdeel van het inburgeringstelsel. Er zijn op dit moment geen aanwijzingen dat er als gevolg van het datalek misbruik is gemaakt van persoonsgegevens.

SZW is beleidsinhoudelijk verantwoordelijk voor het inburgeringstelsel en OCW is als eigenaar verantwoordelijk voor Nuffic en SBB die in het kader van het inburgeringstelsel op aanvraag van inburgeraars een diplomawaardering uitvoeren. Als onderdeel van het examen oriëntatie op de Nederlandse arbeidsmarkt kunnen inburgeraars digitaal een aanvraag voor diplomawaardering doen. De huidige leverancier van dit digitale aanvraagsysteem is een Nederlands bedrijf met een vestiging in Servië, alwaar de testers- en ontwikkelaars werken. In het kader van haar verantwoordelijkheid voor de applicatie heeft Nuffic een verwerkersovereenkomst met de huidige leverancier afgesloten met de verplichting dat persoonsgegevens worden geanonimiseerd, omdat buiten de Europese Unie geen persoonsgegevens mogen worden verwerkt. De huidige leverancier heeft de contractuele verplichting dat de productiegegevens altijd worden geanonimiseerd middels een script, voordat deze gegevens beschikbaar komen in de testomgeving. Dit script blijkt echter niet goed gewerkt te hebben; naar de oorzaak daarvan wordt nu extern onderzoek gedaan

Bij het dochterbedrijf hadden potentieel circa 60 testers- en ontwikkelaars toegang tot de betreffende gegevens. Al deze medewerkers hebben een verklaring ondertekend gegevens van hun werk niet openbaar zullen maken. Zoals hierboven aangegeven zijn er op dit moment geen aanwijzingen dat er iets is gebeurd met de persoonsgegevens, maar we kunnen het niet uitsluiten.

De nieuwe leverancier van het diplomawaarderingssysteem constateerde 9 februari jl. bij de overdracht van de testdatabase dat er persoonsgegevens in stonden. Het betreft alle persoonsgegevens van diplomawaardering voor inburgeraars sinds de start van de applicatie op 1 februari 2017. Dit zijn circa 18.000 personen. De persoonsgegevens hebben sinds 11 augustus 2020 in de testomgeving gestaan.

Na een eerste analyse van het datalek is op 12 februari jl. door Nuffic, na overleg met SBB, een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens en voorts een melding bij het meldpunt datalekken DUO. De huidige leverancier heeft de persoonsgegevens uit de testomgeving verwijderd. De nieuwe leverancier heeft de ontvangen testbestanden onmiddellijk verwijderd, ook uit de back-ups. 15 februari jl. zijn SZW en DUO nader geïnformeerd door Nuffic en SBB.

De betrokkenen van wie de persoonsgegevens zijn gebruikt, zijn op 8 maart 2021 geïnformeerd. Gezien de achtergrond van betrokkenen wordt de informatie in het Nederlands en Engels aangeboden en zijn vertalingen beschikbaar in het Arabisch, Frans en Farsi. Er is voor hen een telefonische helpdesk ingericht waar de betrokkenen terecht kunnen met vragen. Nuffic en SBB laten momenteel een extern onderzoek uitvoeren. Doel van dit onderzoek is enerzijds om te achterhalen waarom er iets is misgegaan bij het anonimiseren en anderzijds om zo veel als mogelijk is uit te sluiten dat er misbruik is gemaakt van de gegevens. Met de nieuwe leverancier van het diplomawaarderingssysteem zijn door Nuffic afspraken gemaakt die ervoor moeten zorgen dat dit niet meer kan voorkomen.

De Minister van Onderwijs, Cultuur en Wetenschap, I.K. van Engelshoven

Naar boven