Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 8 maart 2021
Hierbij wil ik uw Kamer, mede namens de Minister van Sociale Zaken en Werkgelegenheid,
informeren over een datalek bij de uitvoering van diplomawaardering als onderdeel
van het inburgeringstelsel. Er zijn op dit moment geen aanwijzingen dat er als gevolg
van het datalek misbruik is gemaakt van persoonsgegevens.
SZW is beleidsinhoudelijk verantwoordelijk voor het inburgeringstelsel en OCW is als
eigenaar verantwoordelijk voor Nuffic en SBB die in het kader van het inburgeringstelsel
op aanvraag van inburgeraars een diplomawaardering uitvoeren. Als onderdeel van het
examen oriëntatie op de Nederlandse arbeidsmarkt kunnen inburgeraars digitaal een
aanvraag voor diplomawaardering doen. De huidige leverancier van dit digitale aanvraagsysteem
is een Nederlands bedrijf met een vestiging in Servië, alwaar de testers- en ontwikkelaars
werken. In het kader van haar verantwoordelijkheid voor de applicatie heeft Nuffic
een verwerkersovereenkomst met de huidige leverancier afgesloten met de verplichting
dat persoonsgegevens worden geanonimiseerd, omdat buiten de Europese Unie geen persoonsgegevens
mogen worden verwerkt. De huidige leverancier heeft de contractuele verplichting dat
de productiegegevens altijd worden geanonimiseerd middels een script, voordat deze
gegevens beschikbaar komen in de testomgeving. Dit script blijkt echter niet goed
gewerkt te hebben; naar de oorzaak daarvan wordt nu extern onderzoek gedaan
Bij het dochterbedrijf hadden potentieel circa 60 testers- en ontwikkelaars toegang
tot de betreffende gegevens. Al deze medewerkers hebben een verklaring ondertekend
gegevens van hun werk niet openbaar zullen maken. Zoals hierboven aangegeven zijn
er op dit moment geen aanwijzingen dat er iets is gebeurd met de persoonsgegevens,
maar we kunnen het niet uitsluiten.
De nieuwe leverancier van het diplomawaarderingssysteem constateerde 9 februari jl.
bij de overdracht van de testdatabase dat er persoonsgegevens in stonden. Het betreft
alle persoonsgegevens van diplomawaardering voor inburgeraars sinds de start van de
applicatie op 1 februari 2017. Dit zijn circa 18.000 personen. De persoonsgegevens
hebben sinds 11 augustus 2020 in de testomgeving gestaan.
Na een eerste analyse van het datalek is op 12 februari jl. door Nuffic, na overleg
met SBB, een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens en voorts
een melding bij het meldpunt datalekken DUO. De huidige leverancier heeft de persoonsgegevens
uit de testomgeving verwijderd. De nieuwe leverancier heeft de ontvangen testbestanden
onmiddellijk verwijderd, ook uit de back-ups. 15 februari jl. zijn SZW en DUO nader
geïnformeerd door Nuffic en SBB.
De betrokkenen van wie de persoonsgegevens zijn gebruikt, zijn op 8 maart 2021 geïnformeerd.
Gezien de achtergrond van betrokkenen wordt de informatie in het Nederlands en Engels
aangeboden en zijn vertalingen beschikbaar in het Arabisch, Frans en Farsi. Er is
voor hen een telefonische helpdesk ingericht waar de betrokkenen terecht kunnen met
vragen. Nuffic en SBB laten momenteel een extern onderzoek uitvoeren. Doel van dit
onderzoek is enerzijds om te achterhalen waarom er iets is misgegaan bij het anonimiseren
en anderzijds om zo veel als mogelijk is uit te sluiten dat er misbruik is gemaakt
van de gegevens. Met de nieuwe leverancier van het diplomawaarderingssysteem zijn
door Nuffic afspraken gemaakt die ervoor moeten zorgen dat dit niet meer kan voorkomen.
De Minister van Onderwijs, Cultuur en Wetenschap, I.K. van Engelshoven