Brief regering; Datalek bij bij de uitvoering van diplomawaardering als onderdeel van het inburgeringstelsel - Verwerking en bescherming persoonsgegevens - Main contents
Deze brief is onder nr. 179 toegevoegd aan dossier 32761 - Verwerking en bescherming persoonsgegevens.
Contents
| Officiële titel | Verwerking en bescherming persoonsgegevens; Brief regering; Datalek bij bij de uitvoering van diplomawaardering als onderdeel van het inburgeringstelsel |
|---|---|
| Document date | 08-03-2021 |
| Publication date | 17-03-2021 |
| Nummer | KST32761179 |
| Reference | 32761, nr. 179 |
| Commission(s) | |
| External link | original article |
| Original document in PDF |  |
Tweede Kamer der Staten-Generaal
Vergaderjaar 2020-
2021
32 761
Verwerking en bescherming persoonsgegevens
BRIEF VAN DE MINISTER VAN ONDERWIJS, CULTUUR EN WETENSCHAP
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Den Haag, 8 maart 2021
Hierbij wil ik uw Kamer, mede namens de Minister van Sociale Zaken en Werkgelegenheid, informeren over een datalek bij de uitvoering van diplomawaardering als onderdeel van het inburgeringstelsel. Er zijn op dit moment geen aanwijzingen dat er als gevolg van het datalek misbruik is gemaakt van persoonsgegevens.
SZW is beleidsinhoudelijk verantwoordelijk voor het inburgeringstelsel en OCW is als eigenaar verantwoordelijk voor Nuffic en SBB die in het kader van het inburgeringstelsel op aanvraag van inburgeraars een diplomawaardering uitvoeren. Als onderdeel van het examen oriëntatie op de Nederlandse arbeidsmarkt kunnen inburgeraars digitaal een aanvraag voor diplomawaardering doen. De huidige leverancier van dit digitale aanvraagsysteem is een Nederlands bedrijf met een vestiging in Servië, alwaar de testers- en ontwikkelaars werken. In het kader van haar verantwoordelijkheid voor de applicatie heeft Nuffic een verwerkersover-eenkomst met de huidige leverancier afgesloten met de verplichting dat persoonsgegevens worden geanonimiseerd, omdat buiten de Europese Unie geen persoonsgegevens mogen worden verwerkt. De huidige leverancier heeft de contractuele verplichting dat de productiegegevens altijd worden geanonimiseerd middels een script, voordat deze gegevens beschikbaar komen in de testomgeving. Dit script blijkt echter niet goed gewerkt te hebben; naar de oorzaak daarvan wordt nu extern onderzoek gedaan
Bij het dochterbedrijf hadden potentieel circa 60 testers- en ontwikkelaars toegang tot de betreffende gegevens. Al deze medewerkers hebben een verklaring ondertekend gegevens van hun werk niet openbaar zullen maken. Zoals hierboven aangegeven zijn er op dit moment geen aanwijzingen dat er iets is gebeurd met de persoonsgegevens, maar we kunnen het niet uitsluiten.
kst-32761-179 ISSN 0921 - 7371 's-Gravenhage 2021
De nieuwe leverancier van het diplomawaarderingssysteem constateerde 9 februari jl. bij de overdracht van de testdatabase dat er persoonsgegevens in stonden. Het betreft alle persoonsgegevens van diplomawaardering voor inburgeraars sinds de start van de applicatie op 1 februari 2017. Dit zijn circa 18.000 personen. De persoonsgegevens hebben sinds 11 augustus 2020 in de testomgeving gestaan.
Na een eerste analyse van het datalek is op 12 februari jl. door Nuffic, na overleg met SBB, een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens en voorts een melding bij het meldpunt datalekken DUO. De huidige leverancier heeft de persoonsgegevens uit de testomgeving verwijderd. De nieuwe leverancier heeft de ontvangen testbe-standen onmiddellijk verwijderd, ook uit de back-ups. 15 februari jl. zijn SZW en DUO nader geïnformeerd door Nuffic en SBB.
De betrokkenen van wie de persoonsgegevens zijn gebruikt, zijn op 8 maart 2021 geïnformeerd. Gezien de achtergrond van betrokkenen wordt de informatie in het Nederlands en Engels aangeboden en zijn vertalingen beschikbaar in het Arabisch, Frans en Farsi. Er is voor hen een telefonische helpdesk ingericht waar de betrokkenen terecht kunnen met vragen. Nuffic en SBB laten momenteel een extern onderzoek uitvoeren. Doel van dit onderzoek is enerzijds om te achterhalen waarom er iets is misgegaan bij het anonimiseren en anderzijds om zo veel als mogelijk is uit te sluiten dat er misbruik is gemaakt van de gegevens. Met de nieuwe leverancier van het diplomawaarderingssysteem zijn door Nuffic afspraken gemaakt die ervoor moeten zorgen dat dit niet meer kan voorkomen.
De Minister van Onderwijs, Cultuur en Wetenschap,
I.K. van Engelshoven
Tweede Kamer, vergaderjaar 2020-2021, 32 761, nr. 179 2
The EU Monitor enables its users to keep track of the European process of lawmaking, focusing on the relevant dossiers. It automatically signals developments in your chosen topics of interest. Apologies to unregistered users, we can no longer add new users.This service will discontinue in the near future.