Tientallen medewerkers van DUO hadden in 2017 ten onrechte toegang tot privacygevoelige informatie van studenten. Een datalek dat had moeten worden gemeld, vindt de Algemene Rekenkamer. DUO en de minister zijn het daar niet mee eens.
De Rekenkamer heeft zich over de jaarverslagen van de ministeries gebogen en geconstateerd dat verschillende overheidsinstanties de beveiliging van hun computersystemen niet op orde hadden. Zo ook de Dienst Uitvoering Onderwijs, die onder meer de studiefinanciering uitkeert aan studenten en de schulden int bij terugbetalers.
Privacygevoelig
DUO was de afgelopen tijd druk bezig met het overzetten van data naar een nieuw ICT-systeem en daarbij ging het vorig jaar mis, schrijft de Rekenkamer. Er was sprake van een te ruim autorisatiebeheer, dat wil zeggen dat medewerkers tijdelijk bevoegdheden hadden die ze eigenlijk niet hoorden te hebben. Hierdoor hadden zij theoretisch de mogelijkheid om onbevoegd kennis te nemen van privacygevoelige informatie van studenten, ‘hetgeen al snel is te kwalificeren als een datalek’, schrijft de Rekenkamer.
Of deze DUO-medewerkers ook daadwerkelijk informatie hebben ingezien is niet bekend. De Rekenkamer vindt desondanks dat DUO het vermeende datalek had moeten melden bij de Autoriteit Persoonsgegevens. Die eist namelijk dat dit gebeurt zodra men ‘redelijkerwijs niet kan uitsluiten dat een inbreuk op de beveiliging tot een onrechtmatige verwerking heeft geleid’.
Barbie
Geen sprake van, zegt DUO. Het gaat namelijk niet om een datalek, maar om een doorbreking van de functiescheiding’, zegt een woordvoerder. ‘Zo’n zeventig DUO-medewerkers die werkten aan de omzetting van het oude naar het nieuwe ICT-systeem, hadden tijdelijk toegang tot gegevens, terwijl dat volgens hun functie niet nodig was.’
De situatie is volgens haar niet vergelijkbaar met bijvoorbeeld het incident bij het Haga-Ziekenhuis, waar tientallen medewerkers het medische dossier van soapster Barbie opzettelijk hebben geraadpleegd terwijl ze niet bij haar zorg betrokken waren. ‘We hebben een protocol voor datalekken en dit valt hier niet onder.’ Minister Van Engelshoven is het met DUO eens, zo valt te lezen in haar reactie op het rapport van de Rekenkamer.
De Autoriteit Persoonsgegevens laat desgevraagd weten dat ze uitkomsten van het Rekenkameronderzoek zal bestuderen. ‘Ik kan niet ingaan op de vragen of het bij DUO om een datalek ging en of dit had moeten worden gemeld, we kennen de details niet’, aldus een woordvoerder.