2min

Het ministerie van Sociale Zaken en Werkgelegenheid meldt een mogelijk datalek bij de uitvoering van diplomawaardering als onderdeel van het inburgeringsstelsel. De persoonsgegevens zijn door een externe partij gezien die daar geen toegang toe had moeten hebben.

Minister Ingrid van Engelshoven heeft het datalek middels een Kamerbrief aangekondigd. Daarin staat dat het gaat om een lek bij Nuffic. Potentiële immigranten kunnen als onderdeel van hun inburgering hun buitenlandse diploma’s laten controleren door Nuffic. Die organisatie bepaalt vervolgens wat die diploma’s waard zijn op de Nederlandse arbeidsmarkt.

Nuffic

Nuffic draait op een digitaal aanvraagsysteem. Een Nederlands bedrijf met een vestiging in Servië, waar onder andere testers en ontwikkelaars van de software actief zijn, heeft het systeem gebouwd. Om die aan de software van Nuffic te laten werken, krijgen zij toegang tot geanonimiseerde persoonsgegevens. Buiten de Europese Unie mogen immers geen Europese persoonsgegevens verwerkt worden.

Gegevens zichtbaar voor werknemers buiten EU

Door een fout in het script dat de persoonsgegevens moest anonimiseren, waren gegevens zichtbaar in de testomgeving in Servië. Ongeveer 60 medewerkers van de Servische afdeling hebben toegang tot die gegevens gehad. Al die medewerkers hebben een verklaring ondertekend dat ze gegevens van hun werk niet openbaar zouden maken, maar hiermee is niet te garanderen dat dit niet alsnog gebeurd is. Er is overigens ook geen indicatie om aan te nemen dat dit wel het geval is.

Betrokken partijen ingelicht

De gegevens van alle 18.000 personen die sinds 1 februari 2017 gebruikgemaakt hebben van de het diplomawaarderingssysteem waren toegankelijk voor de Servische werknemers. Deze gegevens stonden sinds 11 augustus 2020 in de testomgeving. Inmiddels zijn die gegevens daar weer verwijderd en is de Autoriteit Persoonsgegevens ingelicht. Ook de betrokkenen van wie de persoonsgegevens gebruikt zijn, hebben hierover bericht gehad.

Lek valt in het niets bij recent GGD-lek

Aangenomen dat de medewerkers in Servië niets met de persoonsgegevens hebben gedaan, lijkt de omvang van het lek mee te vallen. Het recente lek bij de GGD was aanzienlijk groter. Hierbij hadden duizenden medewerkers toegang tot de gegevens van miljoenen Nederlanders in een omgeving die bovendien een exportfunctie bood. Er bleek in dat geval al een levendige handel in de persoonsgegevens ontstaan te zijn.