Dienst Uitvoering Onderwijs biedt identiteiten aan ter overname
Via de website van de Dienst Uitvoering Onderwijs (DUO), voorheen de Informatiebeheergroep (IB-groep), is privacy-gevoelige informatie gelekt, zo meldt het RTL Nieuws. Privacy-gevoelige informatie? Dat blijkt nogal een understatement.
RTL Nieuws legt vooral de nadruk op het feit dat men de studieschuld van iemand anders te zien kan krijgen en wat die persoon studeert. De werkelijke omvang van de ramp is groter.
Ik ben, student zijnde, zelf even ingelogd om te kijken welke gegevens er allemaal ingezien kunnen worden via dit systeem. Dat is een lange waslijst:
- Voorletters en achternaam
- Burgerservicenummer (BSN)
- Correspondentienummer (O&W-nummer)
- Geboortedatum
- Adres gemeentelijke basisadministratie
- Woonadres studiefinanciering
- Postadres studiefinanciering
- Woonsituatie
- Rekeningnummer
- Aangevraagde studiefinanciering
- Onderwijsinstelling
- Opleiding, inclusief begin- en einddatum
- Geplande uitbetalingen studiefinanciering per maand, uitgesplitst naar basisbeurs en aanvullende beurs
- OV-abonnement, inclusief begin-, eind- en activatiedatum
- Studieschuld, uitgesplitst naar lening, voorlopige lening en voorlopige lening reisrecht
- Overzicht ontvangen post, inclusief berichtinhoud indien papieren post is uitgeschakeld
- E-mailadres
- Keuze voor papieren post of online post
- Keuze wel/geen nieuws per e-mail
- Tijdstip vorig inlogmoment
Al deze gegevens worden dus aan een vreemde gegeven. Aangezien de sessies zijn verwisseld, kunnen de gegevens theoretisch ook worden gewijzigd door die vreemde. Voor de duidelijkheid: al deze gegevens zijn in te zien via het systeem van DUO zelf, dus toegang tot het DigiD van het slachtoffer is niet nodig, ook niet voor bijvoorbeeld het BSN.
Al met al is dit geen klein vervelend datalekje: dit lijkt mij ruim voldoende om identiteiten van studenten te stelen. Er zijn in elk geval mensen voor minder veertig keer onschuldig gearresteerd.