Bij een datalek van Dienst Uitvoering Onderwijs (DUO) zijn de mailadressen van 60 duizend mensen met een openstaande studieschuld gelekt. Dit heeft een ethische hacker aan DUO gemeld. 

Op donderdag 30 mei stuurde DUO een vragenlijst naar personen met een studieschuld over hun financiële situatie. De software van deze vragenlijst was van Survalyzer, een Zwitsers bedrijf. Gaten in de beveiliging van deze software leidden tot deze datalek. Dit werd diezelfde avond ontdekt door een ethische hacker, die er direct een melding van heeft gedaan. De vragenlijsten en bijbehorende gegevens zijn de volgende dag offline gehaald en het datalek is gemeld bij de Autoriteit Persoonsgegevens (AP).

De hacker had inzage in de mailadressen en kon hier in veel gevallen uit herleiden wie de schuldenaren waren.  DUO had ook enquêtes verstuurd met software van Survalyzer naar onder andere verschillende scholen, gemeenten en hun eigen personeel. Deze gegevens lagen dus ook op straat. 

Onacceptabel 

De Landelijke Studentenvakbond (LSVb) vindt dit incident erg kwalijk van DUO. De voorzitter, Elisa Weehuizen, gaf aan dat er bij veel studenten schaamte heerst wat betreft hun studieschuld. 

Consequenties online veiligheid

Doordat deze gevoelige informatie van oud-studenten tijdelijk op straat heeft gelegen, kunnen de terugbetalers sneller slachtoffer worden van online fraude, meldt beveiligingsdeskundige Roos Dijkxhoorn aan BNR. Bovendien plaatst zij vraagtekens bij het feit dat DUO persoonlijke data van mensen met een openstaande studieschuld heeft gedeeld met dit commerciële bedrijf.