Door een bekende kwetsbaarheid in ssl 3.0 zijn de vorderingen van vrijwel alle kinderen op de basisschool wekenlang inzichtelijk geweest. Desondanks zou er geen misbruik zijn gemaakt van het lek, zo meldt RTL Nieuws vrijdagavond. Het lek zat in een server die uitgevers gebruiken voor Basispoort, een softwareprogramma waarin de prestaties van basisschoolleerlingen worden opgeslagen. Dat programma is van een gezamenlijke stichting van uitgevers Malmberg, Zwijsen, ThiemeMeulenhoff en Noordhoff.
Een ict-expert tipte RTL Nieuws, die erachter kwam dat het om een bekend lek ging. Het Nationaal Cyber Security Center waarschuwde daar vorige maand al voor. Het gaat om de bug Poodle, een kwetsbaarheid in het ssl 3.0-protocol. Veel browsers en servers zijn daarvoor vatbaar, omdat ze nog steeds de achttien jaar oude versie ondersteunen.
Hoewel het probleem al enkele weken bekend is, werd het lek volgens RTL Nieuws donderdagmiddag pas gedicht. Er zou die tijd geen ongeoorloofd gebruik zijn geconstateerd. Alleen internetgebruikers van verouderde besturingssystemen en browsers, zoals Windows XP en Internet Explorer 6, waren kwetsbaar. Het is de tweede keer in ??n week tijd dat Basispoort in het nieuws is. Eerder gebeurde dat al nadat bleek dat de genoemde uitgevers de vorderingen van vrijwel alle kinderen verwerken met hun software, terwijl ze daarvoor geen toestemming vroegen aan ouders. De vorderingen worden met naam en toenaam opgeslagen.
ICT-deskundige Brenno de Winter vindt het niet kunnen dat een server met zulke gevoelige gegevens zo lang niet goed beveiligd was: “De server is niet up to date. Niet alleen op dit punt. In de uitgeverijen gaat veel geld om. Je zou verwachten dat een site met persoonsgegevens van kinderen aan alle veiligheidseisen voldoet”, zegt De Winter.
Een woordvoerder van het ministerie van Onderwijs laat weten dat het ministerie de zaak ‘op de voet’ volgt. “Maar scholen zijn zelf verantwoordelijk voor de software die ze gebruiken”, zegt de woordvoerder.
Uitgevers willen uitleg geven aan de Kamer dat de gegevens van leerlingen niet zomaar op straat liggen. Dit naar aanleiding van?het bericht van RTL Nieuws dat basisscholen op grote schaal priv?gegevens over leerlingen doorsluizen naar educatieve uitgeverijen. Volgens experts overtreden de scholen en uitgevers daarmee de Wet bescherming persoonsgegevens (Wbp). De Groep Educatieve Uitgeverijen (GEU) wil nu een technische briefing met Kamerleden hoe de gegevensverwerking precies werkt en welke maatregelen de uitgeverijen nemen om de privacy te waarborgen.