Gegevens niet inzichtelijk
DUO betreurt dat de e-mailadressen korte tijd konden worden achterhaald. Omdat hiervoor specialistische kennis nodig was, hebben respondenten en anderen die informatie niet gezien. Ook de reacties op de enquête zijn niet toegankelijk geweest. DUO heeft als opdrachtgever toch direct nadat het lek aan het licht kwam een melding gedaan bij de Autoriteit Persoonsgegevens (AP).
Zorgvuldige omgang met gegevens
DUO doet verschillende soorten onderzoeken, bijvoorbeeld nagaan of het gevoerde beleid goed werkt of hoe de dienstverlening beter kan. In dit geval gebeurde dit via een enquête door een gespecialiseerd bedrijf. DUO staat daarbij voor een zorgvuldige omgang met de gegevens van haar klanten, zodat de privacy gewaarborgd is. Op grond van de Algemene Verordening Gegevensbescherming (AVG) kan DUO bepaalde (delen van) processen uitbesteden aan derde partijen, bijvoorbeeld omdat deze partijen veel expertise hebben op een bepaald gebied. Hierbij stelt DUO strenge eisen aan deze partijen, onder andere op het gebied van privacy en beveiliging.
Genomen maatregelen
De samenwerking met Survalyzer hebben we gepauzeerd. Tijdens de pauze bleek al snel dat het datalek werd veroorzaakt door een menselijke fout na een update van de enquête software. Inmiddels zijn er verschillende tests en externe onderzoeken geweest. Er zijn garanties afgegeven om herhaling te voorkomen. Daarom kan Survalyzer nu weer verder met het versturen van enquêtes. De genoemde enquête wordt na de zomer opnieuw verstuurd.