Twee Canadese privacytoezichthouders hebben scholen in het land op de vingers getikt wegens een zeer groot datalek waarbij de gegevens van miljoenen leerlingen in de handen van een aanvaller kwamen. De gegevens werden gelekt door software- en cloudleverancier PowerSchool, maar volgens de toezichthouders hadden Canadese scholen ook een aandeel in het datalek.

PowerSchool is een zeer grote aanbieder van software en cloudoplossingen voor onderwijsinstellingen. Het claimt dat meer dan zestig miljoen leerlingen in meer dan negentig landen gebruikmaken van de diensten van het bedrijf. Vorig jaar werd PowerSchool slachtoffer van een aanval waarbij miljoenen records met persoonlijke informatie van miljoenen studenten en leraren werden buitgemaakt. Vervolgens eiste de aanvaller een bedrag van 2,85 miljoen dollar, anders zou hij de gestolen data openbaar maken.

PowerSchool betaalde losgeld, maar het exacte bedrag is niet bekend. Het bedrijf zou daarna de 'garantie' hebben gekregen dat de data was vernietigd, maar begin dit jaar werden individuele scholen en schooldistricten met de gestolen gegevens afgeperst. Volgens PowerSchool wist de aanvaller inloggegevens van een contractor te stelen die voor het bedrijf werkzaam was. Hoe dit werd gedaan is niet bekend.

Met de gestolen inloggegevens kon de aanvaller inloggen op een PowerSchool-omgeving en de data buitmaken. Vorige maand werd een 20-jarige Amerikaanse man wegens de inbraak bij PowerSchool veroordeeld tot een gevangenisstraf van 4 jaar en het betalen van 14 miljoen dollar. Volgens de privacytoezichthouders van de Canadese provincies Ontario en Alberta hadden Canadese scholen ook een aandeel in het datalek.

De scholen hadden namelijk bepaalde privacy- en securitygerelateerde bepalingen niet in hun contract met PowerSchool opgenomen. Daarnaast ontbraken beleid en procedures om de technische en veiligheidswaarborgen van PowerSchool te monitoren, om er zo voor te zorgen dat het bedrijf zich aan de contractsvoorwaarden hield, waaronder rechten voor remote personeel en het gebruik van multifactorauthenticatie. Tevens was de remote toegang van PowerSchool-personeel tot de informatie van leerlingen niet beperkt en ontbraken plannen en protocollen om op datalekken te reageren.

De privacytoezichthouders roepen overheden op om de onderwijssector te ondersteunen, door hun inkoopmacht te gebruiken voor het versterken van de onderhandelingspositie van onderwijsinstellingen, wanneer die met serviceproviders onderhandelen. Scholen zouden zo strengere eisen aan aanbieders kunnen stellen en op deze manier aan de privacywetgeving kunnen voldoen.