De Stichting Commissie Watersport Opleidingen (CWO) heeft een groot datalek gemeld bij de Autoriteit Persoonsgegevens nadat bleek dat de volledige CWO-database zonder toestemming is opgenomen in een systeem in gebruik van het Koninklijk Nederlands Watersport Verbond (KNWV). KNWV wijst er op dat er geen gegevens openbaar geworden of vrij toegankelijk geweest voor onbevoegde derden.
Het gaat om ongeoorloofde toe-eigening van persoonsgegevens van meer dan 66.000 gebruikers en informatie over ruim 99.000 watersportdiploma’s. De gegevens omvatten onder andere naam-, geboortedata, behaalde diploma’s, leslocaties en unieke lidnummers die door de CWO aan gebruikers zijn gekoppeld.
Datalek in kader van AVG
De CWO ontdekte dit nadat een medewerker door het KNWV werd uitgenodigd om in te loggen in het betreffende systeem. Bij vergelijking van de daar getoonde gegevens met de officiële CWO-omgeving is vastgesteld dat zowel de online omgeving als de data nagenoeg één-op-één overeenkomen. Zelfs de unieke lidnummers die uitsluitend door de CWO worden toegekend, bleken identiek te zijn. De CWO heeft nooit toestemming gegeven voor het kopiëren, overnemen of gebruiken van de volledige database. Door een extern ICT-expert is vastgesteld dat sprake is van een datalek in het kader van de Algemene Verordening Gegevensbescherming (AVG). Direct na de ontdekking is noodzakelijkerwijs melding gedaan bij de Autoriteit Persoonsgegevens.
Juridische stappen
De CWO heeft daarnaast juridische stappen moeten ondernemen. De betrokken partijen (KNWV en de ICT-leverancier) zijn door een advocaat aangeschreven en aansprakelijk gesteld voor alle schade die voortvloeit uit het zonder toestemming gebruiken of laten gebruiken van de CWO-data. Daarbij is gesommeerd om het gebruik van de betreffende data per direct en blijvend te staken, de database te vernietigen en om schriftelijk te verklaren hoe deze situatie heeft kunnen ontstaan.
Integriteit
CWO hecht grote waarde aan de zorgvuldige omgang met persoonsgegevens en betreurt dat dit heeft kunnen gebeuren. “We zijn verbijsterd. Er is nu nog veel onduidelijk. Uiteraard hebben we direct de CWO-locaties geïnformeerd met wat we nu weten. Het is nog niet volledig bekend wanneer, hoe en door wie de overzetting heeft plaats gevonden. Dat is onderdeel van het onderzoek dat nu volop gaande is. Integriteit staat daarbij voorop; we moeten onze leden en hun instructeurs en cursisten beschermen. Consumenten hoeven echter op dit moment weinig te vrezen: de gegevens staan achter een inlog en zijn niet in de openbaarheid”, aldus Erwin Schippers, bestuurder bij de CWO.
Achtergrondinformatie
De Stichting Commissie Watersport Opleidingen (CWO) werd ruim 30 jaar geleden opgericht als een samenwerkingsverband tussen ANWB, KNWV, HISWA en RECRON. De CWO heeft als doel een uniform diplomasysteem voor vrijwillige vaaropleidingen in te richten en in stand te houden. Zo zijn er opleidingen en diploma’s voor bijna elke watersportdiscipline. Naast diploma’s voor watersporters, verzorgt de CWO ook de opleidingen en certificering voor instructeurs en opleiders.
In 2024 werd door een afsplitsing van een aantal vaarscholen de vereniging Nationaal Watersport Diploma (NWD) opgericht met een eigen diplomalijn. Het KNWV koos eind 2025 ervoor om uit de CWO te treden en verder te gaan met de NWD.
Meer informatie: cwo.nl/ongeoorloofd-gebruik-database
Reactie Watersportverbond (toegevoegd op 14 februari)
Het Koninklijk Nederlands Watersport Verbond heeft kennisgenomen van de recente berichtgeving van de Commissie Watersport Opleidingen (CWO) en HISWA-RECRON over een vermeend ‘groot datalek’. Wij herkennen ons niet in deze kwalificatie en vinden het belangrijk om de feiten zorgvuldig te duiden. In een periode waarin verschillende organisaties betrokken zijn bij een lopend juridisch traject, kiest het Watersportverbond voor een korte reactie. Het is van mening dat niemand erbij gebaat is dat sectororganisaties in de watersport elkaar publiekelijk verwijten maken.
Geen aanwijzingen voor onbevoegde openbaarmaking
Er zijn geen gegevens openbaar geworden of vrij toegankelijk geweest voor onbevoegde derden. De betreffende informatie bevindt zich binnen een beveiligde digitale omgeving met toegangscontrole. Ook in de communicatie van de CWO zelf wordt al meteen vermeld dat de gegevens achter een inlog staan. Daarmee vervalt feitelijk direct de kwalificatie van een datalek. Het gaat hier om een interne, beveiligde database waarvoor uitgebreide maatregelen zijn genomen om gegevens te anonimiseren. Het Watersportverbond blijft zich inzetten voor een zorgvuldige omgang met persoonsgegevens en blijft haar beveiligingsmaatregelen continu toetsen.
Toegang en interpretatie van informatie
Het Watersportverbond stelt vast dat er toegang is verkregen door een medewerker van de CWO tot een omgeving van het Verbond waarvoor geen toestemming was verleend. Wij onderzoeken de omstandigheden rondom deze toegang zorgvuldig en gaan hierover waar nodig in gesprek met de betrokken partijen. Voor het Watersportverbond staat voorop dat discussies over systemen en data op een transparante en respectvolle manier worden gevoerd, met oog voor elkaars verantwoordelijkheden.
Oproep tot zorgvuldigheid in communicatie
De huidige situatie staat niet los van het bredere verschil van inzicht dat is ontstaan na het terugtreden van het Watersportverbond uit de CWO. Juist daarom vindt het Watersportverbond het belangrijk dat alle betrokken organisaties terughoudend en feitelijk communiceren, zodat onnodige onrust binnen de sector wordt voorkomen. Arno van Gerven (directeur Watersportverbond): “Collega-directeur Geert Dijks (HISWA-RECRON) reageert vandaag ook weer stevig in de media. Ik ga mij daar nu van distantiëren. Helaas hebben CWO en HISWA-RECRON de hele situatie rond de CWO tot een juridisch traject gemaakt en dat moet nu een vervolg krijgen. Dit zien wij met vertrouwen tegemoet na ook de eerste uitspraak van de rechter afgelopen december.”
Bron en meer informatie; www.watersportverbond.nl