Według informacji dziennika "Sunday Times" umowę na dostęp do danych z zewnętrzną firmą podpisała spółka analityczna GB Group, której klienci to m.in. firmy bukmacherskie takie jak Betfair czy 32Red, wykorzystujące pozyskane dane uczniów do weryfikacji wieku przy dostępie do oferowanych przez nie usług internetowych.
Zewnętrzna firma, która miała umożliwić GB Group pozyskanie danych to Trust System Software (znana także jako Trustopia). Jej przedstawiciele zaprzeczają jednak winie spółki. Wyjaśnieniem sprawy zajmuje się obecnie brytyjski resort edukacji, który miał o zdarzeniu poinformować odpowiednie organy (Biuro Komisarza ds. Informacji, ICO), a także zablokować jakikolwiek zewnętrzny dostęp do danych uczniów.
- zapowiedział w rozmowie z gazetą rzecznik resortu edukacji.
Rzeczniczka praw dziecka na terenie Anglii Anne Longfield w wypowiedzi cytowanej przez media stwierdziła, że jest zszokowana informacjami o tym, że dane uczniów mogły zostać przekazane zewnętrznym podmiotom "w taki sposób".
Serwis Infosecurity Magazine zwraca uwagę, że choć dane wykorzystywane przez firmy bukmacherskie były bardzo ograniczone, dotyczą one dużej liczby dzieci - cały incydent może zatem być kwalifikowany jako poważne naruszenie przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO), którego przepisy obowiązują również w Wielkiej Brytanii
