Je raakt je laptop kwijt met leerlingdossiers, is dit een datalek of een beveiligingsincident? In dit geval spreken we van een datalek. Het is belangrijk om het verschil te weten tussen een datalek en een beveiligingsincident. 

Datalek of beveiligingsincident

We spreken van een beveiligingsincident als er iets gebeurt met informatie of informatiesystemen, waarbij de kans aanwezig is dat de vertrouwelijkheid, de integriteit of de beschikbaarheid hiervan in gevaar is, of kan komen. 

Bij een datalek gaat het juist om een beveiligingsincident dat gevolgen heeft voor persoonsgegevens, waarbij de kans aanwezig is dat anderen zonder toestemming toegang hebben hebben tot deze informatie. Het risico is dan groot dat zij deze informatie zomaar kunnen vernietigen, wijzigen of verspreiden. Denk bijvoorbeeld aan:

Conclusie: alle datalekken zijn beveiligingsincidenten, maar niet alle beveiligingsincidenten zijn datalekken. 

Scholen zijn verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens © Anne Carolien Kohler / Kennisnet

Schade door een datalek

Het is duidelijk dat een datalek schade kan veroorzaken. Bovendien betekent dit ook dat de genomen beveiligingsmaatregelen niet goed werken. Dit kan grote gevolgen hebben voor de school, maar ook voor degene van wie de persoonsgegevens zijn. Zij verliezen de controle over hun persoonsgegevens, dit kan leiden tot:

Voor de school kan een datalek ook negatieve gevolgen hebben, zoals negatieve (media)aandacht en imagoschade.

Datalekken melden

Als je op school een datalek hebt, dan is het belangrijk dat je dit binnen 72 uur meldt bij de Autoriteit Persoonsgegevens (AP). Dit moet ook als het datalek plaatsvindt bij een leverancier of dienstverlener die persoonsgegevens voor je verwerkt. Een schoolbestuurder of een functionaris gegevensbescherming op jouw school (FG) doet de melding bij de AP. In een aantal gevallen moet je ook de betrokkenen informeren.

Na je melding, onderzoekt de AP  hoe het datalek is ontstaan, welke maatregelen je hebt genomen om het te voorkomen en hoe je het datalek afhandelt. Wanneer de AP constateert dat je niet zorgvuldig handelt of hebt gehandeld, kan de AP een boete opleggen.. 

Hulpmiddelen 

Het is dus belangrijk dat je je bewust bent van mogelijke datalekken, de risico’s van een datalek maar nog belangrijker: hoe voorkom je dit?  Om jou op weg te helpen is de aanpak IBP ontwikkeld. Deze aanpak biedt hulpmiddelen zodat jij weet hoe je met de verwerking van persoonsgegevens moet omgaan.  

Belangrijke punten uit de aanpak IBP om datalekken te voorkomen:

Communicatie

Wanneer je ondanks alle beveiligingsmaatregelen toch te maken krijgt met een datalek is het belangrijk om duidelijk te communiceren met de AP, de betrokkenen en de media. Het is belangrijk dat je op school bekendmaakt welke (kern)groep zich met datalekken zal bezighouden en wie communiceert namens de school.

Meer weten?

Lees op de website van de AP meer over de Conceptrichtsnoeren meldplicht datalekken. Gebruik onze aanpak informatiebeveiliging en privacy om je school voor te bereiden. 

Deel Meldplicht datalekken: Een datalek op school? Dit moet je weten

Delen
  • LinkedIn
  • Twitter
  • Facebook
  • Google+
  • E-mail
  • Terug