Als er op school iets lekt dan ben je voorbereid: je belt de loodgieter, de verzekeraar, geeft lokaalwijzigingen door. Maar wat als er data lekt? Hoe zit het met die meldplicht? En met boetes? 

1. Wat is een datalek?

Als iemand toegang heeft tot persoonsgegevens terwijl dat niet mag, dan spreken we over een datalek. Een heel ruim begrip dus. Een klassiek voorbeeld van een datalek is een hack waarbij persoonsgegevens gestolen worden. Maar ook het verliezen van een usb-stick met daarop gegevens van leerlingen, is een datalek.

Als de kraan lekt bel je de loodgieter en de verzekeraar, maar wat als er data lekt?
Als de kraan lekt bel je de loodgieter en de verzekeraar, maar wat als er data lekt? © istock

2. Waarom is een datalek (voor mij) vervelend?

Het bevoegd gezag van een school is verantwoordelijk voor de bescherming van persoonsgegevens van leerlingen en personeel. Een medewerker hoort een usb-stick met leerlingzorgdossiers niet in de trein te laten liggen. Dit is een voorbeeld van een (dramatisch) datalek. 

Het is vervelend voor de leerlingen (en hun ouders) wiens persoonsgegevens op straat komen te liggen. Maar ook de school kan er last van krijgen. Datalekken kunnen op flinke media-aandacht, en bijbehorende imagoschade, rekenen.

Daarnaast is op 1 januari 2016 de wet meldplicht datalekken ingegaan. Die wet geeft de privacytoezichthouder Autoriteit Persoonsgegevens (AP) een verzwaarde boetebevoegdheid. Het niet (tijdig) melden van een datalek kan bestraft worden met een boete van maximaal 810.000 euro of een boete van 10 procent van de omzet van de organisatie.

3. Welke datalekken moet ik melden?

Niet alle datalekken hoeven te worden gemeld. De meldplicht is van toepassing op datalekken die plaatsvinden in gegevensbestanden waarvoor je als school verantwoordelijk bent: een excelsheet met NAW-gegevens van klas 3a, de database met personeelsgegevens.

Daarnaast moet er sprake zijn van een inbreuk op de beveiliging van persoonsgegevens die kan leiden tot ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens. Dat is bijvoorbeeld het geval als een hele database met leerlinggegevens is gehackt, of bij het lekken van bijzondere persoonsgegevens zoals medische gegevens. Dan dient het lek binnen twee werkdagen gemeld te worden bij de AP.

In sommige gevallen moet je een datalek niet alleen bij de AP maar ook bij de benadeelde melden. Was de verloren usb-stick niet beveiligd of waren de gehackte gegevens niet geëncrypt? En zal het datalek waarschijnlijk ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokkene? Als er geen zwaarwegende redenen zijn tegen het melden van het lek aan de betrokkenen, ben je ook verplicht het datalek aan hen te melden.

4. Wat moet ik doen als er een datalek is bij een leverancier?

Waarschijnlijk maak je als school gebruik van één of meerdere 'verwerkers'. Dit zijn leveranciers die in jouw opdracht persoonsgegevens opslaan, verwerken of verzamelen. Hierbij moet je denken aan de aanbieder van het online leerlingvolgsysteem, het leerlingadministratiesysteem maar ook de cloudoplossing voor de loonadministratie. Ook wanneer zich bij een van jouw bewerkers (leveranciers) een datalek voordoet ben je, als verantwoordelijke, verplicht een melding te doen van het lek.

5. Wat moet ik allemaal regelen?

Meer weten?

Lees op de website van de AP meer over de Conceptrichtsnoeren meldplicht datalekken. Gebruik onze aanpak informatiebeveiliging en privacy om je school voor te bereiden. 

Deel 5 x dit moet je als school doen bij datalekken

Delen
  • LinkedIn
  • Twitter
  • Facebook
  • Google+
  • E-mail
  • Terug