Sinds 1 januari 2016 moeten bedrijven en overheidsinstellingen - dus ook scholen - het in veel gevallen melden als er persoonsgegevens zijn gelekt. Dat lekken kan op diverse manieren gebeuren, vertelde Commandeur.

"Een veel voorkomende manier - niet alleen in het onderwijs - is als iemand een usb-stick met gegevens verliest. Ook komt het nogal eens voor dat mensen hun laptop even op het dak van hun auto zetten bij het instappen. En dat dan vervolgens vergeten." Verder kunnen persoonsgegevens bijvoorbeeld worden gestolen door hackers.

Nog steeds ontstaan er datalekken omdat usb-sticks met persoonsgegevens worden verloren © iStock

E-mailadressen van ouders: soms gevoelig, soms niet

Instellingen waar een datalek plaatsvindt, moeten eerst bepalen of de gelekte persoonsgegevens gevoelig zijn. En dat is maatwerk. "Een lijst met e-mailadressen van de ouders van groep 7 zal in de regel niet erg gevoelig zijn", zegt Commandeur. "Tenzij één van die kinderen met zijn ouder in een blijf-van-mijn-lijfhuis zit." En of iemand lid is van een sportclub, lijkt ook niet zo interessant. "Tenzij een van die sportclubs alleen open staat voor personen met een bepaalde geaardheid. Je zult de gevoeligheid van de gegevens van geval tot geval moeten bekijken."

Datalek melden binnen 72 uur

Heeft het datalek een 'aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens', dan moet dit binnen 72 uur na ontdekking worden gemeld aan de Autoriteit Persoonsgegevens. Deze kan nader onderzoek instellen of, in uiterste instantie, boetes opleggen. Dat laatste is nog niet gebeurd, omdat de meldplicht pas sinds 1 januari van kracht is.

Datalekken moeten worden gemeld aan betrokkenen

Datalekken moeten ook worden gemeld aan de betrokkenen, als deze tenminste de kans lopen om schade van het lek te ondervinden. "Als bijvoorbeeld een verloren usb-stick is beveiligd met encryptie, hoeft het verlies daarvan niet zo snel te worden gemeld aan de betrokkenen van wie de data op die stick staan", zegt Commandeur. Maar als er gegevens van de gebruikers met naam en toenaam op staat liggen, moet dat uiteraard wel gemeld worden. "Want de gebruikers moeten zich tegen eventuele gevolgen van het datalek kunnen beschermen."

De school kan zelf kiezen op welke manier de betrokkenen worden geïnformeerd: met een brief, een e-mail of bijvoorbeeld op een informatieavond. "Maar de school moet er zichtbaar moeite in steken", waarschuwt Commandeur.

Voorkomen is beter dan genezen, adviseert Commandeur: "De vraag is niet óf je te maken krijgt met een datalek: de vraag is wannéér. Je kunt jezelf er dus maar beter op voorbereiden." In de eerste plaats door de beveiliging op te schroeven. "Ik verbaas me er over dat er, anno 2016, nog steeds gevoelige gegevens op onbeveiligde usb-sticks worden gezet. Zorg ook dat laptops eventueel op afstand te wissen zijn."

'Wat je niet hebt, kun je niet kwijtraken'

Vraag je ook af welke gegevens je wilt verzamelen, adviseert Commandeur. "Wat je niet hebt, kun je niet kwijtraken. En bewaar gegevens niet langer dan strikt noodzakelijk." De belangrijkste tip is echter: zorg voor een rampenplan. "Op een datalek kunt je je voorbereiden. Uit ervaring weten we dat een oefening op het droge veel voordeel geeft wanneer er écht nood aan de man is."

'Maak informatiebeveiliging concreet'

"Maak het onderwerp informatiebeveiliging concreet binnen je school" adviseert Jeroen Wittink, adviseur privacy en informatieveiligheid van het bedrijf Factor 50. "Maak een top-5 van de risico's, en breng van elk risico de oorzaken en gevolgen in kaart. En neem op elk van die punten dan specifieke maatregelen. Zo vertaal je het abstracte onderwerp 'informatiebeveiliging' naar concreet gedrag."

Online cursus informatiebeveiliging

"Informatiebeveiliging is geen gemakkelijk onderwerp", zei Toine Maes, directeur van Kennisnet, op de conferentie. "We proberen scholen op dit gebied te ondersteunen, door bijvoorbeeld het afsluiten van een privacyconvenant." Daarnaast heeft Kennisnet nu de online Aanpak IBP (informatiebeveiliging en privacy) ontwikkeld. Een cursus waarin deelnemers leren om informatiebeveiliging op school goed op poten te zetten.

"Op 25 mei 2018 moeten scholen voldoen aan een nieuwe Europese regels voor informatiebeveiliging en privacy, maar eigenlijk is er al sinds 2001 een wettelijke verplichting om het op orde te hebben", zeggen Job Vos en Axel Eissens van Kennisnet.

"Willen scholen in de toekomst nóg beter en effectiever gebruik blijven maken ict in het onderwijs, en de data in die systemen slim toepassen, dan is het belangrijk om informatiebeveiliging en privacy nu op orde te krijgen. Kennisnet wil daarin ondersteunen."

Doe de online cursus

In de online cursus leren onderwijsinstellingen in 3 stappen - beleid, realisatie en communicatie - die informatiebeveiliging en privacy goed te regelen. De cursus kan in gedeelten worden gevolgd en bevat ook templates voor beleidsdocumenten.

Je vindt de online 'Aanpak IBP' op Wikiwijs: het onderwijsplatform waar je leermiddelen zoekt, maakt en vergelijkt. Lees ook het artikel '5 x dit moet je als school doen bij datalekken'. En lees meer over de meldplicht datalekken op de website van de Autoriteit Persoonsgegevens.

Rob Voorwinden is freelance journalist.

Deel Autoriteit Persoonsgegevens: '126 datalekken gemeld door onderwijs'

Delen
  • LinkedIn
  • Twitter
  • Facebook
  • Google+
  • E-mail
  • Terug