'Ieder datalek is schadelijk', meent Job Vos, privacyexpert en functionaris gegevensbescherming bij Kennisnet. 'Het betekent namelijk dat je beveiligingsmaatregelen niet naar behoren werken. Je bent gegevens kwijt waarvan je niet wilt dat die in handen van derden komen.' Bij een lijst met alleen geboortedata is de persoonlijke schade uiteraard beperkt, maar het is kwalijker wanneer iemand een USB-stick met overstapdossiers verliest. Vos: 'Niet iedereen heeft altijd door dat er een beveiligingsprobleem is. Een verloren laptop of iPad betekent een datalek, net als een mail die naar een verkeerde geadresseerde is gestuurd. Dat soort foutjes komt voor, maar niet iedereen ziet het als een datalek. Het gaat om bewustwording. We spreken vaak over onbewust onbekwaam: iemand weet dan niet wat hij of zij niet goed doet. Als mensen bewust onbekwaam zijn (het belang van veiligheid wel zien, maar niet weten hoe ze daarvoor kunnen zorgen) kun je uitleggen wat ze kunnen doen om problemen te voorkomen.'

Een hand van een kind op een computermuis. Je weet niet wat leerlingen of anderen met leerlinggegevens doen.
Je wilt niet dat gegevens van jouw leerlingen op straat komen te liggen, elk datalek is schadelijk © Kennisnet / Rodney Kersten

Eigendom

'Als je een leerlingdossier beveiligd per mail verstuurt, moet je extra goed opletten', vult adviseur informatiebeveiliging Axel Eissens aan. 'Als school kun je faciliteren dat een e-mail niet direct wordt verstuurd zodat je nog even snel kunt checken of je echt het goede mailadres hebt gebruikt. Vroeger leek een dossier uitprinten en per post versturen wellicht veiliger, maar eigenlijk is persoonlijk overhandigen nog altijd het beste.' Veilig gedrag moet volgens hem standaard worden. 'Onbedoeld gaat er veel mis. Ook een leerkracht die vanuit de beste bedoelingen niet-geanonimiseerde gegevens naar een vertrouwde leverancier stuurt, is een datalek. Testgegevens moeten altijd anoniem zijn. Persoonsgegevens zijn eigendom van een leerling, een school past enkel op deze gegevens. Als je data van iemand anders moet bewaren, heb je de verantwoordelijkheid daar goed voor te zorgen.'

Niet bang, maar bewust

Vos en Eissens benadrukken dat scholen hun beveiliging op orde moeten hebben. Eissens: 'Informatie moet beveiligd zijn. Of het nu wel of niet om persoonsgegevens gaat, dat maakt niet uit. Het is in principe ook een lek als andere gegevens op straat komen te liggen. Als je privacy goed wilt organiseren, moet je ervoor zorgen dat de informatiebeveiliging geregeld is. Een hack is steeds makkelijker uit te voeren en de beveiliging op scholen loopt vaak achter op het bedrijfsleven. Dat betekent een risico. Bedenk maar: als ik geen antidiefstalstrip heb en de buurman wel, dan komen dieven bij mij binnen. Of er nu iets te halen valt of niet.' Vanaf 1 januari is de wet meldplicht datalekken van kracht. Die wet geeft de privacytoezichthouder Autoriteit Persoonsgegevens (AP) een verzwaarde boetebevoegdheid. Bij het niet (tijdig) melden van een datalek kan een school een boete krijgen die volgens de richtlijn van de AP kan oplopen tot 500.000 euro. Daarnaast kun je ook nog een boete tot 820.000 euro krijgen voor het lekken van de data zelf. Het gaat om schadelijke datalekken als 'er een aanzienlijke kans is op ernstige nadelige gevolgen'. Vos: 'Scholen hoeven niet meteen bang te zijn. Niet als ze hun zaken op orde hebben. Je krijgt als school vooral een boete als je een datalek niet op tijd meldt, niet per se omdat je een datalek hebt. Als je laat zien dat je bereid bent om mee te werken en aan de slag gaat het probleem op te lossen, blijft de schade vaak beperkt. Ik zeg altijd: wees niet bang maar bewust. Dat geldt ook voor de meldplicht, netjes melden moet. En je moet wat zaken regelen, liefst preventief. Wacht niet op het eerste datalek.'

Waardevolle informatie

Belangrijk is het onderscheid tussen een veiligheidsincident waarbij een hacker tot een database is gekomen en een privacydatalek waarbij persoonsgegevens op straat zijn komen te liggen. De wetgever heeft het over datalekken maar bedoelt eigenlijk privacydatalekken.

Eissens: 'Voor veiligheidsincidenten kun je een interne meldplicht instellen. Je kunt dan als school kijken of de beveiliging op orde is of niet, en eventueel maatregelen nemen. Het schoolbestuur moet inschatten of de personen wie het betreft, ernstig nadeel kunnen ondervinden van dat datalek. Dan moet je wel melden. Dat is in ieder geval verplicht als het om persoonsgegevens gaat.' De interne meldplicht is volgens Eissens een goede vingeroefening voor scholen. 'Je kunt dan samen bepalen of iets een veiligheidsincident is of niet en verantwoordelijkheid nemen. Voordeel van zo'n oefening is dat iedereen betrokken is bij het probleem en het oplossen daarvan. Melden is zinvol omdat het verbeteringen mogelijk maakt. Door meldingen serieus te nemen, heb je als school zicht op de hoeveelheid veiligheidsincidenten. Iedere melding, intern of extern, betekent waardevolle informatie!'

Dit artikel verscheen in maart 2016 in PrimaOnderwijs.

Deel Help, een datalek! Wat nu?

Delen
  • LinkedIn
  • Twitter
  • Facebook
  • Google+
  • E-mail
  • Terug