Een datalek op school: wat nu?

2 oktober 2019
Een datalek op school is erg vervelend, maar komt helaas nogal eens voor. Wat moet je doen als het gebeurt? We plaatsen met enige regelmaat een bericht met praktische vragen en antwoorden op het gebied van privacy en AVG. Dit is bericht 3.

Wat is datalek precies?

Niet elk ´incident´ is een datalek. Bij een datalek moet het gaan om een beveiligingsincident waarbij daadwerkelijk persoonsgegevens vernietigd of verloren zijn gegaan. Oude antivirussoftware op de computer bijvoorbeeld is wel een risico, maar nog geen datalek.

Voorbeelden van een datalek

Een verloren USB-stick waarop de persoonsgegevens niet zijn versleuteld. Of een laptop met leerlingdossiers die kwijt raakt. Ook het per ongeluk versturen van een e-mail met naam- en adressenlijsten naar de verkeerde persoon is een datalek.

Wat moet je doen bij een datalek?

Elke school heeft als het goed is een datalekprocedure, waar personeelsleden van op de hoogte zijn. In zo´n procedure staat van stap tot stap beschreven wat je moet doen bij een datalek. Kom je er niet uit, neem dan zo spoedig mogelijk contact op met de Functionaris Gegevensbescherming van je school.

Wanneer moet je een datalek registreren?

Altijd. Elk datalek, ook een kleine datalek, moet worden bijgehouden in het datalekregister van de school.
Is melding van een datalek bij de Autoriteit Persoonsgegevens altijd verplicht?
Nee, melding bij de AP is niet altijd verplicht. Het hangt af van de impact die het datalek heeft. Als het waarschijnlijk is dat het lek een grote impact heeft op de privacy van betrokkenen -de mensen over wie de persoonsgegevens gaan- is melding verplicht. Op de website van de AP is een meldloket te vinden waar via een formulier de melding kan worden ingediend door de functionaris gegevensbescherming van de school.

Moet een datalek worden gemeld bij de betrokkenen?

Melding bij betrokkenen is verplicht als het datalek voor hen waarschijnlijk een hoog risico oplevert. Dat wil zeggen dat de kans op bijvoorbeeld identiteitsfraude, financiële schade, discriminatie of reputatieschade groot is. Wel of niet melden bij de AP en/of betrokkenen vraagt om een zorgvuldige afweging. Besluit de school wel te melden bij de AP maar niet bij de betrokkenen, dan dient dit in de melding bij de AP te worden gemotiveerd.

Hoe snel moet een school melden bij de AP?

Als een datalek heeft plaatsgevonden, moet de school dit binnen 72 uur melden bij de AP. Snel en effectief handelen is dus geboden. Lukt een melding niet binnen die termijn, dan moet je dat wel kunnen uitleggen.

Kan een datalek worden voorkomen?

Honderd procent veiligheid bestaat niet. Je kunt als school niet garanderen dat een datalek nooit voorkomt. Wel heeft de school als ‘verwerkingsverantwoordelijke’ de plicht de nodige maatregelen te nemen, zodat de kans op een datalek zo klein mogelijk wordt.

Enkele belangrijke pijlers:

  1. Technische beveiliging: de computersystemen op orde, nieuwe updates geïnstalleerd, voldoende complexe wachtwoorden, schermbeveiliging, enz.
  2. Juridische documentatie: de AVG-documenten op orde; elke school dient een datalekprotocol, een datalekregister en een verwerkingsregister te hebben. Daarnaast een helder privacybeleid waarin de omgang en bescherming van persoonsgegevens is vastgelegd.
  3. Bewustwording bij personeel, leerlingen en ouders: uit recent onderzoek blijkt dat zo’n 80 procent van alle datalekken wordt veroorzaakt door het handelen van mensen en de interne organisatie die niet op orde is, en niet door falen van de techniek. Bewustwording is daarom van het grootste belang. Iedereen die in en rond de school werkt moet op de hoogte zijn van de do’s en don’ts met persoonsgegevens. Maak als school er een praktische lijst van, hang deze op, publiceer hem in de nieuwsbrief.

Kortom: denk na hoe je de basisregels tussen de oren kunt krijgen.

Tot slot: nog een paar praktische voorbeelden van ‘good practices’

  • Denk aan heldere (schriftelijke) afspraken over thuiswerken.
  • Wennen aan: scherm vergrendelen als je wegloopt van je PC.
  • Papier met vertrouwelijke gegevens in de gesloten container of versnipperaar.
  • Bij mailen naar een grotere groep mensen: emailadressen in BCC, en niet in CC.
  • Bestanden met veel persoonsgegevens bij voorkeur niet mailen, maar delen via een server of via de cloud.
  • Het personeelslid dat een andere functie krijgt: pas zijn/haar toegangsrechten in het systeem aan, anders is in de nieuwe situatie sprake van onbevoegde toegang.

Auteur: mr. drs. J.C. (Jan-Kees) Karels, Juridisch adviseur AVG

Voor vragen: drs. R.A. (Rein) van der Garde, Coördinator bestuurlijk-juridisch advies

Vorige afleveringen:
Functionaris Gegevensbescherming: moet dat echt?
Reserveer geld in begroting voor AVG

drs. R. A. (Rein) van der Garde
Coördinator bestuurlijk-juridisch advies
Stel een vraag
Overzicht nieuws

Gerelateerd

11 oktober 2019

Training Privacy en AVG voor leidinggevenden, besturen en kerkenraden

Als bestuurder, leidinggevende of kerkenraadslid heeft u veelal meer indirect te maken met de privacyregels binnen de school of kerk. De uitwerking wordt immers vaak neergelegd bij collega’s of andere betrokkenen. Hoe houdt u voldoende scherp dat aan de privacywetgeving wordt voldaan in school of kerk? Wat houden die regels precies in, en wanneer is bijsturing of ingrijpen gewenst? In deze training op DV dinsdag 10 maart 2020 krijgt u meer inzicht in de AVG en wat uw verantwoordelijkheid daarin is binnen de kerkelijke of schoolorganisatie.

Lees verder

Training Privacy en AVG voor schoolpersoneel

Sinds 2018 is de AVG van kracht en binnen uw school bent u belast met de uitvoering van het privacybeleid op praktisch niveau. Wat houden die regels precies in, en wanneer zijn ze van toepassing? Wat is een persoonsgegeven, en hoe ga je daar zorgvuldig mee om? Welke informatie mag je delen met derden en samenwerkingsverbanden? Wat is een datalek en wat moet je dan doen? In deze training op DV woensdag 12 februari 2020 krijgt u meer inzicht in de AVG. U ontvangt tools hoe je daaraan praktisch vorm kunt geven binnen de schoolorganisatie, zodat u in staat bent om ervoor te zorgen dat binnen uw school zorgvuldig met persoonsgegevens wordt omgegaan.

Lees verder