Een datalek kan iedere school of samenwerkingsverband overkomen

07 september 2017

Een docent verstuurt per ongeluk informatie over leerlingen naar een klas in plaats van naar zijn collega. Een leerling hackt de school en heeft toegang tot persoonsgegevens van leraren en leerlingen. Dit zijn waargebeurde voorbeelden van recente datalekken bij scholen. Ondanks genomen maatregelen op het gebied van privacy en informatiebeveiliging is een kans op een datalek altijd aanwezig. Het is belangrijk dat scholen weten wat ze moeten doen.

Wat zijn de belangrijkste stappen bij een datalek?

  • Bepaal of het een beveiligingsincident is of een datalek
    Als de school een beveiligingsincident opmerkt dan is het eerst zaak om het lek te repareren. Bepaal of het gaat om een datalek. Hiervoor heeft de Autoriteit Persoonsgegevens (AP) een stappenplan. Bij een datalek zijn altijd ‘gevoelige’ persoonsgegevens betrokken. Het aantal gegevens is bijzaak.

    Als er sprake is van een datalek dan is een organisatie sinds 1 januari 2016 wettelijk verplicht het datalek binnen 72 uur (na constatering) te melden bij de Autoriteit Persoonsgegevens. Als het lek betrekking heeft op toets- of examenresultaten dan wordt ook melding gedaan bij de Onderwijsinspectie.
     

  • Besteed aandacht aan de communicatie
    Op basis van de ernst van het incident en de mogelijke gevolgen voor slachtoffers moet de betreffende school of samenwerkingsverband de slachtoffers van het datalek informeren over het lek. Bij de communicatie is het belangrijk om de volgende vragen te beantwoorden:

  • Wat is er precies gebeurd?
    Zorg dat het zodanig is opgeschreven zodat de lezer het kan begrijpen. Gebruik geen vakjargon.
  • Welke gegevens zijn verdwenen?
    Geef aan welke gegevens zijn verdwenen en of er een mogelijkheid is voor het slachtoffer om de gegevens zelf in te zien.
  • Wat heeft de organisatie na constatering van het datalek gedaan en wat gaat ze nog doen?
    Heeft u als organisatie de Autoriteit Persoonsgegevens ingelicht.
  • Wat kan het slachtoffer zelf doen?
    Bij het verdwijnen van wachtwoorden is het goed als slachtoffers hun wachtwoorden wijzigen.
  • Waar kan het slachtoffer met vragen terecht?
    Zorg dat je als organisatie voor een punt zorgt waar slachtoffers met vragen terecht kunnen.
     
  • Zorg voor documentatie
    Bij een incident als een datalek is het goed om de genomen besluiten en afwegingen goed vast te leggen. Om transparant te zijn naar derden bij eventuele onderzoeken maar ook voor de interne evaluatie na afloop van het incident. De meldplicht datalekken schrijft specifiek voor dat je als organisatie een register moet aanleggen om de gemelde incidenten te registeren. Een organisatie is nu alleen verplicht om de incidenten gemeld aan de AP te registeren. Met de ‘Algemene Verordening Gegevensbescherming' (AVG) moet de organisatie alle beveiligingsincidenten registeren, ook die niet gemeld worden bij de AVG. In de Aanpak informatiebeveiliging en privacy (IBP) is een sjabloon te vinden.
     

Hoe kan ik me voorbereiden op een mogelijk datalek?

Een standaard onderdeel van het informatiebeveiligingsbeleid is het protocol datalekken. Hierin staat hoe binnen de organisatie wordt gehandeld bij een mogelijk datalek. Naast het opstellen van het beleid is het belangrijk om regelmatig een datalek te oefenen en de bewustwording van medewerkers omtrent privacy en informatiebeveiliging te vergroten.

Meer informatie over het opstellen van beleid en het protocol datalekken is de vinden in de Aanpak Informatiebeveiliging en Beleid (IBP). Bij deze aanpak zijn ook diverse voorbeelden en templates te vinden.

Werkgroep IBP
De VO-raad heeft een werkgroep met schoolbestuurders om ervaringen uit te wisselen als het gaat om informatiebeveiliging en privacy binnen het voortgezet onderwijs. Waar lopen scholen tegenaan, welke ondersteuning ontbreekt en hoe wordt omgegaan met het privacy convenant en bijbehorende bewerkersovereenkomst? Contactpersoon hiervoor is VO-raad-adviseur Anne Goris: annegoris@vo-raad.nl.