Een datalek op school: wat nu?

Een datalek op school is erg vervelend, maar komt helaas nogal eens voor. Wat moet je doen als het gebeurt? KOC diensten plaatst met enige regelmaat een bericht met praktische vragen en antwoorden op het gebied van privacy en AVG.

Wat is datalek precies?
Niet elk ´incident´ is een datalek. Bij een datalek moet het gaan om een beveiligingsincident waarbij daadwerkelijk persoonsgegevens vernietigd of verloren zijn gegaan. Oude antivirussoftware op de computer bijvoorbeeld is wel een risico, maar nog geen datalek.

Voorbeelden van een datalek
Een verloren USB-stick waarop de persoonsgegevens niet zijn versleuteld. Of een laptop met leerlingdossiers die kwijt raakt. Ook het per ongeluk versturen van een e-mail met naam- en adressenlijsten naar de verkeerde persoon is een datalek.

Wat moet je doen bij een datalek?
Elke school heeft als het goed is een datalekprocedure, waar personeelsleden van op de hoogte zijn. In zo´n procedure staat van stap tot stap beschreven wat je moet doen bij een datalek. Kom je er niet uit, neem dan zo spoedig mogelijk contact op met de Functionaris Gegevensbescherming van je school.

Wanneer moet je een datalek registreren?
Altijd. Elk datalek, ook een kleine datalek, moet worden bijgehouden in het datalekregister van de school.

Is melding van een datalek bij de Autoriteit Persoonsgegevens altijd verplicht?
Nee, melding bij de AP is niet altijd verplicht. Het hangt af van de impact die het datalek heeft. Als het waarschijnlijk is dat het lek een grote impact heeft op de privacy van betrokkenen -de mensen over wie de persoonsgegevens gaan- is melding verplicht. Op de website van de AP is een meldloket te vinden waar via een formulier de melding kan worden ingediend door de functionaris gegevensbescherming van de school.

Moet een datalek worden gemeld bij de betrokkenen?
Melding bij betrokkenen is verplicht als het datalek voor hen waarschijnlijk een hoog risico oplevert. Dat wil zeggen dat de kans op bijvoorbeeld identiteitsfraude, financiële schade, discriminatie of reputatieschade groot is. Wel of niet melden bij de AP en/of betrokkenen vraagt om een zorgvuldige afweging. Besluit de school wel te melden bij de AP maar niet bij de betrokkenen, dan dient dit in de melding bij de AP te worden gemotiveerd.

Hoe snel moet een school melden bij de AP?
Als een datalek heeft plaatsgevonden, moet de school dit binnen 72 uur melden bij de AP. Snel en effectief handelen is dus geboden. Lukt een melding niet binnen die termijn, dan moet je dat wel kunnen uitleggen.

Kan een datalek worden voorkomen?
Honderd procent veiligheid bestaat niet. Je kunt als school niet garanderen dat een datalek nooit voorkomt. Wel heeft de school als ‘verwerkingsverantwoordelijke’ de plicht de nodige maatregelen te nemen, zodat de kans op een datalek zo klein mogelijk wordt.

Enkele belangrijke pijlers:

  1. Technische beveiliging: de computersystemen op orde, nieuwe updates geïnstalleerd, voldoende complexe wachtwoorden, schermbeveiliging, enz.
  2. Juridische documentatie: de AVG-documenten op orde; elke school dient een datalekprotocol, een datalekregister en een verwerkingsregister te hebben. Daarnaast een helder privacybeleid waarin de omgang en bescherming van persoonsgegevens is vastgelegd.
  3. Bewustwording bij personeel, leerlingen en ouders: uit recent onderzoek blijkt dat zo’n 80 procent van alle datalekken wordt veroorzaakt door het handelen van mensen en de interne organisatie die niet op orde is, en niet door falen van de techniek. Bewustwording is daarom van het grootste belang. Iedereen die in en rond de school werkt moet op de hoogte zijn van de do’s en don’ts met persoonsgegevens. Maak als school er een praktische lijst van, hang deze op, publiceer hem in de nieuwsbrief.

Kortom: denk na hoe je de basisregels tussen de oren kunt krijgen.

Tot slot: nog een paar praktische voorbeelden van ‘good practices’

  • Denk aan heldere (schriftelijke) afspraken over thuiswerken.
  • Wennen aan: scherm vergrendelen als je wegloopt van je PC.
  • Papier met vertrouwelijke gegevens in de gesloten container of versnipperaar.
  • Bij mailen naar een grotere groep mensen: emailadressen in BCC, en niet in CC.
  • Bestanden met veel persoonsgegevens bij voorkeur niet mailen, maar delen via een server of via de cloud.
  • Het personeelslid dat een andere functie krijgt: pas zijn/haar toegangsrechten in het systeem aan, anders is in de nieuwe situatie sprake van onbevoegde toegang.

Voor vragen kunt u terecht bij mr. drs. J.C. (Jan-Kees) Karels, Juridisch adviseur AVG, jckarels@vbso.nu. Bekijk hier de eerdere artikelen.

 

Een datalek op school: wat nu?