Meldplicht datalekken: wat moet je als school regelen?

Sinds 1 januari 2016 bestaat het meldpunt datalekken, als gevolg van nieuwe Europese wet- en regelgeving. Organisaties die persoonsgegevens verwerken, dus ook scholen, zijn verplicht om binnen 72 uur hiervan een melding te maken bij de Autoriteit Bescherming Persoonsgegeven wanneer er sprake is van een datalek. Maar wat is een datalek? En wat betekent dit voor scholen? In dit artikel gaan we hier dieper op in en leggen we uit hoe scholen op een goede manier met beveiligingsincidenten om kunnen gaan.

Een datalek is volgens de nieuwe wet (artikel 34a) een “een inbreuk in de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. Persoonsgegevens betreffen alle informatie over een natuurlijk persoon (lees: leerling, ouder, medewerker). De meldplicht heeft dus zeker gevolgen voor scholen die persoonsgegevens verwerken. Maar wanneer moeten ze dan een melding maken? De autoriteit heeft hiervoor een aantal beleidsregels omschreven die zich het beste laat samenvatten in het volgende figuur.

Samenvatting MDL

Er is dus alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet gedacht worden aan bijvoorbeeld het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker. Maar niet ieder beveiligingsincident is ook een datalek. Er is alleen sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als onrechtmatige verwerking van persoonsgegevens niet uitgesloten kunnen worden. Als er alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. Er hoeft dan geen melding gedaan te worden bij de Autoriteit Persoonsgegevens. Als het datalek ook nadelige gevolgen kan hebben voor de persoonlijke levenssfeer van de betrokken personen, dan dienen zij ook op de hoogte gesteld te worden van het datalek. (bron: beleidsregels ABP).

Om nog duidelijker te maken wanneer wel of geen sprake is van een datalek hieronder 2 voorbeelden:

Voorbeeld 1

Een ict-coördinator geeft aan een leverancier een gebruikersnaam en wachtwoord die per abuis toegang geven tot alle gegevens van leerlingen van de school. Na de ontdekking van het gebeurde past de school het wachtwoord van het betreffende account aan, zodat de leverancier geen toegang meer heeft. Daarna onderzoekt de school of de leverancier daadwerkelijk toegang heeft gezocht tot de leerlinggegevens. Uit de logbestanden blijkt dat er (nog) geen toegang is gezocht.

Vraag:                  Is dit wel of geen datalek?
Antwoord:          Nee, als er aangetoond kan worden dat de leverancier geen toegang heeft gezocht, dan is geen sprake van een datalek, maar wel van een beveiligingsincident

Voorbeeld 2     

Een basisschool houdt haar leerlingadministratie bij via een online softwarepakket. De leerlingadministratie bevat namen, adressen, maar ook geboortedata, geslacht, nationaliteit, etc.

Op een avond wordt de directeur van de school gebeld door de leverancier van het softwarepakket. Door een fout in de inlogmodule hebben kwaadwillenden zichzelf toegang verschaft tot een deel van de leerlingadministratie. De leverancier constateerde dit en heeft het lek onmiddellijk gedicht. De gegevens van de leerlingen zijn gewist, maar er is wel een backup.

Vraag:                  Moet dit wel of niet gemeld worden? En moeten betrokkenen worden geïnformeerd?
Antwoord:         Ja, er moet wel een melding gemaakt worden, omdat derden toegang hebben gekregen tot gevoelige gegevens van leerlingen. Aangezien dit ook nadelige gevolgen kan hebben voor de leerlingen zelf, dienen hun ouders/verzorgers ook geïnformeerd te worden.

Scholen moeten dus ook goede afspraken maken met hun leveranciers over het melden van datalekken. In de bewerkersovereenkomst die elke school dient af te sluiten met leveranciers die namens hen persoonsgegevens verwerken, dienen hierover afspraken opgenomen te worden. Klik hier voor een model bewerkersovereenkomst die in het onderwijs gebruikt wordt.

Meldingen kunnen trouwens gedaan worden via een online meldloket dat hier te vinden is.

Voor data- en beveiligingslekken is het aan te bevelen dat scholen hiervoor een procedure opstellen waarin het volgende beschreven wordt:

  • Wat zijn beveiligingsincidenten?
  • Wanneer, bij wie en op welke wijze meld je incidenten?
  • Hoe worden meldingen geregistreerd, geprioriteerd en afgehandeld?
  • Wie moet worden geïnformeerd en wie is verantwoordelijk voor het (laten) nemen van maatregelen?
  • Hoe wordt het incident geëvalueerd en het risico in de toekomst verkleind?

Neem gerust contact op als u vragen heeft over het melden van datalekken of een aanpak binnen uw organisatie wil introduceren voor het voorkomen of afhandelen van beveiligingsincidenten.