Beveiligingsincidenten en datalekken melden
Als school probeer je de persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. die je bewaart zo goed mogelijk te beveiligen. Maar soms gaat er is iets mis. Je hebt bijvoorbeeld zelf geen toegang meer tot je gegevens of buitenstaanders krijgen onbedoeld toegang. Dan is er sprake van een beveiligingsincident. Heeft het incident gevolgen voor de privacyHet recht om met rust te worden gelaten, om te weten en te bepalen wat er met gegevens over jou gebeurt en om te weten wie de beschikking heeft over jouw persoonsgegevens. van leerlingen of medewerkers? Dan spreken we van een datalekBij een datalek raken persoonsgegevens verloren of worden ze opgeslagen, aangepast, verzonden of op een andere manier verwerkt door iemand die daar geen recht toe heeft. Een datalek is een beveiligingsincident.. Voor het melden van datalekken gelden andere regels dan voor andere beveiligingsincidenten. Volgens de Algemene Verordening Gegevensbescherming (AVG) ben je als school verplicht datalekken direct te melden bij de Autoriteit PersoonsgegevensDe Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens..
Een datalek kan vele vormen aannemen: het verlies van een USB-stick of telefoon met onversleutelde persoonsgegevens van leerlingen erop, een cyberaanval waarbij persoonsgegevens zijn gestolen of gegevens over de gezondheid van een leerling in een e-mail die bij een verkeerde persoon terecht komt. Het zijn allemaal voorbeelden van datalekken. Een datalek kan schade veroorzaken. Bovendien betekent het dat de beveiligingsmaatregelen die je hebt genomen niet goed werken. Dat kan grote gevolgen hebben voor de school, maar ook voor de leerlingen en medewerkers van wie de gegevens gelekt zijn. Zij en de school verliezen bij zo’n lek de controle over hun gegevens. Met mogelijke identiteitsdiefstal of nadelige financiële consequenties tot gevolg.
Is het wettelijk verplicht?
Ja, je bent verplicht een datalek te melden bij de Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) stelt dat het ‘onverwijld’ moet gebeuren. Wat inhoudt dat je het zo snel mogelijk meldt en als het kan binnen 72 uur. Meld je het later? Dan moet je kunnen uitleggen waarom. Volgens de Algemene Verordening Gegevensbescherming (AVG) ben je als school ook verplicht beveiligingsincidenten en datalekken bij te houden in een register.
Raadpleeg het Normenkader IBP voor maatregelen die hierbij horen.
Wie doet wat?
Bij het opstellen van een procedure voor het melden van beveiligingsincidenten zijn verschillende rollen betrokken met elk hun eigen taken:
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. is verantwoordelijk voor de meldingsprocedure.
- De ict-coördinatorIn het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker. of de Privacy OfficerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker. zorgt voor de inrichting van het meldpunt, doet melding bij de AP, licht betrokkenenDe personen van wie persoonsgegevens worden verwerkt. in en treft maatregelen om het datalek op te lossen.
- De Functionaris voor GegevensbeschermingIemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). (FG) controleert of een datalek goed wordt gemeld en opgelost.
Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.
Aan de slag
Hoe zorg je ervoor dat beveiligingsincidenten en datalekken zo snel mogelijk gemeld worden?
Stap 1 | Opstellen procedure melden beveiligingsincidenten en datalekken
Het schoolbestuur moet een procedure opstellen waarin duidelijk uiteen wordt gezet hoe er binnen de school wordt omgegaan met beveiligingsincidenten en datalekken. Zorg ervoor dat je responsible disclosure ook opneemt in je meldingsprocedure.
Stap 2 | Instellen meldpunt
Het bestuur of de ict-coördinator stelt een meldpunt in waar medewerkers beveiligingsincidenten en datalekken kunnen melden. In de praktijk zal dit vaak een e-mailadres zijn waar melders naar toe kunnen mailen.
Stap 3 | Communicatie en bewustwording
Informeer medewerkers en leerlingen over de noodzaak om beveiligingsincidenten en datalekken te melden en waar ze dit kunnen doen.
Stap 4 | Opvolgen meldingen
Het meldpunt beoordeelt of het bij een melding gaat om een beveiligingsincident, zoals haperende software of een verkeerde werkwijze, of om een datalek. Ook brengt het meldpunt de functionaris gegevensbescherming op de hoogte.
Stap 5 | Autoriteit Persoonsgegevens
Is er sprake van een datalek? Dan doet over het algemeen functionaris voor gegevensbescherming een melding bij de Autoriteit Persoonsgegevens.
Stap 6 | Onderzoeken van de oorzaak
De school onderzoekt de oorzaak van het incident en neemt maatregelen om herhaling te voorkomen. Was er bijvoorbeeld sprake van een incident met software die je als school gebruikt? Dan wordt de leverancier van de software vaak betrokken bij de te nemen maatregelen.
Stap 7 | Opzetten meldingsregister
De school houdt alle beveiligingsincidenten en datalekken bij in een register. Je kunt hiervoor het model incidentenregister gebruiken. De Autoriteit Persoonsgegevens geeft 10 tips over welke gegevens je opneemt in dit register.
Tools en voorbeelddocumenten
Hou rekening met
Meldingen door een leverancier
Volgens de wet moet het schoolbestuur een datalek melden. Ook als je gebruikmaakt van een softwareleverancier. Is er echter sprake van een groot datalek in een applicatie van leverancier dat meerdere of grote groepen scholen treft? Dan kan de leverancier het lek zelf melden. Dit is zo afgesproken omdat de leverancier beter op de hoogte is van de technische achtergrond van het lek en een preciezere melding kan doen. Het voorkomt bovendien dat hetzelfde lek door honderden besturen wordt gemeld. De leverancier moet scholen wel van tevoren op de hoogte stellen dat hij melding gaat doen.
Responsible disclosure
Als iemand een zwakke plek in één van je systemen heeft gevonden hoor je dat liefst zo snel mogelijk, zodat je de juiste maatregelen kunt treffen. Ook als de zwakke plek is ontdekt door bijvoorbeeld hacking. Om ervoor te zorgen dat ook in zo’n geval het incident wordt gemeld, kun je een responsible disclosure beleid opstellen en onderdeel laten uitmaken van je meldingsprocedure voor incidenten. Responsible disclosure houdt in dat je geen aangifte doet of andere stappen onderneemt als een melder van een lek zich mogelijk niet aan de wet heeft gehouden bij het ontdekken van het lek. De door Kennisnet gebruikte responsible disclosure modellen voor leerlingen en medewerkers zijn gebaseerd op (inter)nationaal gebruikte teksten en afspraken. Je kunt er voor kiezen om beide modellen samen te voegen en voor jouw schoolbestuur één versie te gebruiken.
