Aanpak IBPBeveiligingsincidenten en datalekken melden

Beveiligingsincidenten en datalekken melden

Als school probeer je de persoonsgegevens die je bewaart zo goed mogelijk te beveiligen. Maar soms gaat er is iets mis. Je hebt bijvoorbeeld zelf geen toegang meer tot je gegevens of buitenstaanders krijgen onbedoeld toegang. Dan is er sprake van een beveiligingsincident. Heeft het incident gevolgen voor de privacy van leerlingen of medewerkers? Dan spreken we van een datalek. Voor het melden van datalekken gelden andere regels dan voor andere beveiligingsincidenten. Volgens de Algemene Verordening Gegevensbescherming (AVG) ben je als school verplicht datalekken direct te melden bij de Autoriteit Persoonsgegevens.

Hoe voorkom je een datalek?

Een datalek kan vele vormen aannemen: het verlies van een USB-stick of telefoon met onversleutelde persoonsgegevens van leerlingen erop, een cyberaanval waarbij persoonsgegevens zijn gestolen of gegevens over de gezondheid van een leerling in een e-mail die bij een verkeerde persoon terecht komt. Het zijn allemaal voorbeelden van datalekken. Een datalek kan schade veroorzaken. Bovendien betekent het dat de beveiligingsmaatregelen die je hebt genomen niet goed werken. Dat kan grote gevolgen hebben voor de school, maar ook voor de leerlingen en medewerkers van wie de gegevens gelekt zijn. Zij en de school verliezen bij zo’n lek de controle over hun gegevens. Met mogelijke identiteitsdiefstal of nadelige financiële consequenties tot gevolg.

Is het wettelijk verplicht?

Ja, je bent verplicht een datalek te melden bij de Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) stelt dat het ‘onverwijld’ moet gebeuren. Wat inhoudt dat je het zo snel mogelijk meldt en als het kan binnen 72 uur. Meld je het later? Dan moet je kunnen uitleggen waarom. Volgens de Algemene Verordening Gegevensbescherming (AVG)  ben je als school ook verplicht beveiligingsincidenten en datalekken bij te houden in een register.

Meer informatie vind je in artikel 33 en artikel 34 van de AVG. De bijbehorende maatregelen vind je in de ISO 27002, artikel 16. Deze vind je terug in het toetsingskader IBP po vo.

Wie doet wat?

In het overzicht hieronder zie je wie wat doet bij het opstellen van een procedure voor het melden van beveiligingsincidenten.

Verantwoordelijkheid


Schoolbestuur
Opstellen meldingsprocedure.

Uitvoering


Ict-coördinator of
Privacy Officer
Inrichting meldpunt en afhandelen meldingen.
FG
Beoordelen datalekken en doen van de melding bij de Autoriteit Persoonsgegevens.

Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.

Aan de slag

Hoe zorg je ervoor dat beveiligingsincidenten en datalekken zo snel mogelijk gemeld worden?

Stap 1 | Opstellen procedure melden beveiligingsincidenten en datalekken

Het schoolbestuur moet een procedure opstellen waarin duidelijk uiteen wordt gezet hoe er binnen de school wordt omgegaan met beveiligingsincidenten en datalekken. Zorg ervoor dat je responsible disclosure ook opneemt in je meldingsprocedure.

Stap 2 | Instellen meldpunt

Het bestuur of de ict-coördinator stelt een meldpunt in waar medewerkers beveiligingsincidenten en datalekken kunnen melden. In de praktijk zal dit vaak een e-mailadres zijn waar melders naar toe kunnen mailen.

Stap 3 | Communicatie en bewustwording

Informeer medewerkers en leerlingen over de noodzaak om beveiligingsincidenten en datalekken te melden en waar ze dit kunnen doen.

Stap 4 | Opvolgen meldingen

Het meldpunt beoordeelt of het bij een melding gaat om haperende software, een verkeerde werkwijze of om een beveiligingsincident, of een datalek en brengt de functionaris gegevensbescherming op de hoogte.

Stap 5 | Autoriteit Persoonsgegevens

Is er sprake van een datalek? Dan doet functionaris voor gegevensbescherming een melding bij de Autoriteit Persoonsgegevens.

Stap 6 | Onderzoeken van de oorzaak

De school onderzoekt de oorzaak van het incident en neemt maatregelen om herhaling te voorkomen. Was er bijvoorbeeld sprake van een incident met software die je als school gebruikt? Dan wordt de leverancier van de software vaak betrokken bij de te nemen maatregelen.

Stap 7 | Opzetten meldingsregister

De school houdt alle beveiligingsincidenten en datalekken bij in een register. Je kunt hiervoor het model incidentenregister gebruiken. De Autoriteit Persoonsgegevens geeft 10 tips over welke gegevens je opneemt in dit register.

Tools en voorbeelddocumenten

Hou rekening met

Meldingen door een leverancier

Volgens de wet moet het schoolbestuur een datalek melden. Ook als je gebruikmaakt van een softwareleverancier. Is er echter sprake van een groot datalek in een applicatie van leverancier dat meerdere of grote groepen scholen treft? Dan kan de leverancier het lek zelf melden. Dit is zo afgesproken omdat de leverancier beter op de hoogte is van de technische achtergrond van het lek en een preciezere melding kan doen. Het voorkomt bovendien dat hetzelfde lek door honderden besturen wordt gemeld. De leverancier moet scholen wel van tevoren op de hoogte stellen dat hij melding gaat doen.

Responsible disclosure

Als iemand een zwakke plek in één van je systemen heeft gevonden hoor je dat liefst zo snel mogelijk, zodat je de juiste maatregelen kunt treffen. Ook als de zwakke plek is ontdekt door bijvoorbeeld hacking. Om ervoor te zorgen dat ook in zo’n geval het incident wordt gemeld, kun je een responsible disclosure beleid opstellen en onderdeel laten uitmaken van je meldingsprocedure voor incidenten. Responsible disclosure houdt in dat je geen aangifte doet of andere stappen onderneemt als een melder van een lek zich mogelijk niet aan de wet heeft gehouden bij het ontdekken van het lek. De door Kennisnet gebruikte responsible disclosure modellen voor leerlingen en medewerkers zijn gebaseerd op (inter)nationaal gebruikte teksten en afspraken. Je kunt er voor kiezen om beide modellen samen te voegen en voor jouw schoolbestuur één versie te gebruiken.

Verdieping

Inhoudsopgave