In een vorig artikel heeft u ontdekt wat de AVG en IBP inhouden en dat we persoonsgegevens goed moeten beschermen. Dat betekent ook dat we ervoor zorgen dat deze niet in verkeerde handen vallen. Als dat wel gebeurt, spreken we van het ‘lekken’ van persoonsgegevens. In dat geval hebben we de verplichting om een datalek te melden bij de Autoriteit Persoonsgegevens (AP) - deze meldplicht datalekken geldt voor alle organisaties, dus ook voor scholen. In sommige gevallen moet het datalek ook gemeld worden bij de betrokkenen - degenen van wie de persoonsgegevens zijn ‘gelekt’.
Een datalek is een inbreuk op de informatiebeveiliging waarbij persoonsgegevens verloren gaan of in handen komen van derden die geen toegang tot die gegevens mogen hebben. Dat is soms lastig vast te stellen, daarom is de bewijslast omgedraaid. Het is dus een datalek als toegang door onbevoegden niet uitgesloten kan worden.
U ontdekt, veroorzaakt of vermoedt een datalek - waar moet u dit melden? Dit kan bijvoorbeeld via het daarvoor bestemde e-mailadres of bij uw directe leidinggevende. Zij doen indien nodig ook melding bij ITS. We gaan dan kijken hoe het lek is ontstaan en hoe we het in de toekomst voorkomen. Met de juiste maatregelen kunnen we (verdere) schade beperken. Wij als ITS kunnen in overleg met de klant direct een datalek (liefst binnen 72 uur) melden aan de Autoriteit Persoonsgegevens.
Het kan ook zijn dat uw school te maken krijgt met een DDoS-aanval. DDoS staat voor 'Distibuted-denial-of-service'. Dit zijn pogingen om een computer of netwerk moeilijk bereikbaar te maken door met veel computers tegelijk verzoeken daarop af te vuren. Een DDoS-aanval heeft als doel de beschikbaarheid van een systeem te onderbreken. Meer weten over hoe een DDoS-aanval werkt en wat u er tegen kunt doen? Bekijk het artikel DDoS-aanval van Kennisnet.
Het is niet de vraag óf een school te maken krijgt met een datalek, maar eerder wanneer. Met technische maatregelen kunnen we veel datalekken voorkomen, maar de menselijke factor blijft altijd belangrijk. Iedereen heeft de verantwoordelijkheid om bewust en zorgvuldig met persoonsgegevens om te gaan.
Het is goed afspraken over het veilig werken met persoonsgegevens vast te leggen in een gedragscode. Deze heeft ITS ook voor de eigen organisatie. Hiermee kunnen we samen het risico op datalekken beperken. Waar moet u bijvoorbeeld op letten?
Dat klinkt allemaal logisch, maar vraagt wel om meer alertheid. Help elkaar om hier aan te denken. Zo kunnen we er samen voor zorgen dat persoonsgegevens veilig blijven - zowel van leerlingen, ouders, docenten als directieleden en bestuurder.
Ieder datalek kan nadelige gevolgen hebben voor leerlingen (en hun ouders), medewerkers, maar ook voor de school. Datalekken kunnen rekenen op (negatieve) media-aandacht en veroorzaken imagoschade.
ITS adviseert u graag over beveiligingsoplossingen en back-up-systemen voor op school. Neem gerust contact op.