Veilig online op school

dinsdag 12 december 2023

In een vorig artikel heeft u ontdekt wat de AVG en IBP inhouden en dat we persoonsgegevens goed moeten beschermen. Dat betekent ook dat we ervoor zorgen dat deze niet in verkeerde handen vallen. Als dat wel gebeurt, spreken we van het ‘lekken’ van persoonsgegevens. In dat geval hebben we de verplichting om een datalek te melden bij de Autoriteit Persoonsgegevens (AP) - deze meldplicht datalekken geldt voor alle organisaties, dus ook voor scholen. In sommige gevallen moet het datalek ook gemeld worden bij de betrokkenen - degenen van wie de persoonsgegevens zijn ‘gelekt’.

Een datalek, wat is dat eigenlijk?

Een datalek is een inbreuk op de informatiebeveiliging waarbij persoonsgegevens verloren gaan of in handen komen van derden die geen toegang tot die gegevens mogen hebben. Dat is soms lastig vast te stellen, daarom is de bewijslast omgedraaid. Het is dus een datalek als toegang door onbevoegden niet uitgesloten kan worden.

Datalek ontdekt? Meld het!

U ontdekt, veroorzaakt of vermoedt een datalek - waar moet u dit melden? Dit kan bijvoorbeeld via het daarvoor bestemde e-mailadres of bij uw directe leidinggevende. Zij doen indien nodig ook melding bij ITS. We gaan dan kijken hoe het lek is ontstaan en hoe we het in de toekomst voorkomen. Met de juiste maatregelen kunnen we (verdere) schade beperken. Wij als ITS kunnen in overleg met de klant direct een datalek (liefst binnen 72 uur) melden aan de Autoriteit Persoonsgegevens.

Wat is bijvoorbeeld een datalek?

  • Het verlies van een usb-stick of laptop met daarop persoonsgegevens van leerlingen of medewerkers.
  • Het verlies van een smartphone. Deze geeft toegang tot veel informatie zoals de gesynchroniseerde e-mail, notities of een automatische inlog in systemen.
  • ‘Offline’ datalekken zoals documenten met persoonsgegevens in de papierbak, leerlingverslagen op het bureau of meegenomen dossiers uit een kwijtgeraakte tas.
  • Een computer thuis, die gehackt of gestolen wordt waarop bijvoorbeeld een Excelbestand met gegevens staat. Gehackte bestanden, een DDoS-aanval of inbraak in een databestand.
  • Een e-mail met persoonsgegevens verstuurd naar de verkeerde persoon of personen.

DDoS-aanval

Het kan ook zijn dat uw school te maken krijgt met een DDoS-aanval. DDoS staat voor 'Distibuted-denial-of-service'. Dit zijn pogingen om een computer of netwerk moeilijk bereikbaar te maken door met veel computers tegelijk verzoeken daarop af te vuren. Een DDoS-aanval heeft als doel de beschikbaarheid van een systeem te onderbreken. Meer weten over hoe een DDoS-aanval werkt en wat u er tegen kunt doen? Bekijk het artikel DDoS-aanval van Kennisnet.

De AVG en datalekken in de praktijk

Het is niet de vraag óf een school te maken krijgt met een datalek, maar eerder wanneer. Met technische maatregelen kunnen we veel datalekken voorkomen, maar de menselijke factor blijft altijd belangrijk. Iedereen heeft de verantwoordelijkheid om bewust en zorgvuldig met persoonsgegevens om te gaan.

Gedragscode

Het is goed afspraken over het veilig werken met persoonsgegevens vast te leggen in een gedragscode. Deze heeft ITS ook voor de eigen organisatie. Hiermee kunnen we samen het risico op datalekken beperken. Waar moet u bijvoorbeeld op letten?

  • Verstuur geen persoonsgegevens per e-mail, WhatsApp of andere sociale media. Niet mailen, maar delen, bijvoorbeeld via Sharepoint!
  • Deel uw wachtwoord niet.
  • Beveilig apparatuur met een wachtwoord en vergrendel uw pc als u even weggaat.
  • Vraag geen toegang tot meer gegevens dan u voor uw werk nodig heeft.
  • Laat uw devices buiten de school nooit onbeheerd achter, ook niet in een auto die op slot zit.
  • Sla persoonsgegevens niet op, op uw eigen pc, laptop of telefoon.
  • Houd uw school e-mail en privé e-mail gescheiden.

Alert zijn met elkaar

Dat klinkt allemaal logisch, maar vraagt wel om meer alertheid. Help elkaar om hier aan te denken. Zo kunnen we er samen voor zorgen dat persoonsgegevens veilig blijven - zowel van leerlingen, ouders, docenten als directieleden en bestuurder.

Ieder datalek kan nadelige gevolgen hebben voor leerlingen (en hun ouders), medewerkers, maar ook voor de school. Datalekken kunnen rekenen op (negatieve) media-aandacht en veroorzaken imagoschade.

ITS adviseert u graag over beveiligingsoplossingen en back-up-systemen voor op school. Neem gerust contact op.