Tips en Tops ICT

De Algemene Verordening Gegevensbescherming (AVG). Hoe ingrijpend kan iets zijn en hoe voorkom je problemen?

Meldplicht datalekken AVG
 
Sinds 1 januari 2016 dient een verwerkingsverantwoordelijke (in dit geval de school) een zogenaamd datalek onverwijld te melden aan de Autoriteit Persoonsgegevens (AP) en mogelijk ook aan de betrokkene(n). In dit geval veelal het personeel of de (ouders en/of verzorgers van de) leerlingen.
Van een datalek dat moet worden gemeld, is sprake als er persoonsgegevens verloren gaan of onrechtmatig worden verwerkt en het waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van betrokkene(n).
 
Meldingsplicht personeel

Ieder personeelslid is wettelijk verplicht een datalek direct via e-mail of telefonisch te melden aan de directeur. Deze meldt het meteen door naar de ICT-verantwoordelijke en de bestuurder.  Wanneer door het IRT (Incident Responce Team) geconstateerd is dat het om een datalek gaat, treedt het handboek datalekken in werking.
Bij twijfel ook altijd een melding maken.
 
Persoonsgegevens

Voor de duidelijkheid nogmaals, wat zijn persoonsgegevens?
  • naam;
  • adres;
  • telefoonnummer;
  • e-mailadres;
  • salarisgegevens;
  • gegevens met betrekking tot ziekte;
  • beoordelingsgesprekken;
  • studieadviezen;
 
  • gegevens met betrekking tot gezondheid;
  • dyslexie;
  • betalingsachterstanden;
  • gegevens over gezinssituatie;
  • geloof;
  • ras;
  • studieresultaten;
  • foto`s, etc.
 
 

 
Soorten beveiligingsincidenten

Niet bewuste incidenten
Bij niet bewuste beveiligingsincidenten gaat het om incidenten die niet met opzet worden gecreëerd. Te denken valt aan:
  • het laten liggen van een laptop, tablet, smartphone of papieren dossier in de trein;
  • het verliezen van een USB-stick, mobiele telefoon of bijvoorbeeld laptop;
  • door haperende beveiliging (technische storing) zijn mogelijk persoonsgegevens van leerlingen ingezien door onbevoegden;
  • de ruimte op school met daarin de fysieke leerlingdossiers was per ongeluk niet op slot voor een bepaalde periode;
  • een docent heeft per ongeluk onbeheerd zijn laptop in de klas laten staan met daarop een memo-sticker met zijn inlognaam en wachtwoord;
  • het verzenden van e-mail door een medewerker met vertrouwelijke gegevens aan de verkeerde ontvanger;
  • het verzenden van een e-mail aan meerdere ontvangers die elkaars e-mailadressen niet kennen (zonder gebruik te maken van de bcc-optie);
  • het crashen van een harde schijf met daarop persoonsgegevens;
  • brand in een serverruimte of archiefruimte van de school;
  • één van de hiervoor genoemde situaties doet zich voor bij een verwerker van de school (bijvoorbeeld: de uitgever van digitale leermiddelen en Magister) voor zover het persoonsgegevens betreft van personeel of (ouder(s) en/of verzorger(s) van) leerlingen van de school.
Bewuste incidenten
Bij bewuste beveiligingsincidenten gaat het om incidenten die met opzet worden gecreëerd. Te denken valt aan:
  • fysieke diefstal van een laptop, tablet, smartphone of (onderdelen van een) papieren dossier;
  • het kopiëren, meenemen of bijvoorbeeld vernietigen van persoonsgegevens door personeel bijvoorbeeld uit onvrede over ontslag of studieadvies, als vriendendienst of als gevolg van chantage;
  • phishing: het uitbuiten van menselijke kwetsbaarheden door hen onder valse voorwendselen persoonsgegevens te ontfutselen via mail of internet;
  • hack: het uitbuiten van kwetsbaarheden in informatiesystemen en webservers;
  • één van de hiervoor genoemde situaties doet zich voor bij een bewerker van de school (bijvoorbeeld: de uitgever van digitale leermiddelen en Magister) voor zover het persoonsgegevens betreft van personeel of (ouder(s) en/of verzorger(s) van) leerlingen van de school.
 Met dit schema wordt bepaald worden of het handboek in werking gaat treden.