Datalekken klinken als iets voor grote bedrijven, maar in het onderwijs komen ze vaker voor dan je denkt. Een mailtje met een klassenlijst naar het verkeerde adres, een usb-stick die kwijtraakt, een account dat gehackt wordt. Zodra persoonsgegevens in verkeerde handen komen of verloren gaan, kan er sprake zijn van een datalek. Dit artikel legt uit wat de AVG dan van een school verwacht.
Wat is een datalek precies?
Een datalek is een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde toegang tot persoonsgegevens. Het gaat dus niet alleen om hacks. Ook een menselijke fout, zoals een verkeerd geadresseerde e-mail met leerlinggegevens, telt mee. En verlies hoeft niet definitief te zijn: een tijdelijk onbereikbaar systeem kan ook een lek zijn.
De meldplicht: 72 uur
Bij een datalek geldt in beginsel een meldplicht aan de Autoriteit Persoonsgegevens (AP). De school moet dit zonder onredelijke vertraging doen, en uiterlijk binnen 72 uur nadat het lek bekend is geworden. Die termijn is kort, daarom is voorbereiding belangrijk: weet wie er gewaarschuwd moet worden en wie de melding doet.
Niet elk datalek hoeft gemeld te worden. Als het onwaarschijnlijk is dat het lek een risico oplevert voor de betrokkenen, mag de melding aan de AP achterwege blijven. Maar je moet die afweging wel kunnen onderbouwen en vastleggen.
Goed versleutelde gegevens maken het verschil. Raakt een laptop kwijt waarvan de schijf versleuteld is, dan is het risico voor betrokkenen veel kleiner. Versleuteling is daarmee niet alleen preventie, maar ook iets wat de gevolgen van een lek beperkt.
Wanneer moet je ook de betrokkenen informeren?
Levert het datalek waarschijnlijk een hoog risico op voor de rechten en vrijheden van de betrokkenen, dan moeten ook zij geinformeerd worden, bijvoorbeeld de ouders en leerlingen. Denk aan gelekte gevoelige gegevens of informatie die tot fraude of pesten kan leiden. De melding aan betrokkenen is in heldere taal en bevat wat er gebeurd is en wat zij zelf kunnen doen.
Stappenplan bij een vermoeden van een datalek
| Stap | Actie |
|---|---|
| 1. Signaleren | Medewerker meldt het vermoeden direct intern bij het vaste aanspreekpunt. |
| 2. Beperken | Stop de verdere verspreiding: trek toegang in, vraag de ontvanger te verwijderen. |
| 3. Beoordelen | Bepaal welke gegevens en personen het betreft en hoe groot het risico is. |
| 4. Melden | Meld bij de AP binnen 72 uur als er een risico is; informeer betrokkenen bij hoog risico. |
| 5. Vastleggen | Noteer elk lek in het datalekregister, ook de niet-gemelde. |
| 6. Leren | Pas procedures of techniek aan om herhaling te voorkomen. |
De rol van je leverancier
Vaak ontstaat een lek niet bij de school zelf, maar bij een leverancier die gegevens verwerkt. Daarom is het belangrijk dat de verwerkersovereenkomst regelt dat de leverancier de school tijdig informeert. Alleen dan kan de school de termijn van 72 uur halen. Controleer dus vooraf hoe snel en hoe een leverancier datalekken doorgeeft.
Veelvoorkomende datalekken in het onderwijs
De meeste lekken in scholen ontstaan niet door geraffineerde hackers, maar door alledaagse fouten. Een paar voorbeelden die regelmatig terugkomen:
- Een e-mail met een klassenlijst of cijferoverzicht naar het verkeerde adres;
- Een verloren of gestolen laptop of usb-stick zonder versleuteling;
- Een gedeeld document dat per ongeluk voor te veel mensen toegankelijk is;
- Een gehackt account doordat een wachtwoord is hergebruikt of gephisht.
Het datalekregister
De AVG verplicht organisaties om alle datalekken bij te houden in een register, ook de lekken die niet aan de Autoriteit Persoonsgegevens zijn gemeld. Dat register is meer dan een formaliteit: het helpt patronen te herkennen en laat bij een controle zien dat de school haar verantwoordingsplicht serieus neemt. Houd per incident vast wat er gebeurde, welke gegevens het betrof, welke afweging is gemaakt en welke maatregelen zijn genomen.
Voorbereiding loont
Een school die vooraf een eenvoudig protocol heeft, een vast aanspreekpunt en een datalekregister, reageert rustiger en sneller als het misgaat. TestWisely informeert scholen bij beveiligingsincidenten die hun gegevens raken, zodat de school haar meldplicht kan nakomen. Maar de eerste winst zit in de voorbereiding aan de eigen kant.
