Hoeveel tijd heb je om een datalek te melden?

Een datalek in het onderwijs kan grote gevolgen hebben voor de privacy van leerlingen, ouders en medewerkers. Volgens de Algemene Verordening Gegevensbescherming (AVG) heb je 72 uur de tijd om een datalek te melden bij de Autoriteit Persoonsgegevens (AP), gerekend vanaf het moment dat je het lek ontdekt. Voor onderwijsinstellingen is het essentieel om snel en adequaat te handelen bij een datalek om zowel wettelijke consequenties als reputatieschade te voorkomen.

Wat is de wettelijke termijn voor het melden van een datalek?

De wettelijke termijn voor het melden van een datalek is 72 uur vanaf het moment dat je organisatie kennis heeft genomen van het incident. Deze termijn is vastgelegd in de AVG/GDPR en geldt voor alle organisaties die persoonsgegevens verwerken, inclusief onderwijsinstellingen.

Belangrijk om te weten is dat de 72-uurs termijn ingaat zodra iemand binnen de onderwijsinstelling redelijkerwijs kan vermoeden dat er sprake is van een datalek. Dit hoeft niet per se de functionaris gegevensbescherming of de directeur te zijn. Als een leerkracht bijvoorbeeld ontdekt dat een bestand met leerlinggegevens naar verkeerde ouders is gestuurd, gaat de klok op dat moment al lopen.

In de praktijk betekent dit dat scholen interne procedures moeten hebben om datalekken snel te kunnen identificeren en door te geven aan de verantwoordelijke personen. Het is niet voldoende om pas te beginnen met de 72-uurs termijn wanneer de directie of het bestuur op de hoogte is gesteld.

Als je voorziet dat je de melding niet binnen 72 uur kunt doen, moet je dit bij de melding aan de AP toelichten en uitleggen waarom de melding vertraagd is. Let op: de 72 uur betreft alle uren, dus ook weekenden en feestdagen tellen mee in deze periode.

Welke informatie moet je verzamelen voordat je een datalek meldt?

Voordat je een datalek meldt, moet je bepaalde essentiële informatie verzamelen om een volledige en accurate melding te kunnen doen. Dit helpt niet alleen bij de melding zelf, maar ook bij het beperken van de schade en het voorkomen van toekomstige incidenten.

De volgende informatie is cruciaal om te verzamelen:

• De aard en omvang van het datalek: welke gegevens zijn gelekt en hoeveel personen zijn getroffen?
• Wanneer het datalek heeft plaatsgevonden en wanneer het is ontdekt
• Welke categorieën persoonsgegevens betrokken zijn (bijvoorbeeld NAW-gegevens, contactgegevens, leerlingdossiers, gezondheidsgegevens, etc.)
• Of er bijzondere persoonsgegevens zijn gelekt, zoals gegevens over gezondheid, leerachterstanden of sociaal-emotionele ontwikkeling
• De mogelijke gevolgen voor de betrokkenen
• Welke technische en organisatorische maatregelen al zijn genomen om het lek te dichten
• Contactgegevens van de persoon die meer informatie kan verstrekken over het datalek

Voor onderwijsinstellingen is het belangrijk om extra aandacht te besteden aan de gevoeligheid van leerlinggegevens. Informatie over leerprestaties, gedragsproblemen of thuissituaties valt vaak onder bijzondere persoonsgegevens, waardoor een datalek extra zorgvuldig behandeld moet worden.

Het is raadzaam om een logboek bij te houden van alle acties die ondernomen worden na de ontdekking van het datalek. Dit helpt niet alleen bij de melding, maar ook bij eventuele latere vragen van de Autoriteit Persoonsgegevens.

Wanneer moet je een datalek melden aan de Autoriteit Persoonsgegevens?

Je moet een datalek melden aan de Autoriteit Persoonsgegevens wanneer er een risico is voor de rechten en vrijheden van de betrokken personen. Niet elk datalek hoeft gemeld te worden, maar in de onderwijssector is extra voorzichtigheid geboden vanwege de vaak gevoelige aard van de gegevens.

Een datalek moet in ieder geval gemeld worden als:

• Er gevoelige gegevens zijn gelekt, zoals informatie over leerachterstanden, gedragsproblemen of thuissituaties van leerlingen
• De gelekte gegevens kunnen leiden tot identiteitsfraude (bijvoorbeeld BSN-nummers)
• Er een aanzienlijke hoeveelheid gegevens is gelekt of veel personen getroffen zijn
• De gegevens in handen zijn gekomen van personen die geen toegang zouden mogen hebben
• Het lek kan leiden tot stigmatisering of uitsluiting van leerlingen of medewerkers

Voorbeelden van datalekken in het onderwijs die gemeld moeten worden zijn:

• Een onbeveiligde online leeromgeving waardoor onbevoegden bij leerlinggegevens kunnen
• Een gestolen of verloren laptop met onversleutelde leerlingdossiers
• Een e-mail met een bijlage van alle leerresultaten die naar de verkeerde ouders is gestuurd
• Een hack van het schoolsysteem waarbij persoonsgegevens zijn buitgemaakt

Bij twijfel is het altijd verstandig om te melden. De AP kan dan beoordelen of verdere actie nodig is. Het niet melden van een datalek dat wel gemeld had moeten worden, kan leiden tot boetes.

Moet je betrokkenen informeren over een datalek in het onderwijs?

Naast de melding aan de Autoriteit Persoonsgegevens moet je in bepaalde gevallen ook de betrokkenen informeren over het datalek. Dit zijn de leerlingen, ouders of medewerkers van wie de persoonsgegevens gelekt zijn.

Je moet betrokkenen informeren wanneer het datalek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden. In de onderwijscontext kan dit bijvoorbeeld het geval zijn als:

• Gevoelige informatie over leerprestaties of gedrag openbaar is geworden
• Informatie over de gezondheid of thuissituatie van leerlingen is gelekt
• Gegevens zijn gelekt die kunnen leiden tot pesten, discriminatie of uitsluiting
• Er risico is op identiteitsdiefstal of financiële schade

Bij het informeren van betrokkenen moet je duidelijk en in begrijpelijke taal uitleggen:

• Wat er is gebeurd en welke gegevens zijn gelekt
• Wat de mogelijke gevolgen zijn voor de betrokkenen
• Welke maatregelen de school heeft genomen om de schade te beperken
• Wat betrokkenen zelf kunnen doen om risico’s te verkleinen
• Bij wie ze terecht kunnen met vragen

Er is geen vaste termijn voor het informeren van betrokkenen, maar dit moet zonder onredelijke vertraging gebeuren. In de praktijk betekent dit zo snel mogelijk nadat de omvang en impact van het datalek duidelijk zijn.

Voor scholen is het belangrijk om zorgvuldig te communiceren over datalekken, met oog voor de emotionele impact die dit kan hebben op leerlingen en ouders. Een persoonlijke benadering, bijvoorbeeld via een ouderavond of individuele gesprekken, kan in sommige gevallen beter zijn dan een algemene brief.

Wat zijn de gevolgen als je een datalek niet (tijdig) meldt?

Het niet of niet tijdig melden van een datalek kan ernstige gevolgen hebben voor onderwijsinstellingen. De Autoriteit Persoonsgegevens kan verschillende sancties opleggen als blijkt dat een school niet aan de meldplicht heeft voldaan.

De mogelijke gevolgen zijn:

• Boetes die kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet
• Een last onder dwangsom om alsnog aan de verplichtingen te voldoen
• Een verwerkingsverbod, waardoor bepaalde gegevensverwerkingen tijdelijk of permanent moeten worden gestaakt
• Reputatieschade en verlies van vertrouwen bij ouders, leerlingen en medewerkers
• Aansprakelijkheid voor eventuele schade die betrokkenen lijden door het datalek

In de praktijk houdt de AP bij het bepalen van sancties rekening met de aard en ernst van de overtreding, de mate van verwijtbaarheid en eventuele verzachtende omstandigheden. Voor onderwijsinstellingen die kunnen aantonen dat ze de meldplicht serieus nemen en geprobeerd hebben tijdig te melden, zullen de sancties doorgaans milder zijn.

Een voorbeeld uit de onderwijssector: een middelbare school kreeg een boete van 50.000 euro omdat ze een datalek waarbij leerlinggegevens gestolen waren niet had gemeld. De school had het incident als een ‘intern probleem’ beschouwd, maar de AP oordeelde dat er wel degelijk sprake was van een meldingsplichtig datalek.

Het is daarom essentieel om datalekken serieus te nemen en bij twijfel altijd te melden. De gevolgen van niet melden zijn vrijwel altijd ernstiger dan de gevolgen van een melding die achteraf niet nodig bleek te zijn.

Hoe voorkom je datalekken in het onderwijs?

Preventie is natuurlijk beter dan genezen. Door de juiste maatregelen te nemen, kunnen veel datalekken in het onderwijs worden voorkomen. Hier zijn praktische stappen die je als onderwijsinstelling kunt nemen:

• Bewustwording en training: Zorg dat alle medewerkers weten wat een datalek is en hoe ze ermee om moeten gaan. Regelmatige trainingen en bewustwordingssessies zijn essentieel.
• Beveiligingsbeleid: Stel duidelijke regels op voor het omgaan met persoonsgegevens en zorg dat iedereen deze kent en naleeft.
• Toegangsbeveiliging: Werk met persoonlijke accounts en sterke wachtwoorden. Geef medewerkers alleen toegang tot de gegevens die ze voor hun werk nodig hebben.
• Versleuteling: Zorg dat gevoelige gegevens versleuteld worden opgeslagen en verzonden, zodat ze niet leesbaar zijn als ze onderschept worden.
• Veilige software: Gebruik alleen betrouwbare, up-to-date software en zorg voor regelmatige updates en patches.
• Veilige communicatie: Wees voorzichtig met het delen van persoonsgegevens via e-mail. Gebruik waar mogelijk beveiligde portalen voor het uitwisselen van informatie.
• Fysieke beveiliging: Vergeet niet dat datalekken ook kunnen ontstaan door gestolen of verloren apparaten. Beveilig laptops en andere apparaten goed.
• Datalekprotocol: Stel een duidelijk protocol op voor het geval er toch een datalek plaatsvindt, zodat iedereen weet wat te doen.

Een goede security voor scholen begint bij het in kaart brengen van de risico’s en het nemen van passende maatregelen. Met de juiste combinatie van technische beveiliging, organisatorische maatregelen en bewustwording onder medewerkers kunnen veel datalekken worden voorkomen.

Het is belangrijk om regelmatig te evalueren of de genomen maatregelen nog voldoende zijn en waar nodig aanpassingen te doen. De dreigingen op het gebied van cybersecurity veranderen voortdurend, dus ook de beschermingsmaatregelen moeten meegroeien.

Wij begrijpen dat het navigeren door de complexe wereld van databeveiliging en privacywetgeving een uitdaging kan zijn voor onderwijsinstellingen. Als je vragen hebt over hoe je jouw school beter kunt beschermen tegen datalekken of als je advies nodig hebt over wat te doen bij een incident, neem dan gerust contact met ons op. Onze experts helpen je graag verder met praktische oplossingen die passen bij jouw onderwijsomgeving.