Wat is het verschil tussen een incident en een datalek?

In het onderwijs worden we steeds afhankelijker van digitale systemen en persoonsgegevens. Daarmee neemt ook het risico op beveiligingsincidenten en datalekken toe. Een incident en een datalek zijn echter niet hetzelfde. Een incident is een beveiligingsgebeurtenis die de normale bedrijfsvoering verstoort, terwijl een datalek specifiek gaat over het onbedoeld vrijkomen van persoonsgegevens. Voor scholen is het cruciaal dit onderscheid te kennen, omdat datalekken onder de AVG meldingsplichtig kunnen zijn en ernstige gevolgen kunnen hebben.

Wat is het verschil tussen een incident en een datalek?

Een beveiligingsincident is elke gebeurtenis die de normale werking van informatiesystemen verstoort of bedreigt, terwijl een datalek specifiek gaat over het ongeautoriseerd vrijkomen van persoonsgegevens. Dit is het fundamentele verschil: niet elk incident is een datalek, maar elk datalek begint als een incident.

Bij een beveiligingsincident kan het gaan om uiteenlopende situaties zoals:

• Een tijdelijke storing in het leerlingvolgsysteem
• Een virus op een schoolcomputer
• Een poging tot phishing via de e-mail van een medewerker
• Een defecte harde schijf met onderwijsmateriaal

Een datalek daarentegen betreft altijd het onbedoeld vrijkomen van persoonsgegevens, bijvoorbeeld:

• Een e-mail met leerlinggegevens die naar de verkeerde ouders is gestuurd
• Een gestolen laptop met onversleutelde cijferlijsten
• Een hack waarbij toegang is verkregen tot het personeelssysteem
• Een papieren dossier met zorgleerlinggegevens dat kwijtgeraakt is

Voor scholen is dit onderscheid belangrijk omdat datalekken vaak meldingsplichtig zijn onder de AVG, terwijl incidenten dat niet altijd zijn. Bovendien kunnen datalekken leiden tot reputatieschade en verlies van vertrouwen bij ouders en personeel.

Wanneer wordt een incident een datalek?

Een beveiligingsincident wordt een datalek zodra er persoonsgegevens betrokken zijn die onbedoeld zijn vrijgekomen of toegankelijk zijn geworden voor onbevoegden. De cruciale vraag is dus: zijn er persoonsgegevens in het spel en zijn deze in verkeerde handen gevallen of hadden ze daarin kunnen vallen?

Drie criteria bepalen of een incident als datalek moet worden beschouwd:

1. Persoonsgegevens betrokken – Het moet gaan om informatie die te herleiden is tot natuurlijke personen (leerlingen, ouders, medewerkers)
2. Onbedoelde toegang of verlies – De gegevens zijn buiten de controle van de school geraakt
3. Risico voor betrokkenen – Er bestaat een reëel risico voor de rechten en vrijheden van de betrokken personen

In de schoolomgeving zien we regelmatig grensgevallen. Bijvoorbeeld: een leerkracht raakt een USB-stick kwijt. Is dit een datalek? Dat hangt af van wat er op de stick stond. Bevatte deze alleen lesmaterialen zonder persoonsgegevens? Dan is het een incident. Stonden er leerlingresultaten of zorgplannen op? Dan is het een datalek.

Een ander voorbeeld: het digitale schoolsysteem is tijdelijk onbereikbaar door een technische storing. Dit is meestal alleen een incident. Het wordt een datalek als tijdens die storing onbevoegden toegang konden krijgen tot persoonsgegevens of als gegevens verloren zijn gegaan.

Wat zijn de wettelijke verplichtingen bij een datalek?

Bij een datalek hebben scholen specifieke wettelijke verplichtingen onder de Algemene Verordening Gegevensbescherming (AVG). De belangrijkste verplichting is de meldplicht datalekken, die bepaalt dat ernstige datalekken binnen 72 uur gemeld moeten worden bij de Autoriteit Persoonsgegevens (AP).

De meldplicht geldt wanneer het datalek waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen. Voor scholen betekent dit concreet:

• Documentatieplicht: Alle datalekken moeten intern worden gedocumenteerd, ook als ze niet meldingsplichtig zijn
• Meldplicht AP: Datalekken met risico voor betrokkenen moeten binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens
• Informatieplicht betrokkenen: Als het datalek een hoog risico inhoudt, moeten ook de betrokken personen (leerlingen, ouders, medewerkers) worden geïnformeerd

Voor onderwijsinstellingen is het belangrijk te weten dat datalekken met bijzondere persoonsgegevens – zoals gezondheidsgegevens van leerlingen of informatie over leerachterstanden – vrijwel altijd meldingsplichtig zijn. Dit geldt ook voor grote hoeveelheden ‘gewone’ persoonsgegevens, zoals een compleet leerlingenbestand.

De Autoriteit Persoonsgegevens kijkt bij scholen extra kritisch, omdat het vaak om gegevens van minderjarigen gaat. Een niet (tijdig) gemeld datalek kan leiden tot boetes, die kunnen oplopen tot miljoenen euro’s.

Hoe herken je een datalek in de schoolomgeving?

In de schoolomgeving komen specifieke vormen van datalekken voor die je moet leren herkennen. Alertheid hierop kan veel problemen voorkomen. Typische voorbeelden van datalekken in het onderwijs zijn:

• Verkeerd geadresseerde communicatie – Een e-mail met cijferlijsten naar de verkeerde ouders, een rapport in de verkeerde envelop
• Verloren of gestolen apparatuur – Kwijtgeraakte laptops, tablets of USB-sticks met leerlinggegevens
• Onbeveiligde digitale systemen – Leerlingvolgsystemen zonder adequate wachtwoordbeveiliging
• Phishing en hacking – Ongeautoriseerde toegang tot schoolsystemen via gerichte aanvallen
• Papieren dossiers – Rondslingerende of kwijtgeraakte fysieke dossiers met gevoelige informatie

Signalen die kunnen wijzen op een datalek zijn:

• Onverklaarbare wijzigingen in digitale systemen
• Meldingen van ouders die informatie ontvangen over andermans kinderen
• Verdachte e-mails of berichten uit naam van de school
• Ontbrekende apparatuur of dossiers
• Ongebruikelijke activiteit in gebruikersaccounts

Leerkrachten en ondersteunend personeel moeten weten dat zelfs kleine incidenten, zoals het per ongeluk delen van een foto van een leerling zonder toestemming, een datalek kunnen vormen. Door deze bewustwording kunnen potentiële datalekken sneller worden herkend en aangepakt.

Wat moet je doen bij een incident of datalek?

Bij een incident of datalek is snelle en adequate actie essentieel. Als schoolleider of teamleider is het belangrijk om een duidelijk stappenplan te hebben dat direct gevolgd kan worden. Dit stappenplan ziet er als volgt uit:

1. Beoordeel en beperk de schade
   • Stel vast wat er precies is gebeurd
   • Neem direct maatregelen om het lek te dichten of het incident te stoppen
   • Verzamel alle relevante informatie over het voorval
2. Bepaal of het een datalek is
   • Zijn er persoonsgegevens betrokken?
   • Zijn deze toegankelijk geweest voor onbevoegden?
   • Is er risico voor de betrokkenen?
3. Schakel hulp in
   • Informeer de Functionaris Gegevensbescherming (FG) of privacy-coördinator
   • Betrek indien nodig IT-ondersteuning
4. Documenteer het voorval
   • Leg alle details vast, ook als het geen meldingsplichtig datalek blijkt
   • Noteer welke maatregelen zijn genomen
5. Meld indien nodig
   • Beoordeel of melding bij de AP nodig is (binnen 72 uur)
   • Bepaal of betrokkenen geïnformeerd moeten worden
6. Evalueer en verbeter
   • Analyseer hoe het incident kon gebeuren
   • Implementeer maatregelen om herhaling te voorkomen

Voor schoolleiders is het cruciaal om een incidentresponseplan te hebben dat voor alle medewerkers bekend en toegankelijk is. Zorg dat iedereen weet bij wie ze een incident kunnen melden en wat de eerste stappen zijn. Snelheid is essentieel, vooral bij de 72-uurs meldplicht voor datalekken.

Documentatie is ook bij kleinere incidenten belangrijk. Het bijhouden van een incidentenregister helpt bij het identificeren van terugkerende problemen en het verbeteren van de beveiliging.

Hoe voorkom je incidenten en datalekken in het onderwijs?

Preventie is altijd beter dan herstel. Voor scholen zijn er verschillende effectieve maatregelen om incidenten en datalekken te voorkomen. Deze vallen uiteen in technische, organisatorische en mensgerichte maatregelen.

Technische maatregelen:

• Implementeer sterke wachtwoordbeveiliging en waar mogelijk tweefactorauthenticatie
• Zorg voor up-to-date antivirussoftware en firewalls
• Versleutel gevoelige gegevens, zeker op draagbare apparaten
• Maak regelmatig back-ups en test deze
• Zorg voor veilige netwerkverbindingen, vooral bij thuiswerken

Organisatorische maatregelen:

• Stel een duidelijk privacybeleid op en communiceer dit
• Beperk toegangsrechten tot alleen wat noodzakelijk is per functie
• Maak afspraken over het gebruik van persoonlijke apparaten voor schoolwerk
• Ontwikkel procedures voor het veilig delen van leerlinggegevens
• Zorg voor een actueel incidentresponseplan

Mensgerichte maatregelen:

• Organiseer regelmatig bewustwordingstrainingen voor alle medewerkers
• Besteed aandacht aan veilig digitaal gedrag in teamoverleggen
• Creëer een open cultuur waarin mensen incidenten durven te melden
• Zorg voor duidelijke instructies bij nieuwe systemen of processen

Voor een effectieve beveiliging is het belangrijk om alle drie de aspecten te combineren. Techniek alleen is niet voldoende; medewerkers moeten weten hoe ze veilig moeten werken en wat ze moeten doen als er iets misgaat.

Wij bieden scholen complete security oplossingen die technische beveiliging combineren met advies en training. Onze experts helpen bij het inrichten van veilige systemen, het opstellen van beleid en het trainen van medewerkers. Zo werken we samen aan een veilige digitale leeromgeving waar persoonsgegevens optimaal beschermd zijn.

Heeft u vragen over de beveiliging van uw schoolgegevens of wilt u weten hoe u beter voorbereid kunt zijn op mogelijke incidenten? Neem dan gerust contact met ons op voor advies op maat.