Welke gegevens vallen onder datalek?

Een datalek in het onderwijs betreft elke situatie waarbij persoonsgegevens van leerlingen, ouders of medewerkers onbedoeld toegankelijk worden voor onbevoegden. Dit kan variëren van een kwijtgeraakte USB-stick met leerlinggegevens tot een gehackte schooladministratie. Voor scholen is het cruciaal om te weten welke gegevens hieronder vallen, wanneer meldplicht geldt en hoe datalekken te voorkomen zijn in de dagelijkse onderwijspraktijk.

Wat is een datalek volgens de AVG?

Een datalek wordt in de Algemene Verordening Gegevensbescherming (AVG) omschreven als een beveiligingsincident waarbij persoonsgegevens verloren raken of onrechtmatig worden verwerkt. Concreet betekent dit dat er sprake is van een datalek wanneer persoonsgegevens in handen komen van derden die geen toegang tot die gegevens zouden mogen hebben.

In de onderwijscontext kan dit verschillende vormen aannemen. Het gaat hierbij niet alleen om digitale gegevens, maar ook om fysieke documenten zoals papieren dossiers. De AVG maakt geen onderscheid in de vorm waarin de gegevens zijn opgeslagen, maar kijkt naar de aard van de gegevens en de mogelijke impact op de privacy van betrokkenen.

Belangrijk om te weten is dat niet elk beveiligingsincident automatisch een datalek is. Als een schoolcomputer crasht maar er geen gegevens verloren gaan of toegankelijk worden voor onbevoegden, is er geen sprake van een datalek. Er moet altijd sprake zijn van potentiële inbreuk op de vertrouwelijkheid, integriteit of beschikbaarheid van persoonsgegevens.

Welke persoonsgegevens vallen onder een datalek?

Bij een datalek in het onderwijs kunnen verschillende soorten persoonsgegevens betrokken zijn. De AVG maakt onderscheid tussen gewone en bijzondere persoonsgegevens, waarbij voor bijzondere gegevens strengere regels gelden.

Gewone persoonsgegevens die onder een datalek kunnen vallen zijn:

• Namen van leerlingen, ouders en medewerkers
• Adresgegevens en contactinformatie
• Geboortedatums
• Leerlingnummers
• E-mailadressen
• Financiële gegevens zoals bankrekeningen van ouders

Bijzondere persoonsgegevens in de onderwijscontext zijn:

• Gezondheidsgegevens van leerlingen (zoals in zorgdossiers)
• Informatie over leerachterstanden of diagnoses
• Gegevens over godsdienst of levensovertuiging
• Sociaal-emotionele ontwikkelingsgegevens
• Biometrische gegevens (bijvoorbeeld vingerafdrukken voor toegangscontrole)

Ook het Burgerservicenummer (BSN) van leerlingen en medewerkers valt onder de categorie gevoelige gegevens. Scholen verwerken deze gegevens dagelijks, wat betekent dat zorgvuldigheid geboden is bij de opslag en verwerking ervan.

Wanneer moet een school een datalek melden bij de AP?

Een school moet een datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP) als het waarschijnlijk is dat het lek een risico vormt voor de rechten en vrijheden van de betrokkenen. Dit is echter niet bij elk datalek het geval.

De meldplicht geldt specifiek wanneer:

• Er sprake is van een aanzienlijke kans op identiteitsfraude of reputatieschade
• Gevoelige gegevens zoals gezondheidsgegevens of leerlingdossiers zijn gelekt
• Er een grote hoeveelheid persoonsgegevens is betrokken
• Het lek kwetsbare groepen raakt, zoals jonge kinderen

Daarnaast geldt er een informatieplicht naar de betrokkenen (leerlingen, ouders, medewerkers) als het datalek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden. Dit betekent dat scholen in sommige gevallen niet alleen de AP moeten informeren, maar ook de personen wier gegevens zijn gelekt.

Het is cruciaal dat scholen een intern protocol hebben voor het beoordelen en melden van datalekken. De 72-uurs termijn begint te lopen zodra iemand binnen de organisatie kennis heeft genomen van het datalek, niet pas wanneer de directie of de functionaris gegevensbescherming hiervan op de hoogte is.

Wat is het verschil tussen een datalek en een beveiligingsincident?

Een beveiligingsincident is een breder begrip dan een datalek. Elk datalek is een beveiligingsincident, maar niet elk beveiligingsincident is een datalek. Het cruciale verschil zit in de betrokkenheid van persoonsgegevens.

Een beveiligingsincident in de schoolomgeving kan bijvoorbeeld zijn:

• Een computercrash waarbij tijdelijk geen toegang is tot systemen
• Een poging tot hacken die is afgewend
• Een stroomstoring waardoor digitale systemen uitvallen
• Malware op een schoolcomputer zonder toegang tot persoonsgegevens

Deze incidenten worden pas een datalek wanneer hierbij persoonsgegevens betrokken raken. Bijvoorbeeld wanneer:

• De hackers daadwerkelijk toegang krijgen tot leerlinggegevens
• De malware gevoelige informatie naar buiten stuurt
• Door de stroomstoring beveiliging tijdelijk uitvalt, waardoor onbevoegden bij gegevens kunnen

Voor scholen is het belangrijk om beide soorten incidenten goed te documenteren. Beveiligingsincidenten die geen datalek zijn, hoeven niet gemeld te worden bij de AP, maar moeten wel intern geregistreerd worden om de beveiliging te kunnen verbeteren.

Hoe herken je een datalek in de schoolomgeving?

In de dagelijkse onderwijspraktijk kunnen datalekken in verschillende vormen voorkomen. Het herkennen ervan is de eerste stap naar adequate afhandeling. Veelvoorkomende datalekken in het onderwijs zijn:

Fysieke datalekken:

• Een leerkracht die een klassenlijst met bijzonderheden over leerlingen in de trein laat liggen
• Leerlingdossiers die onbeheerd in een niet-afgesloten ruimte liggen
• Uitgeprinte rapporten die in de gewone papierbak belanden in plaats van de papierversnipperaar

Digitale datalekken:

• Een e-mail met leerlinggegevens die naar de verkeerde ouders wordt gestuurd
• Een USB-stick met toetsresultaten die kwijtraakt
• Een hack van het leerlingvolgsysteem
• Een datalek bij een leverancier die toegang heeft tot schoolgegevens
• Een onbeveiligde website waarop foto’s van schoolactiviteiten staan

Ook onbedoelde publicatie van gegevens kan een datalek vormen. Denk aan een schoolwebsite waarop per ongeluk adresgegevens van leerlingen zichtbaar zijn, of een gedeelde online map waarin onbedoeld vertrouwelijke informatie staat.

Het is belangrijk dat alle medewerkers binnen een onderwijsinstelling weten hoe ze een mogelijk datalek kunnen herkennen en bij wie ze dit moeten melden.

Wat zijn de gevolgen van een datalek voor een school?

Een datalek kan verschillende consequenties hebben voor een onderwijsinstelling. De impact hangt af van de ernst van het lek, de soort gegevens die betrokken zijn en hoe de school met het incident omgaat.

Mogelijke gevolgen zijn:

Juridische consequenties:

• Boetes van de Autoriteit Persoonsgegevens (tot 20 miljoen euro of 4% van de jaaromzet)
• Aansprakelijkheid voor schade die betrokkenen lijden door het datalek
• Verplichting tot het nemen van herstelmaatregelen

Praktische gevolgen:

• Extra werk door het afhandelen van het datalek en de meldplicht
• Kosten voor forensisch onderzoek bij digitale inbreuken
• Implementatie van aanvullende beveiligingsmaatregelen

Reputatieschade:

• Verlies van vertrouwen bij ouders en leerlingen
• Negatieve publiciteit in lokale of landelijke media
• Mogelijke daling van leerlingaantallen door imagoschade

De mate waarin deze gevolgen optreden, hangt sterk af van de transparantie en adequaatheid waarmee de school het datalek afhandelt. Open communicatie en het nemen van passende maatregelen kunnen de impact aanzienlijk beperken.

Hoe kunnen scholen datalekken voorkomen?

Preventie is cruciaal bij het omgaan met datalekken in het onderwijs. Scholen kunnen verschillende maatregelen nemen om het risico op datalekken te minimaliseren:

Technische maatregelen:

• Gebruik van sterke wachtwoorden en waar mogelijk tweefactorauthenticatie
• Versleuteling (encryptie) van gevoelige gegevens
• Regelmatige updates van software en systemen
• Beperking van toegangsrechten tot alleen noodzakelijke personen
• Beveiligde verbindingen voor toegang tot schoolsystemen

Organisatorische maatregelen:

• Bewustwordingstrainingen voor personeel over privacy en informatiebeveiliging
• Duidelijke protocollen voor het omgaan met persoonsgegevens
• Een procedure voor het melden en afhandelen van datalekken
• Regelmatige evaluatie van beveiligingsmaatregelen
• Duidelijke afspraken met leveranciers over gegevensverwerking (verwerkersovereenkomsten)

Praktische tips voor de dagelijkse praktijk:

• Clean desk policy: geen gevoelige informatie onbeheerd op bureaus
• Zorgvuldig omgaan met e-mailverkeer en dubbel controleren van ontvangers
• Geen gevoelige informatie delen via onbeveiligde communicatiekanalen
• Vertrouwelijke documenten altijd vernietigen in plaats van weggooien

Het creëren van een cultuur waarin privacy en gegevensbescherming serieus worden genomen, is misschien wel de belangrijkste preventieve maatregel. Als iedereen binnen de school zich bewust is van de risico’s en weet hoe hiermee om te gaan, verkleint dit de kans op datalekken aanzienlijk.

Hoe De Rolf Groep helpt met databeveiliging in het onderwijs

De Rolf Groep ondersteunt onderwijsinstellingen bij het voorkomen en afhandelen van datalekken door middel van professionele ICT-diensten en gerichte training en advies. Onze specialisten helpen u met:

• Het implementeren van beveiligingsmaatregelen op maat van uw onderwijsinstelling
• Training van uw personeel in privacy- en beveiligingsbewustzijn
• Het opstellen van datalekprocedures en privacybeleid
• Advies over de juiste IT-hardware voor veilige gegevensverwerking
• 24/7 support bij beveiligingsincidenten en datalekken

Heeft u vragen over databeveiliging of wilt u weten hoe u uw school beter kunt beschermen tegen datalekken? Neem contact met ons op voor een vrijblijvend adviesgesprek. Samen zorgen we ervoor dat uw onderwijsinstelling optimaal beschermd is tegen privacy-inbreuken.