Print

Meldplicht Datalekken

Inleiding en begripsbepaling
Op 1 januari 2016 is de wet op de meldplicht datalekken & privacy in werking getreden. Iedere organisatie die persoonsgegevens verwerkt, is verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens. De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.  
Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden ook wel bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.  

Wanneer er door verlies, diefstal of misbruik van persoonsgegevens ernstige nadelige gevolgen kunnen zijn voor de privacy, is er sprake van een datalek. Als een datalek het gevolg blijkt te zijn van nalatigheid of opzet, kan de Autoriteit Persoonsgegevens een boete opleggen. De boete valt hoger uit als er sprake is van nalatigheid en slecht geregelde ict-beveiliging. Het is daarom belangrijk dat onze organisatie klaar is om dergelijke sancties te voorkomen.

Om voor de Borgesiusstichting de risico’s in te perken en heldere afspraken en procedures vast te leggen willen we onderstaande vragen in dit protocol beantwoorden.

1. Welke persoonsgegevens verwerken wij en met welk doel? 
2. Welke technische en organisatorische maatregelen nemen we, ter bescherming van persoonsgegevens?  
3. Hoe gaat de Stichting om met de wet persoonsgegevens en datalekken ?
  • Wie beoordeelt een datalek? 
  • Wie meldt een datalek bij het CBP? 
  • Wie verzorgt de communicatie richting interne en externe betrokkenen bij een datalek? 
4. Zijn uw medewerkers op de hoogte van de nieuwe wetgeving betreffende de meldplicht datalekken en privacy? 
5. Is de ICT-omgeving goed beveiligd?

Welke persoonsgegevens verwerken wij en met welk doel?

Binnen het basisonderwijs valt het gebruik van persoonsgegevens te verdelen in drie aspecten:
a)    Het gebruik van persoonsgegevens binnen de leerlingadministratie.
b)    Het gebruik van persoonsgegevens binnen educatieve toepassingen.
c)    Het gebruik van cloud-based communicatiesystemen.

Deze aspecten staan uiteraard in dienst van het geven van kwalitatief goed onderwijs aan onze leerlingen. Uitgangspunt voor het gebruik van persoonsgegevens is dan ook, dat gegevens alleen uitgewisseld worden, indien dit voor het volgen van onderwijs relevant is. De aspecten die eerder aangegeven zijn willen we kort toelichten.

1.    Gebruik binnen de leerlingadministratie:
Het leerlingadministratiesysteem (LAS) is op onze scholen de plaats waarin een grote hoeveelheidheid persoonsgegevens bijeen komt. Naast de uitgebreide persoonlijke gegevens van de leerling, vinden we hier ook de gegevens van ouders/verzorgers. In toenemende mate  zien we in dit systeem ook steeds meer informatie over de leervorderingen van de leerlingen. 
Inmiddels is ons LAS een web-based versie. Dit betekent dat alle gegevens in het systeem gehost worden op de servers in het datacentrum van de leverancier. Data zijn en blijven echter eigendom van de klant. In de gebruikersovereenkomst die wij met de leverancier van ons LAS hebben, dienen de privacyrechten gewaarborgd te zijn.

2.    Gebruik binnen educatieve toepassingen:
Met de toenemende digitalisering binnen het onderwijs neemt ook het gebruik van educatieve software toe. Ook hier geldt dat deze in toenemende mate web-based is. Binnen deze software kan het van belang zijn, dat informatie vanuit het pakket gedeeld wordt. Informatie over resultaten van leerlingen kan gedeeld worden met het LAS via automatische koppeling. In dat geval dient deze informatie verstuurd te worden met een sleutel die de resultaten binnen het LAS aan de juiste leerling kan koppelen.
Gegevens binnen de software kunnen daarnaast ook gebruikt worden om het pakket te verbeteren of de oefenstof van leerlingen op hun werkniveau aan te passen. Uitwisseling van deze gegevens vereist geen directe koppeling aan persoonsgegevens en dient dan ook anoniem te geschieden.

Welke technische en organisatorische maatregelen nemen we, ter bescherming van persoonsgegevens?  
Het onderwijs werkt samen met een groot aantal partners. Voor elk van deze partners geldt dat hij moet voldoen aan de regels die vanuit de wet bescherming persoonsgegevens worden voorgeschreven.

In gebruikersovereenkomsten zijn de privacyregels vastgelegd. Het is echter niet haalbaar dit voor elk gebruikt softwareprogramma door te lopen.
Voor de grote partners (netwerkbeheer, LAS, grote uitgeverijen) is de privacy gewaarborgd. Wij ondersteunen derhalve het initiatief vanuit de PO-raad, waarbij een standaard convenant wordt ontwikkeld dat voldoet aan de regels. Gebruikers die produkten gebruiken van partijen die dit standaard convenant ondertekend hebben, weten dan dat binnen dat product de privacy gewaarborgd is.
Daarnaast zullen we binnen de organisatie onze medewerkers bewust moeten maken van de privacy wetgeving en regels en afspraken daaromheen op stichtingsniveau moeten vastleggen. Op dit aspect wordt in het volgend hoofdstuk nader ingegaan.

Hoe gaat de Stichting om met de wet persoonsgegevens en datalekken ?
  1. Wie beoordeelt een datalek?
Elke medewerker binnen de organisatie, die een datalek vermoedt, geeft dit in eerste instantie aan bij de directie van de school. De directie bepaalt vervolgens of dit vermoeden reden is dit bovenschools door te zetten. Indien dit het geval is, wordt het meldingsformulier datalek (bijlage 1) gebruikt.
Bovenschools worden de meldingen vanuit de scholen vastgelegd door de beleidsmedewerker ICT. Deze doet, indien nodig, nader onderzoek. Bevindingen hiervan worden doorgesproken met de Voorzitter College van Bestuur. Daarna wordt beslist of melding gedaan wordt.

        2. Wie meldt een datalek bij het CBP? 
De melding bij het CBP wordt namens de Stichting gedaan door de beleidsmedewerker ICT.

        3. Wie verzorgt de communicatie richting interne en externe betrokkenen bij een datalek? 
De beleidsmedewerker ICT is verantwoordelijk voor de juiste interne en externe communicatie bij een datalek. Uiteraard wordt binnen de organisatie overleg gevoerd met de Voorzitter College van Bestuur voordat berichten ‘naar buiten’ gaan.

        4. Zijn medewerkers op de hoogte van de nieuwe wetgeving betreffende de meldplicht datalekken en privacy?
Al onze medewerkers worden geÏnformeerd over de meldplicht bij datalekken en privacy.
Hierbij dient voor medewerkers helder gemaakt te worden welke vormen van datalekken kunnen voorkomen. We richten ons op de volgende facetten:
    Vermoeden van onterecht uitwisselen van leerlinggegevens (bijvoorbeeld het ontvangen van aanbiedingen van commerciële bedrijven die rechtstreeks op leerresultaten van een groep of individuele leerlingen terug te voeren zijn.)
    Datalek door verlies /diefstal van apparatuur en/of inloggegevens. We gebruiken steeds meer apparatuur bij ons werk. Al deze apparatuur kan gegevens bevatten, die niet toegankelijk mogen zijn voor anderen. Denk hierbij bijvoorbeeld aan het gebruik van apps op een tablet of smartphone.
Diefstal of verlies van deze apparatuur kan leiden tot datalek, als de apparatuur of de apps niet goed beveiligd zijn