Skip links

helpdesk@kienict.nl

(088) 657 5050

Contact
Ondersteuning

 

KIEN
een 3d afbeelding van een wereldbol met spijlen eromheen ter bescherming

Privacy & gegevensbescherming

Een datalek in het onderwijs

Tot welke informatie heb jij toegang? En heb jij al die gegevens nodig om jouw werk te kunnen doen? Bewaar jij alle e-mail met bijlagen in je postvak? En neem je ook vaak personen mee in de ‘cc’ omdat dan iedereen meteen op de hoogte is? Een datalek is zo gebeurd.

Als je in het onderwijs werkt, wees je er dan van bewust dat je persoonlijke informatie, van vaak minderjarige personen, veilig verwerkt. Leerlingen, ouders en medewerkers moeten erop kunnen vertrouwen dat hun privégegevens, zoals namen, adressen en cijfers, niet in verkeerde handen vallen. Bij een datalek kan deze informatie bij mensen terechtkomen die het niet mogen hebben.

Daarom is het belangrijk om goed op te letten en snel actie tot actie over te gaan als er een datalek is of als je er een vermoedt. Zo voorkom je grotere problemen en zorg je er voor dat het niet nog een keer gebeurt. Volg de gouden regel: Meld altijd, ook bij twijfel.

Wat is een datalek?

Een datalek is een soort ‘lek’ waarbij persoonlijke informatie van leerlingen, studenten, leraren of ander personeel per ongeluk of door een beveiligingsprobleem wordt blootgesteld aan mensen die deze informatie niet mogen zien.

Wat zijn de meest voorkomende oorzaken van een datalek?

De meest voorkomende oorzaken zijn een gehackt computersysteem, een verloren USB-stick met gevoelige informatie, of een e-mail die per ongeluk (al dan niet in ‘cc’) naar de verkeerde personen wordt gestuurd.

Wat zijn de gevolgen van een datalek?

Een datalek in het onderwijs kan grote gevolgen hebben omdat scholen veel gevoelige informatie hebben, zoals namen, adressen, cijfers en soms zelfs medische gegevens van (minderjarige) leerlingen of studenten. Als deze informatie in verkeerde handen valt, kan dit leiden tot problemen zoals identiteitsdiefstal of schending van privacy.

Hoe kun je een datalek voorkomen?

Je kunt datalekken voor een groot deel voorkomen door goede beveiligingsmaatregelen nemen. Dit kun je onder andere zo doen: 

  • Sterke Wachtwoorden en Authenticatie: Zorg dat iedereen sterke en vooral lange wachtwoorden gebruikt (een zin) en schakel tweefactorauthenticatie in.
  • Bewustwording en Training: Train leraren
  • leerlingen
  • studenten en personeel over hoe ze veilig met persoonlijke informatie om kunnen gaan.
  • Regelmatige Updates: Zorg dat alle computers en software up-to-date zijn om beveiligingslekken te voorkomen.
  • Toegangscontrole: Beperk wie toegang heeft tot gevoelige informatie.

Wat is de meldplicht?

De meldplicht bij de Autoriteit Persoonsgegevens (AP) houdt in dat organisaties verplicht zijn om bepaalde soorten datalekken te melden bij de AP. De meldplicht is bedoeld om zowel de bescherming van persoonsgegevens te verhogen als de transparantie rondom datalekken te verbeteren. Het zorgt ervoor dat zowel de toezichthouder als de betrokken personen op de hoogte zijn van risico’s en maatregelen kunnen nemen om de schade te beperken.

Je hoeft een datalek niet zelf te melden bij de AP als je op school werkt. Meldt, ook bij een vermoeden, zo snel mogelijk. Nadat deze is bekeken door de privacy officer/team van school, én er sprake is van een datalek, wordt dit verder door hun opgepakt. De belangrijkste punten die goed zijn om te weten over de meldplicht en de procedure die daarbij hoort, leggen wij je hieronder uit:

Niet alle datalekken moeten gemeld worden maar je kunt beter het zekere voor het onzekere nemen. Bespreek het daarom altijd, ook als je twijfelt. Dit doe je bij de privacy officer of -team van jouw schoolorganisatie of bij jouw direct leidinggevende. De meldplicht aan de Authoriteit Persoonsgegevens geldt voor datalekken waarbij er een risico is op negatieve gevolgen voor de persoonlijke levenssfeer van betrokkenen. Als er bijvoorbeeld een kans is op identiteitsdiefstal, discriminatie, reputatieschade, of andere significante sociale of economische schade, moet het lek gemeld worden. 

Als jij of de schoolorganisatie een datalek ontdekt dat gemeld moet worden, dan moet dit binnen 72 uur na ontdekking gemeld worden bij de AP. Als het niet mogelijk is om alle details direct te geven, kan de organisatie een initiële melding doen en later meer informatie verstrekken.

De melding moet informatie bevatten over de aard van het datalek, welke categorieën en ongeveer hoeveel betrokkenen het betreft, de waarschijnlijke gevolgen van het datalek, en welke maatregelen de organisatie heeft genomen of zal nemen als reactie op het lek.

In sommige gevallen moet een datalek ook gemeld worden aan de personen wiens gegevens zijn gelekt. Dit is vooral het geval als het lek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van deze personen. Zij moeten dan geïnformeerd worden over de aard van het lek en de maatregelen die genomen zijn om de gevolgen te beperken.

Alle datalekken, ook die niet gemeld hoeven te worden bij de AP, moeten gedocumenteerd worden door de organisatie. Deze documentatie moet details bevatten over het lek, de gevolgen ervan, en de genomen maatregelen. De AP kan deze documentatie opvragen om te controleren of de organisatie aan de AVG voldoet.

Voorbeelden van datalekken in het onderwijs

Hacking van schoolsystemen: Cybercriminelen kunnen inbreken in de IT-systemen van een school of universiteit. Ze kunnen toegang krijgen tot gevoelige informatie zoals studentendossiers, financiële gegevens, en persoonlijke informatie van medewerkers en studenten.

Verloren of gestolen apparaten: Laptops, tablets, of USB-sticks die gevoelige informatie bevatten en die verloren of gestolen worden, kunnen een datalek veroorzaken als ze in verkeerde handen vallen.

Onbeveiligde online platforms: Het gebruik van onbeveiligde of ongeschikte online leerplatformen en communicatietools kan leiden tot onbedoelde blootstelling van persoonlijke gegevens van studenten en docenten.

Softwarefouten of -bugs: Fouten in software die door onderwijsinstellingen wordt gebruikt, kunnen leiden tot onbedoelde lekken van gegevens.

Phishing-aanvallen: Schoolpersoneel of studenten kunnen het slachtoffer worden van phishing-aanvallen, waarbij ze misleid worden om inloggegevens of andere gevoelige informatie te delen. Dit kan leiden tot ongeautoriseerde toegang tot schoolaccounts en systemen.

Onbedoelde openbaarmaking: Je kunt per ongeluk gevoelige informatie delen. Bijvoorbeeld door een e-mail met bijlagen met daarin gevoelige informatie naar een verkeerde ontvanger te sturen of door documenten met persoonlijke informatie onbeveiligd achter te laten. Of, wat vaak voorkomt, personen toevoegen in de cc. Hierdoor kunnen een groot aantal e-mailadressen onbedoeld bekend gemaakt worden. Hier kan misbruik van gemaakt worden door deze te gebruiken voor gerichte phishing aanvallen.

Ongeautoriseerde toegang door medewerkers, leerlingen of studenten: Soms kunnen medewerkers, leerlingen of studenten toegang krijgen tot gegevens waar ze geen rechten toe hebben, hetzij door een fout in het systeem, hetzij door misbruik van toegangsrechten.

Vragen?

Informatiebeveiliging en privacy is belangrijk om de betrouwbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening te borgen. Blijf veilig. Wil je weten hoe wij dat doen? Kijk hier of neem contact met ons op.

Algemene informatie

privacy@kienict.nl