AVG - Meldplicht datalekken

Op 1 januari 2016 is de wet op de meldplicht datalekken & privacy in werking getreden. Iedere organisatie die persoonsgegevens verwerkt, is verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens. De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.

Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden ook wel bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.

Wanneer er door verlies, diefstal of misbruik van persoonsgegevens ernstige nadelige gevolgen kunnen zijn voor de privacy, is er sprake van een datalek. Als een datalek het gevolg blijkt te zijn van nalatigheid of opzet kan de Autoriteit Persoonsgegevens een boete opleggen. De boete valt hoger uit als er sprake is van nalatigheid en slecht geregelde ict-beveiliging. Het is daarom belangrijk dat onze organisatie klaar is om dergelijke sancties te voorkomen.

Om voor de Borgesiusstichting de risico’s in te perken en heldere afspraken en procedures vast te leggen beantwoorden we in dit protocol een aantal vragen.

Welke persoonsgegevens verwerken wij en met welk doel?

Binnen het basisonderwijs valt het gebruik van persoonsgegevens te verdelen in drie aspecten:

  • Het gebruik van persoonsgegevens binnen de leerlingadministratie.
  • Het gebruik van persoonsgegevens binnen educatieve toepassingen.
  • Het gebruik van cloud-based communicatiesystemen.

Deze aspecten staan uiteraard in dienst van het geven van kwalitatief goed onderwijs aan onze leerlingen. Uitgangspunt voor het gebruik van persoonsgegevens is dan ook dat gegevens alleen uitgewisseld worden als dit voor het volgen van onderwijs relevant is.

  • Gebruik binnen de leerlingadministratie: Het leerlingadministratiesysteem (LAS) is op onze scholen de plaats waarin een grote hoeveelheid persoonsgegevens bijeen komt. Naast de uitgebreide persoonlijke gegevens van de leerling vinden we hier ook de gegevens van ouders/verzorgers. In toenemende mate zien we in dit systeem ook steeds meer informatie over de leervorderingen van de leerlingen. Inmiddels is ons LAS een web-based versie. Dit betekent dat alle gegevens in het systeem gehost worden op de servers in het datacentrum van de leverancier. Data zijn en blijven echter eigendom van de klant. In de gebruikersovereenkomst die wij met de leverancier van ons LAS hebben, dienen de privacyrechten gewaarborgd te zijn.
  • Gebruik binnen educatieve toepassingen: Met de toenemende digitalisering binnen het onderwijs neemt ook het gebruik van educatieve software toe. Ook hier geldt dat deze in toenemende mate webbased is. Binnen deze software kan het van belang zijn dat informatie vanuit het pakket gedeeld wordt. Informatie over resultaten van leerlingen kan gedeeld worden met het LAS via automatische koppeling. In dat geval dient deze informatie verstuurd te worden met een sleutel die de resultaten binnen het LAS aan de juiste leerling kan koppelen. Gegevens binnen de software kunnen daarnaast ook gebruikt worden om het pakket te verbeteren of de oefenstof van leerlingen op hun werkniveau aan te passen. Uitwisseling van deze gegevens vereist geen directe koppeling aan persoonsgegevens en dient dan ook anoniem te geschieden.

Welke technische en organisatorische maatregelen nemen we, ter bescherming van persoonsgegevens? 

Het onderwijs werkt samen met een groot aantal partners. Voor elk van deze partners geldt dat hij moet voldoen aan de regels die vanuit de wet bescherming persoonsgegevens worden voorgeschreven. In gebruikersovereenkomsten zijn de privacyregels vastgelegd. Daarnaast wordt met elke leverancier, als deze de gegevens van leerlingen of medewerkers opslaat, een verwerkersovereenkomst aangegaan. Hierin is vastgelegd op welke wijze men zorgt voor een beveiligde opslag van de gegevens en welke gegevens noodzakelijk zijn om processen goed uit te kunnen voeren.

Hoe gaat de Stichting om met de wet meldplicht datalekken ?

Wie beoordeelt een datalek? Elke medewerker binnen de organisatie, die een datalek vermoedt, geeft dit in eerste instantie aan bij de directie van de school. De directie bepaalt vervolgens of dit vermoeden reden is om dit bovenschools door te zetten. Als dit het geval is, wordt hiervoor een op stichtingsniveau gestandaardiseerd meldformulier gebruikt. Bovenschools worden de meldingen vanuit de scholen vastgelegd door de beleidsmedewerker ICT. Deze doe nader onderzoek. Bevindingen hiervan worden doorgesproken met de voorzitter van het College van Bestuur. Daarna wordt beslist of melding gedaan wordt.

Wie meldt een datalek bij de Autoriteit Persoonsgegevens (AP)?
De beleidsmedewerker ICT namens de stichting.

Wie verzorgt de communicatie richting interne en externe betrokkenen bij een datalek?
De beleidsmedewerker ICT is verantwoordelijk voor de juiste interne en externe communicatie bij een datalek. Uiteraard wordt binnen de organisatie overleg gevoerd met de voorzitter van het College van Bestuur voordat berichten ‘naar buiten’ gaan.

Zijn medewerkers op de hoogte van de nieuwe wetgeving betreffende de meldplicht datalekken en privacy?
We informeren al onze medewerkers over de meldplicht bij datalekken en privacy. Natuurlijk maken we ook helder welke vormen van datalekken kunnen voorkomen.