Op 1 januari 2016 is de wet op de meldplicht datalekken & privacy in werking getreden. Iedere organisatie die persoonsgegevens verwerkt, is verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens. De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.
Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden ook wel bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.
Wanneer er door verlies, diefstal of misbruik van persoonsgegevens ernstige nadelige gevolgen kunnen zijn voor de privacy, is er sprake van een datalek. Als een datalek het gevolg blijkt te zijn van nalatigheid of opzet kan de Autoriteit Persoonsgegevens een boete opleggen. De boete valt hoger uit als er sprake is van nalatigheid en slecht geregelde ict-beveiliging. Het is daarom belangrijk dat onze organisatie klaar is om dergelijke sancties te voorkomen.
Om voor de Borgesiusstichting de risico’s in te perken en heldere afspraken en procedures vast te leggen beantwoorden we in dit protocol een aantal vragen.
Welke persoonsgegevens verwerken wij en met welk doel?
Binnen het basisonderwijs valt het gebruik van persoonsgegevens te verdelen in drie aspecten:
Deze aspecten staan uiteraard in dienst van het geven van kwalitatief goed onderwijs aan onze leerlingen. Uitgangspunt voor het gebruik van persoonsgegevens is dan ook dat gegevens alleen uitgewisseld worden als dit voor het volgen van onderwijs relevant is.
Welke technische en organisatorische maatregelen nemen we, ter bescherming van persoonsgegevens?
Het onderwijs werkt samen met een groot aantal partners. Voor elk van deze partners geldt dat hij moet voldoen aan de regels die vanuit de wet bescherming persoonsgegevens worden voorgeschreven. In gebruikersovereenkomsten zijn de privacyregels vastgelegd. Daarnaast wordt met elke leverancier, als deze de gegevens van leerlingen of medewerkers opslaat, een verwerkersovereenkomst aangegaan. Hierin is vastgelegd op welke wijze men zorgt voor een beveiligde opslag van de gegevens en welke gegevens noodzakelijk zijn om processen goed uit te kunnen voeren.
Hoe gaat de Stichting om met de wet meldplicht datalekken ?
Wie beoordeelt een datalek? Elke medewerker binnen de organisatie, die een datalek vermoedt, geeft dit in eerste instantie aan bij de directie van de school. De directie bepaalt vervolgens of dit vermoeden reden is om dit bovenschools door te zetten. Als dit het geval is, wordt hiervoor een op stichtingsniveau gestandaardiseerd meldformulier gebruikt. Bovenschools worden de meldingen vanuit de scholen vastgelegd door de beleidsmedewerker ICT. Deze doe nader onderzoek. Bevindingen hiervan worden doorgesproken met de voorzitter van het College van Bestuur. Daarna wordt beslist of melding gedaan wordt.
Wie meldt een datalek bij de Autoriteit Persoonsgegevens (AP)?
De beleidsmedewerker ICT namens de stichting.
Wie verzorgt de communicatie richting interne en externe betrokkenen bij een datalek?
De beleidsmedewerker ICT is verantwoordelijk voor de juiste interne en externe communicatie bij een datalek. Uiteraard wordt binnen de organisatie overleg gevoerd met de voorzitter van het College van Bestuur voordat berichten ‘naar buiten’ gaan.
Zijn medewerkers op de hoogte van de nieuwe wetgeving betreffende de meldplicht datalekken en privacy?
We informeren al onze medewerkers over de meldplicht bij datalekken en privacy. Natuurlijk maken we ook helder welke vormen van datalekken kunnen voorkomen.