vrijdag 11 december 2015

Vanaf 1 januari a.s. hebben alle scholen een meldplicht bij datalekken...


Wat is een datalek?

Een datalek wordt gedefinieerd als het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie aan een onvertrouwd publiek (Bron) of zoals op de website van het CBP staat:
"Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegeven. (Bron)"
Volgens het CBP spreken van een datalek als er "een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens1)). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden. (Bron)"

Voorbeelden van datalekken zijn bijvoorbeeld:
  • een kwijtgeraakte USB-stick met persoonsgegevens van leerlingen en/of collega's,
  • een gestolen laptop met daarop persoonsgegevens van leerlingen en/of collega's,
  • een inbraak in een databestand van de leerlingenadministratie / personeelsadministratie door een hacker.

Vanaf 1 januari 2016 hebben alle scholen een meldplicht bij datalekken!

Met ingang van 1 januari 2016 gaat is de meldplicht bij datalekken voor organisaties die persoonsgegevens opslaan/verwerken van kracht, dus óók voor scholen!

Deze meldplicht houdt in dat organisaties (bedrijven - overheden) direct een melding moeten doen bij het College Bescherming Persoonsgegevens (CBP) zodra zij een ernstig datalek hebben. En soms moet het datalek ook worden gemeld aan de mensen van wie de persoonsgegevens zijn gelekt.

Moeten alle datalekken worden gemeld bij het CBP?

Niet alle datalekken hoeven gemeld te worden bij het CBP. Je hoeft een datalek alleen te melden als dit "leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt. (Bron)" Een eventueel datalek kun je m.i.v. 1 januari 2016 melden bij het CBP middels een formulier op de website van het CBP. 

Hoe kun je je voorbereiden op de inwerkingtreding van de meldplicht datalekken?

Het CBP geeft zes maatregelen die je nu al kunt treffen:
  1. Een goede beveiliging van de persoonsgegevens.
  2. Een goed incidentenbeheer inrichten.
  3. Beslissen wie in de organisatie datalekken gaat beoordelen en melden bij het CBP.
  4. Nadenken over hoe je de betrokkenen gaat informeren bij een datalek.
  5. Nadenken over hoe je wilt omgaan met signalen uit de buitenwereld over mogelijke datalekken.
  6. Afspraken met jouw bewerkers controleren.

Meer lezen over de 'Meldplicht bij datalekken'

  • College Bescherming Persoonsgevens: 'Meldplicht datalekken'"
    Op 1 januari 2016 gaat de meldplicht datalekken in. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het College bescherming persoonsgegevens (CBP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt)..." Lees het hele artikel »
  • ICTPricacyRecht: Factsheet 'Impact van de meldplicht datalekken' (pdf-document)
    "Vanaf 1 januari 2016 wordt het wettelijk verplicht om datalekken te melden. Zowel grootschalige inbraak als ieder kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens telt als een datalek. En dat is nog niet alles. Wie data laat lekken of persoonsgegevens verwerkt zonder zich netjes aan de wet te houden, loopt kans op boetes die kunnen oplopen tot € 820.000,- of 10% van de jaaromzet per overtreding. Wat betekent dit voor uw bedrijf?" Document downloaden.
  • Kennisnet: '5 x dit moet je als school doen bij datalekken'"
    Als er binnen je school iets lekt dan ben je voorbereid: je belt de loodgieter, de verzekeraar, geeft lokaalwijzigingen door. Maar wat als er data lekt? Hoe zat het ook alweer met die meldplicht? En met boetes? Vanaf 1 januari hebben alle scholen een meldplicht bij datalekken. Daarom in dit artikel: alles wat je daar als school over moet weten in 5 vragen en antwoorden..." Lees het hele artikel »
1) Artikel 13 Wet bescherming persoonsgegevens
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Geen opmerkingen:

Een reactie plaatsen

Plaats hier je reactie.

Opmerking: alleen leden van deze blog kunnen een reactie plaatsen.