Datalek melden
Scholen zijn verplicht melding te doen van ernstige datalekken bij de Autoriteit Persoonsgegevens. Het nalaten van deze melding kan leiden tot een fikse boete.
De meldplicht is alleen van toepassing wanneer persoonsgegevens worden verwerkt. Bijvoorbeeld in de leerlingadministratie of digitale leermiddelen. Het melden is nadrukkelijk niet bedoeld als afrekeninstrument, maar om processen te verbeteren.
Wat is een datalek?
Er is sprake van een datalek als er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan, óf waarbij het niet valt uit te sluiten is dat persoonsgegevens verloren zijn gegaan. Er is persoonlijke informatie ‘gelekt’. Een klassiek voorbeeld van een datalek is een hack waarbij een database met persoonsgegevens is gestolen. Maar het verliezen van een usb-stick met daarop de adresgegevens van klas 3b, of het per ongeluk versturen van een mail naar een verkeerde afzender, is mogelijk ook een datalek.
De meldplicht geldt voor alle medewerkers, maar ook voor leerlingen van de school. Eindverantwoordelijk is het schoolbestuur.
Als er een datalek is, moet dat z.s.m. maar binnen 24 uur na ontdekking van het lek gemeld worden via dit formulier. Het IBP-team handelt het incident verder af en neemt zo nodig contact op met de FG en de Autoriteit Persoonsgegevens.