Datalekken in het onderwijs

Deze week werd bekend dat een HAVO-leerling op Scholengemeenschap Spieringshoek in Schiedam zich toegang had verschaft tot het leerling volg systeem (LVS) en vervolgens samen met anderen cijfers hadden veranderd. Degene die het LVS heeft gehacked wordt waarschijnlijk van school gestuurd en er is aangifte gedaan bij de politie. Wat mij echter opviel was dat nergens werd gesproken over het melden van een datalek.

Wat is een datalek?

Voor de zekerheid nog even een korte uitleg van wat een datalek is. Op de site van Kennisnet staat het als volgt omschreven: “Als iemand toegang heeft tot persoonsgegevens terwijl dat niet mag, dan spreken we over een datalek”. Een uitgebreidere beschrijving is terug te vinden in de “Beleidregels meldplicht datalekken” van de Autoriteit Persoonsgegevens.

Een datalek dient binnen 2 dagen nadat deze ontdekt is te worden gemeld bij het Meldpunt van de Autoriteit Persoonsgegevens door een daartoe binnen de eigen organisatie aangewezen persoon. Gebeurt dit niet dan kan de Autoriteit boetes opleggen tot Eur 810.000,– of 4% van de jaaromzet.

Meer aandacht nodig voor het vraagstuk

Mijn indruk is dat er binnen het onderwijs steeds meer aandacht is voor informatiebeveiliging en privacy. En dan met name voor privacy. Ik heb het niet nagevraagd maar het zou zomaar kunnen dat Scholengemeenschap Spieringshoek officieel melding heeft gedaan van een datalek. Het zou echter ook zomaar kunnen dat dit niet gebeurd is.

Recent sprak ik een directeur van een school waar zich een vergelijkbaar incident had voorgedaan. Hij verkeerde in de veronderstelling dat het niet om een datalek ging. Ook spreek ik nog regelmatig bestuurders die op de vraag of zij al een procedure voor het melden van datalekken hebben geïmplementeerd antwoorden dat zij dit niet weten.

In mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. Deze heeft tot doel de privacywetgeving op Europees niveau te harmoniseren.  Wanneer je als organisatie op dat moment je informatiebeveiliging en privacybescherming niet op orde hebt loop je kans op nog hogere boetes dan hiervoor genoemd. Hoogste tijd dus dat iedereen de aandacht aan dit vraagstuk geeft die het verdient en datalekken ook daadwerkelijk gaat melden. Ik heb nog even gekeken naar het overzicht van de datalekken die in het eerste kwartaal van 2017 gemeld zijn bij de Autoriteit Persoonsgegevens (de AP publiceert met ingang van dit jaar ieder kwartaal een overzicht). Van de 2300 meldingen die zijn binnen gekomen was 3% afkomstig uit het onderwijs. Ik vraag mij serieus af of dit percentage klopt.

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *