Stap 8: meld gegevenslekken en beveiligingsincidenten

De GDPR/AVG vraagt om adequate procedures te voorzien om datalekken op te sporen, te melden en te onderzoeken.

Een gegevenslek is een situatie waarin persoonsgegevens dreigen ongeoorloofd openbaar te worden gemaakt, verloren te gaan, vernietigd of gewijzigd te worden.

Als het gaat om een gegevenslek is de meldplicht gegevenslekken van toepassing als onderdeel van de GDPR (art. 33 en 34 ).

De geautoriseerde toezichthouders vragen om adequate procedures te voorzien om gegevenslekken op te sporen, te rapporteren en te onderzoeken.

Voorbeelden van gegevenslekken zijn:

  • een ransomware-aanval die de toegang tot de IT-infrastructuur en bestanden blokkeert;
  • een gestolen laptop, verloren USB-stick of andere gegevensdrager met veel (gevoelige) persoonsgegevens erop;
  • een persoon met onrechtmatige toegang tot het administratie- of volgsysteem;
  • personeelsdossiers die onbedoeld openbaar gemaakt zijn;
  • een personeelslid dat per ongeluk een e-mail met (gevoelige) persoonsgegevens verstuurd heeft naar onbevoegde ontvangers.

Waarom beveiligingsincidenten melden?

sla link op in klembord

Beveiligingsincidenten kunnen leiden tot informatie en/of gegevens die verloren gaan of onbedoeld gewijzigd worden. Dit kan gevolgen hebben voor de kwaliteit en de continuïteit van het onderwijs.

Daarnaast kunnen vertrouwelijke gegevens door beveiligingsincidenten op straat komen te liggen of in verkeerde handen vallen.

Voor de verwerking van persoonsgegevens zijn regels vastgelegd in de GDPR-verordening. Het niet zorgvuldig omgaan met vertrouwelijke gegevens kan leiden tot sancties, boetes en imagoschade.

Wie doet wat?

sla link op in klembord

Het school-, internaat- en centrumbestuur stellen richtlijnen op ter preventie van gegevenslekken. De richtlijnen zijn een onderdeel van het informatieveiligheid- en privacybeleid (IVP).

De Data Protection Officer (DPO) van de koepelorganisatie helpt mee met het indienen van een melding bij de Vlaamse Toezichtcommissie (VTC). De DPO organiseert professionalisering zodat het aanspreekpunt op de hoogte is van het reilen en zeilen van het melden van gegevenslekken.

De leidinggevende brengt de personeelsleden binnen de onderwijsinstelling op de hoogte van de richtlijnen ter preventie van gegevenslekken en ziet toe op de naleving ervan.

Het aanspreekpunt informatieveiligheid (AIV):

  • meldt een gegevenslek aan de Vlaamse Toezichtcommissie wanneer het lek een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Indien mogelijk, uiterlijk 72 uur nadat het aanspreekpunt er kennis van heeft genomen en gecontroleerd heeft of er wel degelijk sprake is van een gegevenslek;
  • moet alle gegevenslekken (ook de allerkleinste) bijhouden in een intern logboek. Dit logboek vermeldt: de oorzaak, de getroffen persoonsgegevens, de gevolgen en de genomen beveiligingsmaatregelen. Dit logboek kan geïntegreerd worden in het register van verwerkingsactiviteiten;
  • brengt de DPO van de koepelorganisatie op de hoogte. De DPO zal (indien nodig) meehelpen met het indienen van de melding bij de VTC;
  • moet een gegevenslek melden aan de betrokkenen als het gegevenslek een hoog risico inhoudt voor de rechten en vrijheden van de betrokkene.

Contact

Gino De Meester
stafmedewerker
02 507 08 12
Peter Declerck
pedagogisch begeleider
Philip Marchal
stafmedewerker
02 507 06 18
×
Kijkt als...
Niveau
Regio