Onze thema’s Schoolorganisatie GDPR en privacy Beveiligingsincident en datalek

Beveiligingsincident en datalek

Een beveiligingsincident is elke vorm van inbreuk op de veiligheid van de gegevens, ook niet persoonsgegevens. Een datalek is een specifiek beveiligingsincident waarbij persoonsgegevens betrokken zijn.

Beveiligingsincident

Dit kan betekenen dat de gegevens:

  • verloren zijn gegaan;
  • gestolen zijn;
  • beschadigd zijn;
  • onbedoeld gewijzigd zijn;
  • onrechtmatig toegankelijk zijn geworden voor derden.

Voorbeelden van beveiligingsincidenten:

  • verlies of diefstal van een dossier (papier), USB-stick, tablet, computer, gsm of andere gegevensdrager;
  • een virusbesmetting;
  • een ransomware-aanval waarbij gegevens worden gegijzeld tot er losgeld wordt betaald;
  • diefstal van een wachtwoord;
  • hacking van een computersysteem.

Datalek

Bij een datalek dreigen persoonsgegevens:

  • ongeoorloofd openbaar gemaakt te worden;
  • verloren te gaan;
  • vernietigd of gewijzigd te worden.

Voorbeelden van datalekken:

  • cybercriminelen stelen persoonsgegevens via hacking of phishing;
  • verlies of diefstal van een apparaat met persoonsgegevens, zoals een externe harde schijf, USB-stick en laptop;
  • een technische lek in een softwareprogramma waardoor persoonsgegevens onbedoeld toegankelijk worden;
  • onzorgvuldigheid zoals het achterlaten van documenten met persoonsgegevens op een printer of het per ongeluk verzenden van een e-mail met persoonsgegevens;
  • het delen van wachtwoorden;

Verplichtingen

Volgens de AVG is het verplicht om elk beveiligingsincident bij te houden, ongeacht of er persoonsgegevens bij zijn betrokken. Als een beveiligingsincident persoonsgegevens betreft (datalek) dan kan het nodig zijn dat het schoolbestuur:

  • binnen de 72 uur de Vlaamse Toezichtscommissie informeert als het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen;
  • de betrokkenen informeert als er een hoog risico is voor hun rechten en vrijheden.

Wat moet worden bijgehouden van een beveiligingsincident?

  • datum en tijdstip van het incident;
  • aard van het incident: verlies, diefstal, hacking, …;
  • soort gegevens: e-mailadressen, wachtwoorden, namenlijst ontleners van boek, …;
  • oorzaak en gevolgen van het incident: meer kans op phishing en fraude (emailadres en wachtwoorden), verlies van bedrijfsgevoelige documenten kan leiden tot verlies van vertrouwelijkheid, …;
  • genomen maatregelen om het incident op te lossen en herhaling te voorkomen.

Het schoolbestuur moet een duidelijke procedure opstellen zodat medewerkers beveiligingsincidenten en datalekken direct kunnen melden. Zo kan snel actie worden ondernomen om de schade te beperken en te voldoen aan de wettelijke verplichtingen.