illustratie legaliseasy.nl
Gebruik je geen excel sheets en geen administratie- of registratieprogramma? Maar doe je je tso-administratie volledig op papier? Dan hoef je dit artikel eigenlijk niet te lezen. Gebruik je wel digitale hulpmiddelen, ook al is het maar een simpel excel sheet, verdiep je dan even in datalekkage: het vrijkomen, wijzigen of vernietigen van privacygevoelige gegevens zonder dat dit de bedoeling is.Een voorbeeld van datalekkage
Je hebt een spreadsheet met alle ouders en kinderen, hun adressen, aandachtspunten en zo meer. Je neemt dit mee naar huis op een usb-stick maar door een ongelukkig toeval verlies je de stick. Deze belandt op het schoolplein en de vinder heeft toegang tot al deze gegevens. Dit is weliswaar niet zo dramatisch als we soms in het journaal horen, zoals laatst over de gestolen medische gegevens van 781 ziekenhuis patiënten, maar als het je overkomt is dat natuurlijk wel heel vervelend.
In welke gevallen moet er iets mee gedaan worden?
Er moet alleen iets mee gedaan worden als het gaat om A. digitale informatie zoals een excel sheet of een ander databestand (zoals wellicht op je computer, het netwerk van school of in de cloud), B. privacygevoelige informatie en C. als het ernstig genoeg is. In die gevallen bestaat er een meldplicht. Wordt niet gemeld dan kan dat op een boete uitlopen.
Wanneer is een lek ernstig?
Het is ernstig als het waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van betrokkenen. Ga maar eens na: Hoe ernstig zou jij het vinden als jouw bankrekeningnummer of een aandachtspunt van jouw kind bij onbekenden terecht zou komen? Ernstig!
Wat moet er dan gebeuren?
- In eerste instantie moet het direct (binnen 72 uur) gemeld worden bij de Meldloket Autoriteit Persoonsgegevens.
- Gaat het om een ernstige lekkage dan moeten ook de betrokkenen, in dit geval de ouders van de kinderen, op de hoogte worden gebracht.
Wie moet het melden?
Degene die de verantwoordelijk is voor de dataverwerking moet melden. In geval van de TSO is dit de directeur van de school, ook al is de lekkage veroorzaakt door een ingehuurde tso-uitvoerder of een extern administratie kantoor. Als tso-coördinator moet je uiteraard je directeur op de hoogte stellen van een (vermoedelijk) lek. Je maakt afspraken met de directeur wie het slechte nieuws eventueel aan de ouders vertelt en hoe dat gebeurt.
Geluk bij een ongeluk: Bij versleuteling is het melden van een datalek aan de ouders niet nodig
De ultieme bescherming is het versleutelen van gevoelige gegevens. Mochten versleutelde gegevens weglekken of gestolen worden dan kan niemand er verder iets mee. Het hoeft dan ook niet gemeld te worden aan de ouders (wel aan de Autoriteit Persoonsgegevens). Gebruik je TSO-ASSISTENT dan kun je er vanuit gaan dat je tso-administratie niet alleen goed beveiligd is tegen computerinbraak maar dat alle gegevens bovendien versleuteld zijn volgens de zwaarste normen. Wordt het misschien tijd om ook over te stappen?
De hamvraag: Hoe voorkom je datalekkage?
Het voorkomen vergt een aantal maatregelen die voor een deel afhangen van de praktische situatie van jouw TSO. Het begint met je bewustworden van de mogelijke risico’s. Schakel hierbij de ICT en de directeur van school in. Inventariseer systematisch alle mogelijk risico’s:
- Wie kunnen er eigenlijk allemaal bij onze gegevens?
- Staat de deur de hele dag open? Kun je zo een laptop meenemen?
- Gebruik ik een goed wachtwoord? De medewerkers ook?
- Is mijn usb-stick goed beveiligd?
- Is mijn computer up-to-date? Is mijn virusscanner up-to-date?
- Enz. enz.
Heb je vragen over de meldplicht?
De meldplicht datalekken is onderdeel van de Wet bescherming persoonsgegevens (Wbp). De meldplicht is 1 januari 2016 ingegaan. Meer informatie vind je bij de Autoriteit Persoonsgegevens. Of neem contact op met ondergetekende.
