
Het doel van dit protocol is tweeledig. Enerzijds dient het personeel, leerlingen en ouders bewust te maken wat een inbreuk op de beveiliging is of kan zijn en anderzijds dient het personeel, leerlingen en ouders te informeren op welke wijze zij een mogelijk beveiligingsincident (dat mogelijk tevens een datalek blijkt te zijn) dient te signaleren.
Privacyteam: het privacyteam beslist over de aanpak van het beveiligingsincident of het datalek in de meld- en de herstelfase. Leden uit het team zullen daarna de betreffende activiteiten (doen) uitvoeren.
De school dient een datalek onverwijld te melden aan de Autoriteit Persoonsgegevens (AP) en mogelijk ook aan de betrokkene(n). In dit geval veelal het personeel of de (ouders en/of verzorgers van de) leerlingen. Van een datalek die moet worden gemeld is sprake indien er persoonsgegevens verloren gaan of onrechtmatig worden verwerkt en het waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van betrokkene(n).
In het kader van deze wettelijke plicht heeft de school een Handboek Datalekken opgesteld en geïmplementeerd. Onderdeel daarvan is ook dit protocol. Als het schoolbestuur namelijk niet op de hoogte is van een mogelijk beveiligingsincident zal het Handboek Datalekken niet in werking (kunnen) treden. Het schoolbestuur is dan ook afhankelijk van de input die zij in dit verband krijgt van onder andere het personeel, leerlingen en ouders.
Een personeelslid is verplicht een (mogelijk) beveiligingsincident dat hij/zij ontdekt direct per e-mail of telefonisch te melden aan het Privacyteam ongeacht het tijdstip van de dag. Deze melding zal zo concreet mogelijk zijn. Het personeelslid neemt daarbij de inhoud van dit protocol in acht. In dit verband geldt dat een personeelslid bij twijfel of er sprake is van een mogelijk beveiligingsincident toch meldt aan het Privacyteam.
Meldingen kunnen door personeelsleden, leerlingen en ouders worden gedaan naar het mailadres datalek@driestarcollege.nl of men kan bellen of mailen naar de helpdesk 0182 691693. Deze meldingen worden geregistreerd en doorgezet naar het Privacyteam.
Wat zijn persoonsgegevens? Dit zijn niet alleen gegevens zoals naam, adres, woonplaats of BSN-nummer. Deze gegevens worden aangeduid als direct identificerende gegevens. Daarnaast zijn er ook indirect identificerende gegevens. Dit zijn gegevens die iets zeggen over een natuurlijk persoon omdat zij gekoppeld kunnen worden aan een direct persoonsgegeven. Indien kan worden achterhaald om welke natuurlijke persoon het gaat, is er sprake van een persoonsgegeven. Het kan dus onder andere gaan om:
Er zijn verschillende soorten beveiligingsincidenten. Sommige beveiligingsincidenten zijn het gevolg van menselijke fouten, onoplettendheid of technisch falen. Deze beveiligingsincidenten worden niet bewust gecreëerd. Veel beveiligingsincidenten worden echter bewust gecreëerd.
Bij niet bewuste beveiligingsincidenten gaat het om incidenten die niet met opzet worden gecreëerd. Te denken valt aan:
Bij bewuste beveiligingsincidenten gaat het om incidenten die met opzet worden gecreëerd. Te denken valt aan:
Indien zich een dergelijk onbewust of bewust gecreëerd incident – of een soortgelijk incident – voordoet, is er sprake van een beveiligingsincident en dient het personeelslid dit te melden aan het Privacyteam naar het mailadres datalek@driestarcollege.nl of men kan bellen of mailen naar de helpdesk:
0182 691693