Mocht het ondanks alle maatregelen misgaan, dan is het van belang te weten wat te doen. Allereerst moet vastgesteld worden wat de ernst is van de situatie. Dit kun je doen door vast te stellen of er sprake is van een beveiligingsincident of een datalek. In geval van een beveiligingsincident is er in feite sprake van een gat in de beveiliging en is het zaak dit gat zo snel mogelijk te dichten. Er is pas sprake van een datalek wanneer het er ook daadwerkelijk persoonsgegevens ‘op straat’ zijn komen te liggen en hiermee in handen zijn gekomen van personen of organisaties die deze gegevens niet zouden mogen hebben.
Alle datalekken zijn beveiligingsincidenten, maar niet ieder beveiligingsincident is een datalek.
Voorbeelden van datalekken:
Wanneer is vastgesteld dat er een incident of datalek is, of je als leraar een vermoeden hebt, informeer dan het aanspreekpunt binnen de organisatie. Organisaties hebben de mogelijkheid een interne toezichthouder op de verwerking van persoonsgegevens aan te stellen. Zo iemand wordt de Functionaris voor de Gegevensbescherming (FG) genoemd. Met ingang van 25 mei 2018 moeten organisaties met meer dan 250 medewerkers een FG aanwijzen.
Weet wat de afspraken daarvoor zijn op jouw instelling! Voor de instelling is het aan te raden een centraal meldpunt te maken waar alle medewerkers kun incidenten kunnen melden en vragen kunnen stellen. Wanneer je twijfelt over een verdachte e-mail, of een vraag hebt over het gebruik van een foto is er een vast aanspreekpunt. De Functionaris voor de Gegevensbescherming ziet zo alles voorbij komen en kan als een ‘spin in het web’ bijsturen waar nodig.
Bijvoorbeeld: incidenten@instellingX.nl
Instellingen zijn verplicht melding te maken van ernstige datalekken bij de Autoriteit Persoonsgegevens. Het nalaten van deze melding kan een fikse boete opleveren. De meldplicht is overigens alleen van toepassing als er persoonsgegevens bij betrokken zijn.