Protocol beveiligingsincidenten

Privacyreglement Stichting Driestar-Wartburg

Artikel 1. Doel van dit protocol 

Het doel van dit protocol is tweeledig. Enerzijds dient het personeel, leerlingen en ouders bewust te maken wat een inbreuk op de beveiliging is of kan zijn en anderzijds dient het personeel, leerlingen en ouders te informeren op welke wijze zij een mogelijk beveiligingsincident (dat mogelijk ook een datalek blijkt te zijn) dient te signaleren.

Artikel 2. Begripsbepalingen

  1. personeel(slid): het personeel en vrijwilligers als bedoeld in artikel 1 van het privacyreglement en leden van de Raad van Toezicht van de Stichting;
  2. beveiligingsincident: is een inbreuk op de beveiliging die mogelijk leidt tot het verlies of onrechtmatige verwerking van persoonsgegevens;
  3. datalek: is een inbreuk op de beveiliging die leidt tot het verlies of onrechtmatige verwerking van persoonsgegevens;
  4. persoonsgegevens: de gegevens als bedoeld in artikel 1 van het Privacyreglement;
  5. FG: de functionaris gegevensbescherming.
  6. Privacyteam: het privacyteam beslist over de aanpak van het beveiligingsincident of het datalek in de meld- en de herstelfase. Leden uit het team zullen daarna de betreffende activiteiten (doen) uitvoeren.

Artikel 3. Meldplicht datalekken

De Stichting dient een datalek onverwijld te melden aan de Autoriteit Persoonsgegevens (AP) en mogelijk ook aan de betrokkene(n). In dit geval veelal het personeel of de (ouders en/of verzorgers van de) leerlingen. Van een datalek die moet worden gemeld is sprake als er persoonsgegevens verloren gaan of onrechtmatig worden verwerkt en het waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van betrokkene(n). 

In het kader van deze wettelijke plicht heeft de school een Handboek beveiligingsincidenten en datalekken opgesteld en geïmplementeerd. Als het bestuur niet op de hoogte is van een mogelijk beveiligingsincident zal het Handboek beveiligingsincidenten en datalekken niet in werking (kunnen) treden. Het bestuur is dan ook afhankelijk van de meldingen en informatie die zij in dit verband krijgt van onder andere het personeel, leerlingen en ouders.

Artikel 4. Meldingsplicht personeel

Een personeelslid is verplicht een (mogelijk) beveiligingsincident dat hij/zij ontdekt direct per e-mail of telefonisch te melden aan het Privacyteam, de FG of het bestuur ongeacht het tijdstip van de dag. Deze melding zal zo concreet mogelijk zijn. Het personeelslid neemt daarbij de inhoud van dit protocol in acht. In dit verband geldt dat een personeelslid bij twijfel of er sprake is van een mogelijk beveiligingsincident toch meldt aan het Privacyteam, de FG of het bestuur.

Artikel 5. Meldingen

Meldingen kunnen door personeelsleden, leerlingen en ouders worden gedaan naar het mailadres datalek@driestarwartburg.nl of men kan bellen naar de IT-helpdesk 0182-691693 of 0180-726688 of er kan gebruik gemaakt worden van het meldingsformulier. Deze meldingen worden geregistreerd en doorgezet naar het Privacyteam.

Artikel 6. Persoonsgegevens

Persoonsgegevens zijn niet alleen gegevens zoals naam, adres, woonplaats of BSN-nummer. Deze gegevens worden aangeduid als direct identificerende gegevens. Daarnaast zijn er ook indirect identificerende gegevens. Dit zijn gegevens die iets zeggen over een natuurlijk persoon, omdat zij gekoppeld kunnen worden aan een direct persoonsgegeven. Als kan worden achterhaald om welke natuurlijke persoon het gaat, is er sprake van een persoonsgegeven. Het kan dus onder andere gaan om:

  • naam;
  • adres;
  • telefoonnummer;
  • e-mailadres;
  • salarisgegevens;
  • gegevens over ziekte;
  • beoordelingsgesprekken;
  • studieadviezen;
  • gegevens over gezondheid;
  • dyslexie;
  • betalingsachterstanden;
  • gegevens over gezinssituatie;
  • geloof;
  • ras;
  • studieresultaten;
  • foto's en videobeelden;
  • etc.

Artikel 7. Soorten beveiligingsincidenten

Er zijn verschillende soorten beveiligingsincidenten. Sommige beveiligingsincidenten zijn het gevolg van menselijke fouten, onoplettendheid of technisch falen. Deze beveiligingsincidenten worden niet bewust gecreëerd. Veel beveiligingsincidenten worden echter bewust gecreëerd.

Niet bewuste incidenten

Bij niet bewuste beveiligingsincidenten gaat het om incidenten die niet met opzet worden gecreëerd. Te denken valt aan:

  • het laten liggen door van een laptop, tablet, smartphone of papieren dossier in de trein;
  • het verliezen van een USB-stick, mobiele telefoon of bijvoorbeeld laptop;
  • door haperende beveiliging (technische storing) zijn mogelijk persoonsgegevens van leerlingen ingezien door onbevoegden;
  • de ruimte op school met daarin de fysieke leerlingdossiers heeft per ongeluk niet op slot gezeten voor een bepaalde periode;
  • een docent heeft per ongeluk onbeheerd zijn laptop in de klas laten staan met daarop een memo-sticker met zijn inlognaam en wachtwoord;
  • het verzenden door een medewerker van e-mail met vertrouwelijke gegevens aan de verkeerde ontvanger;
  • het verzenden van een e-mail aan meerdere ontvangers die elkaars e-mailadressen niet kennen (zonder gebruik te maken van de bcc-optie);
  • het crashen van een harde schijf met daarop persoonsgegevens;
  • brand in een serverruimte of archiefruimte van de school;
  • één van de hier voor genoemde situaties zich voordoet bij een verwerker van de school (bijvoorbeeld: de uitgever van digitale leermiddelen en het leerlingvolgsysteem) voor zover het persoonsgegevens betreft van personeel of (ouder(s) en/of verzorger(s) van) leerlingen van de school.
Bewuste incidenten

Bij bewuste beveiligingsincidenten gaat het om incidenten die met opzet worden gecreëerd. Te denken valt aan:

  • fysieke diefstal van een laptop, tablet, smartphone of (onderdelen van een) papieren dossier;
  • het kopiëren, meenemen of bijvoorbeeld vernietigen van persoonsgegevens door personeel bijvoorbeeld uit onvrede over ontslag of studieadvies, als vriendendienst of door chantage;
  • phishing: het uitbuiten van menselijke kwetsbaarheden door hen onder voorwendselen persoonsgegevens te ontfutselen via mail of internet;
  • hack: het uitbuiten van kwetsbaarheden in informatiesystemen en webservers;
  • één van de hier voor genoemde situaties zich voordoet bij een bewerker van de school (bijvoorbeeld: de uitgever van digitale leermiddelen en het leerlingenadministratiesysteem) voor zover het persoonsgegevens betreft van personeel of (ouder(s) en/of verzorger(s) van) leerlingen van de school.

Als zich een dergelijk onbewust of bewust gecreëerd incident – of een soortgelijk incident – voordoet, is er sprake van een beveiligingsincident en dient het personeelslid dit te melden aan het Privacyteam naar het mailadres datalek@driestarwartburg.nl of men kan bellen naar de IT-helpdesk: 0182-691693 of 0180-726688 of er kan gebruik gemaakt worden van het meldingsformulier.