Datalekprocedure

Conform AVG Art. 33 & 34 — Laatst bijgewerkt: [DATUM INVULLEN]

1. Wat is een datalek?

Een datalek is een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging, of ongeoorloofde toegang tot persoonsgegevens. Voorbeelden:

  • Onbevoegde toegang tot het verzuimsysteem
  • Verloren of gestolen apparaat met toegang tot de applicatie
  • E-mail met leerlinggegevens naar verkeerde ontvanger
  • Hacking of ransomware-aanval
  • Onbedoeld zichtbaar maken van leerlinggegevens

2. Stap 1 — Ontdekking & melding intern

Binnen 24 uur na ontdekking:

  • Meld het datalek bij de Functionaris Gegevensbescherming (FG): [E-MAIL FG]
  • Meld het bij de schooldirectie: [E-MAIL DIRECTIE]
  • Meld het bij de systeembeheerder: [E-MAIL BEHEERDER]

Documenteer bij de melding:

  • Datum en tijdstip van ontdekking
  • Aard van het datalek (wat is er gebeurd?)
  • Welke gegevens zijn betrokken?
  • Hoeveel personen zijn geraakt?
  • Welke maatregelen zijn al genomen?

3. Stap 2 — Beoordeling & beperking

De FG beoordeelt samen met de systeembeheerder:

  • Omvang van het datalek beperken (accounts blokkeren, wachtwoorden resetten)
  • Risico-inschatting: is er kans op nadeel voor betrokkenen?
  • Bepalen of melding bij AP en/of betrokkenen nodig is

4. Stap 3 — Melding Autoriteit Persoonsgegevens

Binnen 72 uur na ontdekking (AVG Art. 33):

Als het datalek een risico inhoudt voor de rechten en vrijheden van betrokkenen, moet dit worden gemeld bij de Autoriteit Persoonsgegevens via datalekken.autoriteitpersoonsgegevens.nl

De melding bevat:

  • Aard van de inbreuk
  • Categorieën en aantal betrokkenen
  • Contactgegevens FG
  • Waarschijnlijke gevolgen
  • Genomen en voorgestelde maatregelen

5. Stap 4 — Melding aan betrokkenen

Als het datalek een hoog risico inhoudt voor betrokkenen (leerlingen, ouders, medewerkers), moeten zij onverwijld worden geïnformeerd (AVG Art. 34). Dit geldt met name wanneer:

  • Verzuimgegevens of contactgegevens van leerlingen zijn gelekt
  • E-mailadressen van ouders zijn blootgesteld
  • Inloggegevens van medewerkers zijn gecompromitteerd

6. Stap 5 — Evaluatie & registratie

Na afhandeling:

  • Documenteer het volledige incident in het datalekregister
  • Evalueer de oorzaak en neem structurele maatregelen
  • Pas procedures en beveiligingsmaatregelen aan indien nodig
  • Informeer betrokken medewerkers over preventieve maatregelen

7. Contactgegevens

Functionaris Gegevensbescherming: [NAAM] — [E-MAIL] — [TELEFOON]

Schooldirectie: [NAAM] — [E-MAIL]

Systeembeheerder: [NAAM] — [E-MAIL]

Autoriteit Persoonsgegevens: 088 - 1805 250 — datalekken.autoriteitpersoonsgegevens.nl

Dit is een template. Velden tussen [HAAKJES] moeten worden ingevuld door de school. Laat deze procedure controleren door uw Functionaris Gegevensbescherming of juridisch adviseur.

← Terug naar privacyverklaring