Vraag & antwoord
Wie moet het datalek melden wanneer een datalek plaatsvindt bij één leverancier, maar die meerdere scholen treft?
Geplaatst door Kennisnet op 05 juli 2018 13:24:35
Het melden van een datalek, is de verplichting van ieder schoolbestuur. Maar er is in het onderwijs afgesproken dat bij grote datalekken, ook de leverancier een datalek kan melden. Denk bijvoorbeeld aan een leverancier van een leerlingadministratiesysteem met 750 schoolbesturen als klant: dan zou het zelfde lek 750 keer gemeld moeten worden bij de privacytoezichthouder.

Er is in de model verwerkersovereenkomst afgesproken dat bij hele grote incidenten die meerdere scholen treffen de verwerker (bijvoorbeeld Magister, ParnasSys of Esis) aangifte bij de Autoriteit Persoonsgegevens kan doen. In dit geval moet de leverancier dit het liefste vooraf aan de schoolbesturen laten weten, en na de melding de schoolbesturen op de hoogte stellen van de melding.

Dit antwoord is een korte samenvatting. Hoewel aan de totstandkoming hiervan de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s), PO-Raad, VO-raad en Kennisnet geen aansprakelijkheid voor eventuele fouten, onvolkomenheden of schade als gevolg van het gebruik van dit antwoord. Raadpleeg altijd de Aanpak IBP en neem eventueel contact op met de Helpdesk IBP. Bij twijfel of juridische geschillen wordt geadviseerd om een deskundige in te huren zoals een advocaat, ict-consultant of een in privacy gespecialiseerd jurist.