nl
Webshop
nl
Webshop
Ga terug
Maak kennis met Cybersecurity-as-a-Service (CaaS)
Digitaal veilig zijn is een must voor het funderend onderwijs.
Terug naar normen
normen GB.02 Melding datalekken
Naar de normenkaderwijzer >>

GB.02 Melding datalekken

De organisatie heeft een gestructureerd proces ingericht en gedocumenteerd voor het tijdig en volledig melden van datalekken aan de relevante partijen, inclusief de Autoriteit Persoonsgegevens (AP) en de betrokkenen.

Volwassenheidsniveau 3 met betrekking tot norm GB.02

Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3. Norm GB.02 Melding datalekken beschrijft volwassenheidsniveau 3 als volgt:

  • Er is een gedetailleerd en gedocumenteerd proces voor het melden van datalekken aan de AP en betrokkenen, met daarin ten minste:
    • Conceptberichten voor communicatie (onder anderen voor betrokkenen)
    • Duidelijk gedefinieerde verantwoordelijkheden
    • Documentatievereisten en tijdslijnen
  • Er is een crisiscommunicatieplan voor datalekken met hoge impact.
  • Het proces wordt consistent nageleefd.
Normbeschrijving Kennisnet

Hoe ga je aan de slag met Norm GB.02?

Wat doet Cloudwise?

Deze norm beschrijft dat de organisatie een gestructureerd en gedocumenteerd proces moet hebben voor het melden van datalekken aan relevante partijen. Wanneer sprake is van een datalek dat risico’s kan opleveren voor betrokkenen, moet de organisatie dit tijdig melden bij de Autoriteit Persoonsgegevens (AP) en in sommige gevallen ook bij de betrokkenen zelf, zoals leerlingen, ouders of medewerkers. Daarnaast moet duidelijk zijn wie verantwoordelijk is voor de melding, welke tijdslijnen gelden en hoe de communicatie verloopt.

Wanneer Cloudwise een beveiligingsincident of mogelijk datalek detecteert binnen de onderdelen van de IT-omgeving die wij beheren, informeren wij de onderwijsorganisatie hierover conform de afspraken in onze verwerkersovereenkomst (link naar onze verwerkersovereenkomst) en SLA (link naar onze Service Level Agreement). Wij kunnen technische informatie aanleveren over het incident, zodat de onderwijsorganisatie een juiste beoordeling kan maken over de aard en impact van het incident. Indien nodig kunnen wij ondersteunen bij het onderzoeken en beperken van de technische oorzaak van het incident binnen de door Cloudwise beheerde systemen.

De onderwijsinstelling is zelf verantwoordelijk voor:

  • het beoordelen of een beveiligingsincident kwalificeert als een datalek volgens de AVG;
  • het tijdig melden van datalekken bij de Autoriteit Persoonsgegevens (indien vereist);
  • het informeren van betrokkenen wanneer een datalek waarschijnlijk een hoog risico oplevert voor hun rechten en vrijheden;
  • het vastleggen van datalekken en meldingen in een datalekkenregister;
  • het organiseren van communicatie rondom datalekken, bijvoorbeeld richting betrokkenen of media.

Cloudwise meldt geen datalekken bij de Autoriteit Persoonsgegevens of betrokkenen namens de onderwijsorganisatie. Het beoordelen en melden van datalekken volgens de wettelijke verplichtingen uit de AVG is een verantwoordelijkheid van de onderwijsorganisatie als verwerkingsverantwoordelijke.

Het landschap is breder dan Cloudwise
Datalekken kunnen ontstaan in verschillende systemen binnen de organisatie, zoals leerlingadministratiesystemen (LAS), HRM-systemen, educatieve applicaties of andere digitale diensten. Onderwijsorganisaties moeten daarom met meerdere leveranciers samenwerken bij het onderzoeken van incidenten en het verzamelen van informatie voor een eventuele melding.

Alle normen van Domein 6: Beveiliging

Fasering
  • Fase 2 - Ontwikkelen
Domein
  • PRIV Domein 6 - Beveiliging
Dienst
  • Privacy
Normfocus
  • Visie, beleid en organisatie
Verantwoordelijkheid
  • Onderwijsorganisatie
Een compleet pakket aan dienstverlening

Cloudwise helpt het onderwijs vooruit

We spelen een belangrijke rol voor scholen om de digitale veiligheid te realiseren en bewaken, en bieden een reeks oplossingen die zowel op techniek als op de mens gericht zijn. Met de integrale aanpak van Cloudwise versterk je de digitale veiligheid op jouw school en realiseer je digitaal veilig onderwijs voor iedereen.

Visie, beleid en organisatie

Een veilige (ICT-)omgeving begint met een visie, passend beleid en het neerzetten van een juiste organisatie. Alle rollen (privacy officer, security officer en functionaris gegevensbescherming) moeten zijn belegd en afspraken moeten worden geborgd.

De menselijke factor

Hoe goed je de techniek ook voor elkaar hebt, uiteindelijk geeft de mens de doorslag. Het zijn vooral de gebruikers van ICT-oplossingen die de deur openzetten voor ransomware-aanvallen en andere cybercriminaliteit.

De techniek op orde

Met onze veilige ICT-oplossingen kunnen scholen direct veilig aan de slag. In onze standaardconfiguraties hebben we al een heleboel solide securityservices ingebouwd.

Uitgebreide beveiliging

Er zijn situaties – met name op bestuursniveau – waarin het raadzaam kan zijn om extra securitymaatregelen te treffen. Daarin bieden wij diverse opties.

Digitaal Veilig Onderwijs

Aan de slag met Privacy & Security?

Hoe krijg je grip op veilig digitaal onderwijs? En dat op zo’n manier dat je er zelf zo min mogelijk omkijken naar hebt? Plan direct een adviesgesprek in met onze Privacy Officers. Zij helpen op dagelijkse basis scholen verder vooruit met digitaal veilig onderwijs.

Plan een adviesgeprek

Wist u dat uw browser verouderd is?

Om de best mogelijke gebruikerservaring van onze website te krijgen raden wij u aan om uw browser te upgraden naar een nieuwere versie of een andere browser. Klik op de upgrade button om naar de download pagina te gaan.

Upgrade hier uw browser
Ga verder op eigen risico