19145b2fc0cebc2368b2ab78a828af4958e804b1

Datalekprotocol Schoolkeuze-nijmegen.nl

Doel van het protocol

Dit datalekprotocol beschrijft hoe wordt gehandeld bij (vermoedelijke) inbreuken in verband met persoonsgegevens binnen het digitale aanmeld- en plaatsingsproces via Schoolkeuze-nijmegen.nl. Het doel van dit protocol is:

  • het beperken van schade voor betrokkenen;
  • het voldoen aan de meldplicht datalekken zoals opgenomen in de Algemene Verordening Gegevensbescherming (AVG);
  • het zorgen voor een eenduidige en zorgvuldige afhandeling van beveiligingsincidenten;
  • het vastleggen van verantwoordelijkheden en communicatielijnen tussen de deelnemende schoolbesturen, de centrale organisatie en de Functionaris Gegevensbescherming (FG).

Dit protocol is van toepassing op alle organisaties en medewerkers die betrokken zijn bij het gebruik, beheer of de uitvoering van Schoolkeuze-nijmegen.nl.

Begripsbepaling

Een datalek is een inbreuk op de beveiliging die leidt tot, of kan leiden tot, vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot persoonsgegevens.

Voorbeelden van datalekken zijn onder meer:

  • het verzenden van persoonsgegevens naar een verkeerde ontvanger;
  • verlies of diefstal van apparatuur met persoonsgegevens;
  • onbevoegde toegang tot het systeem;
  • technische fouten waardoor gegevens zichtbaar worden voor onbevoegden;
  • ransomware of andere beveiligingsincidenten.

Ook een vermoeden van een datalek valt onder dit protocol.

Verwerkingsverantwoordelijkheid

De deelnemende schoolbesturen in de regio Nijmegen zijn gezamenlijk verwerkingsverantwoordelijk voor de verwerking van persoonsgegevens binnen Schoolkeuze-nijmegen.nl.

De centrale organisatie BEVO verzorgt het technisch en organisatorisch beheer van het platform en ondersteunt bij de afhandeling van incidenten.

De Functionaris Gegevensbescherming van voCampus treedt op als centraal aanspreekpunt voor:

  • het melden van (vermoedelijke) datalekken;
  • de beoordeling van datalekken;
  • het adviseren over meldingen aan de Autoriteit Persoonsgegevens;
  • het informeren over en begeleiden van de uitoefening van privacyrechten door betrokkenen.

Melden van een (vermoedelijk) datalek

Iedere medewerker, school of leverancier die een (mogelijk) datalek constateert, meldt dit zo spoedig mogelijk bij:

  • het centrale meldpunt van Schoolkeuze-nijmegen.nl, en
  • de Functionaris Gegevensbescherming van voCampus.

De melding bevat voor zover mogelijk:

  • datum en tijdstip van het incident;
  • aard van het incident;
  • welke persoonsgegevens mogelijk betrokken zijn;
  • het aantal betrokkenen (indien bekend);
  • de reeds genomen maatregelen;
  • contactgegevens van de melder.

Meldingen worden zonder onnodige vertraging gedaan, zodat tijdig kan worden beoordeeld of een melding bij de Autoriteit Persoonsgegevens noodzakelijk is.

Beoordeling van het incident

Na ontvangst van een melding wordt het incident beoordeeld door de centrale organisatie in samenwerking met de FG van voCampus. Hierbij wordt onder meer vastgesteld:

  • of sprake is van een datalek in de zin van de AVG;
  • welke persoonsgegevens en betrokkenen zijn geraakt;
  • wat het risico is voor de rechten en vrijheden van betrokkenen;
  • welke maatregelen nodig zijn om verdere schade te voorkomen.

De FG adviseert over de vervolgstappen en de noodzaak van melding aan de Autoriteit Persoonsgegevens en/of betrokkenen.

Melding aan de Autoriteit Persoonsgegevens

Indien een datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van betrokkenen, wordt binnen 72 uur na ontdekking melding gedaan bij de Autoriteit Persoonsgegevens.

De melding wordt gedaan namens de gezamenlijke verwerkingsverantwoordelijken. De FG van voCampus adviseert over de inhoud en noodzaak van de melding.

Informeren van betrokkenen

Wanneer een datalek waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen, worden betrokkenen zonder onredelijke vertraging geïnformeerd. De communicatie bevat in ieder geval:

  • een beschrijving van het incident;
  • mogelijke gevolgen;
  • genomen maatregelen;
  • contactgegevens van de FG.

Registratie en evaluatie

Alle datalekken en beveiligingsincidenten worden geregistreerd in een incidentenregister. Ook incidenten die niet meldplichtig blijken te zijn worden vastgelegd.

Na afhandeling wordt het incident geëvalueerd om herhaling te voorkomen en worden indien nodig technische of organisatorische maatregelen aangepast.

Privacyrechten van betrokkenen

De Functionaris Gegevensbescherming van voCampus fungeert als centraal aanspreekpunt voor betrokkenen die gebruik willen maken van hun privacyrechten, zoals het recht op inzage, correctie, beperking van verwerking of bezwaar.

Verzoeken worden in samenwerking met de betrokken schoolbesturen behandeld binnen de wettelijke termijnen van de AVG.

Inwerkingtreding en wijzigingen

Dit datalekprotocol treedt in werking op de datum van publicatie en wordt periodiek geëvalueerd. Wijzigingen worden afgestemd met de deelnemende schoolbesturen en gepubliceerd via Schoolkeuze-nijmegen.nl.

© 2026 Schoolkeuze-nijmegen.nl - Proudly powered by Emixion®