Sinds 2016 is strenge wetgeving van kracht rondom de bescherming van privacy- en persoonsgegevens. Deze heeft ook betrekking op de gegevens van studenten en medewerkers die binnen de AHK beheerd worden. De regelgeving bepaalt dat een organisatie verplicht is om datalekken of verlies van data te melden aan de landelijke toezichthouder. Indien het incident gevolgen heeft voor de personen wier gegevens het betreft - en dit is bijna per definitie het geval - dan dient dit tevens gemeld te worden aan de personen in kwestie.

Hieronder staat beschreven hoe de bescherming van privacy- en persoonsgegevens binnen de AHK is geregeld en welke procedures gelden indien (het vermoeden van) een datalek zich voordoet.

De ICT Helpdesk is de centrale ingang voor alle studenten en medewerkers van de AHK om (verdenkingen van) beveiligingsincidenten te melden. Dit kan per e-mail (helpdesk@ahk.nl) of tel. 020 527 7752.

De Helpdesk neemt onmiddellijk contact op met de commissie Beveiligingsincidenten, die bestaat uit de directeur Servicebureau en de hoofden ICT en Informatiemanagement. Deze commissie beoordeelt of het incident daadwerkelijk een gegevenslek betreft waarvoor een meldingsplicht bestaat richting de toezichthouder. De belangrijkste criteria hierbij zijn:

• er zijn gegevens kwijtgeraakt of gelekt waarbij de identiteit van de persoon te herleiden is;
• er is sprake van een groot aantal gegevens of het betreft privacygevoelige gegevens, zoals inlogcodes.

Indien de commissie oordeelt dat er een meldingsplicht bestaat, dan neemt zij contact op met het College van Bestuur van de AHK, en voert zij na overleg met het CvB de melding uit bij de autoriteit persoonsgegevens. Wanneer het gegevenslek impact kan hebben op het privéleven van de getroffen personen, dan zullen deze ook op de hoogte gebracht worden.

Als het incident veroorzaakt is door een medewerker door bewust of roekeloos gedrag, dan zal de afdeling P&O in overleg treden met de directeur en leidinggevende van de betreffende medewerker om het incident verder te behandelen als een (grove) schending van de integriteitscode (PDF) van de AHK.

De wet spreekt van een datalek wanneer persoonsgegevens verloren raken of onrechtmatige verwerking redelijkerwijs niet kan worden uitgesloten. Daarbij geldt een brede definitie: het is niet zo dat alleen een inbraak in systemen door hackers als datalek wordt beschouwd. Zelfs het versturen van een mailing met de adressen in het cc- in plaats van het bcc-veld kan al als zodanig worden gezien.

In de factsheet Impact van de meldplicht datalekken (PDF) van de website ictrecht.nl wordt uitgelegd wanneer sprake is van een datalek en wat de consequenties kunnen zijn.

Integriteitscode AHK (PDF)
Factsheet Impact van de meldplicht datalekken (PDF)