De gevaren van datalekken bij onderwijsinstellingen: welke maatregelen moeten zij treffen?

3 juni 2021 – De krantenkoppen liegen er niet om. Op frequente basis verschijnen in de media nieuwe berichten over datalekken en hacks bij onderwijsinstellingen. Variërend van universiteiten in grote steden tot basisscholen in dunbevolkte woonplaatsen. Datalekken komen bij zowel primair, voortgezet als hoger onderwijs voor. De wijze waarop een lek plaatsvindt, verschilt per situatie. In dit artikel gaan wij in op oorzaken van datalekken en hoe de risico’s op en de impact van datalekken kunnen worden verkleind.

Oorzaken van datalekken en hacks

Datalekken en hacks kunnen meerdere oorzaken hebben. Hierbij kan onderscheid worden gemaakt tussen systeemfouten en menselijke fouten. Wanneer het gaat over systeemfouten wordt bedoeld dat de informatiebeveiliging niet volledig op orde is. Een lek kan bijvoorbeeld worden veroorzaakt door een zogenoemde bug. Dat is een fout in de broncode, waardoor onbevoegden toegang krijgen tot gevoelige persoonsgegevens. In dit geval zit er een fout in het systeem, zonder dat een kwaadwillend persoon deze toegang zoekt. Een menselijke fout kan ontstaan door het klikken op een link in een e-mail van criminelen.

Daarnaast kan een onderwijsinstelling doelwit zijn van een cyberaanval, waarbij het netwerk gericht wordt binnengedrongen om gegevens te ontvreemden of bestanden te versleutelen. Vaak is het doel hiervan het ontvangen van losgeld. Een vergelijkbare situatie vindt plaats wanneer er op een zogenaamde phishing link, een link in een e-mail van criminelen waarmee ze proberen persoonlijke gegevens te achterhalen, wordt geklikt. Hiermee kan ransomware, kwaadaardige software die een computer blokkeert of bestanden versleutelt, worden gedownload. De phishing e-mails die worden verstuurd door kwaadwillende personen zijn niet altijd te onderscheiden van echte e-mails. Hierdoor heeft de ontvanger niet door dat hij of zij een doelwit is. De meeste onderwijsinstellingen informeren hun medewerkers over dit soort e-mails, het gevaar ervan en hoe zij hiermee om moeten gaan. Echter, phishing e-mails worden niet alleen naar medewerkers verstuurd, maar ook naar persoonlijke school e-mailadressen van studenten. Dit betekent dat een datalek of het toelaten van een hack via verschillende manieren kan ontstaan. Buiten het gegeven dat persoonsgegevens hierbij op straat komen te liggen met nadelige gevolgen voor individuen, kan dit ook grote gevolgen hebben voor de reputatie van de organisatie. 

Datalek voorkomen? Vergroot het privacybewustzijn

Het is duidelijk dat datalekken en hacks in veel gevallen plaatsvinden door menselijke fouten, bijvoorbeeld doordat er op een phishing-link wordt geklikt door een medewerker of student of doordat een e-mail met persoonsgegevens naar een verkeerde afzender wordt verstuurd. Eén van de eerste stappen om de kans op datalekken te verkleinen, is het opstellen van een beleid en procedures en dit vervolgens te handhaven. Privacybewustzijn wordt gecreëerd door bijvoorbeeld periodiek een privacynieuwsbrief te versturen, een interne privacyvraagbaak op te stellen of een phising-campagne te starten binnen de onderwijsinstellingen. Hierdoor is de kans groter dat medewerkers alert zijn op verdachte e-mails en onveilige of privacygevoelige situaties zullen signaleren. Deze maatregelen kunnen ook gebruikt worden om studenten / leerlingen bewust te maken.

De impact van een mogelijk datalek verkleinen: houd u aan de bewaartermijnen

Hoewel het in eerste instantie onmogelijk is om het risico op een datalek of hack volledig af te dichten, verkleint het privacy bewustmaken van medewerkers en studenten / leerlingen de kans op een datalek. Daarnaast is het van belang om als organisatie het principe van dataminimalisatie na te leven. Dataminimalisatie is een belangrijk terugkerend begrip onder de AVG. Het benadrukt de wenselijkheid om zo min mogelijk persoonsgegevens te verzamelen. Immers wat er niet is, kan ook niet lekken. Met de naleving van dit principe zijn betrokkenen ervan verzekerd dat er niet meer privacygevoelige data dan noodzakelijk wordt verzameld en bewaard in een organisatie. Denk hierbij bijvoorbeeld aan persoonsgegevens van oud-leerlingen of oud-medewerkers.

 
Vanuit de aard van de dienstverlening van onderwijsinstellingen is het onvermijdelijk om gevoelige informatie te verzamelen en verwerken. Dataminimalisatie kan dan ook vaak een uitdaging zijn voor onderwijsinstellingen, mede door de uitgebreide keten met een groot aantal stakeholders. Enkele voorbeelden van deze belanghebbenden zijn leerlingen of studenten, ouders en verzorgers, medewerkers, leveranciers, toeleverend en vervolgonderwijs, jeugdzorg, Rijksoverheid en inspecties. De uitgebreide keten en de complexe omgeving waarin onderwijsinstellingen zich begeven, vereisen het bijhouden van een uitgebreide administratie. Hierin worden vaak ook tal van zowel normale als bijzondere persoonsgegevens opgeslagen, zoals medische gegevens of voorkeur voor religie.

 
De uitgebreide keten waar binnen een onderwijsinstelling opereert benadrukt de noodzaak om aandacht te besteden aan informatiebeveiliging en naleving van de overige privacyprincipes om deze gevoelige informatie zo adequaat mogelijk te beveiligen. Dit sluit aan bij het principe van opslagbeperking. Dit principe stelt dat organisaties persoonsgegevens niet langer dienen te bewaren dan benodigd voor het beoogde doel. Maatregelen die hierbij passen bestaan uit het volgen van de (wettelijke) bewaartermijnen en het inregelen van logging en monitoring.

  

Jan Matto

In ons onderzoek is naar voren gekomen dat 29% van de onderzochte onderwijsinstellingen geen beleid en procedures omtrent logging, monitoring en bewaartermijnen heeft gedefinieerd. Aangezien onderwijsinstellingen veelal te maken hebben met gevoelige persoonsgegevens en bewaartermijnen daarbij verplicht zijn vanuit wetgeving, is dit een tegenvallend resultaat. Daarnaast is het essentieel te blijven toezien op de naleving van het gedefinieerde beleid omtrent logging, monitoring en bewaartermijnen.

Jan Matto Partner IT Audit & Advisory

Download hier de benchmark

 
Wilt u het risico op datalekken en hacks zo veel mogelijk verkleinen? Een belangrijke stap die dan eerst moet worden gezet is het verkrijgen van inzicht in de risico’s en vervolgens het continu blijven werken aan privacybewustwording van medewerkers en studenten. Het op peil houden van het privacybewustzijn is niet een eenmalig iets, maar een continu proces. Daarna kunnen effectieve maatregelen worden getroffen om de kans op datalekken en hacks met succes te mitigeren.

 

Meer weten?

Wilt u meer weten over het vergroten van privacybewustzijn? Neem dan contact op met Jan Matto, Partner IT Audit & Advisory, per e-mail of per telefoon: +31 (0)88 277 13 99, Marissa de Beeld, Privacy and Compliance Specialist, per e-mail of per telefoon: +31 (0)88 277 16 16, of Ivar Brouwer, Sectorleider Onderwijs en Senior Manager Audit, per e-mail of per telefoon: +31 (0)88 277 21 21. Zij helpen u graag verder.