Sinds per 1 januari 2016 de Meldplicht Datalekken van kracht is geworden zijn medewerkers van de Universiteit Twente verplicht melding te maken van elk (vermoedelijk) datalek. Deze meldplicht is het gevolg van een wijziging in de Wet bescherming persoonsgegevens (Wbp).
Inbreuk op beveiliging
Onder een datalek wordt elke inbreuk op de beveiliging van persoonsgegevens, zoals naam, adres, telefoonnummer en bankrekeningnummer, maar ook studieresultaten, gespreksnotities en functioneringsverslagen, verstaan. Er is dus sprake van een datalek als er onrechtmatig toegang is tot persoonsgegevens of als deze zijn vernietigd, gewijzigd, verloren of vrijgekomen zonder dat dit de bedoeling is. Ook als persoonsgegevens onrechtmatig zijn verstrekt wordt dit als zodanig aangemerkt.
Datalekken kunnen op allerlei manieren ontstaan. Het hoeft niet altijd het gevolg te zijn van criminaliteit, zoals inbraak in een computer door hackers of diefstal daarvan. Het kan ook gaan om bijvoorbeeld verlies van een laptop of tablet die toegang geeft tot een account met persoonsgegevens. Of doordat documenten onbeheerd bij een kopieerapparaat achter blijven. Maar er is ook sprake van een datalek wanneer anonieme enquêteresultaten toch tot respondenten herleidbaar zijn of wanneer je toegang blijkt te hebben tot persoonsgegevens, die niet toegankelijk voor je zouden moeten zijn.
Privacy incident
Een datalek of een vermoeden daarvan wordt door de dienst LISA behandeld als een privacy incident. Na een melding op [email protected] of bij de ICT-servicedesk op tel. 053-4895577 neemt een security manager contact op voor het doornemen van een vragenlijst, om na te gaan welke maatregelen nodig zijn.
Om de kans op datalekken te verkleinen is de UT inmiddels begonnen met het inventariseren van de gegevensbewerkingen waarbij persoonsgegevens betrokken zijn. Het college van bestuur laat in een brief, die vandaag is verstuurd, weten het van groot belang te achten om te handelen naar de verplichtingen die in de nieuwe Wet bescherming persoonsgegevens zijn opgenomen, inclusief de meldplicht. Hierbij speelt zeker ook een rol dat de nationale toezichthouder forse boetes kan opleggen bij het niet nakomen van de meldplicht en andere bepalingen in de Wbp.