Privacy expert geeft antwoord: is dit een datalek of niet?

De situatie

Een basisschool heeft om thuiswerken mogelijk te maken voor iedere leerling een account in de cloudomgeving aangemaakt. De accountnaam van een leerling is opgebouwd uit <naam-leerling>@leerling.school.nl.

Onlangs wilde een ouder het wachtwoord van zijn kind veranderen. Om dit te doen, logt hij in bij het account van zijn kind. Bij het aanpassen van het wachtwoord bezoekt de ouder het profiel. Hier zijn alle contacten uit de hele school zichtbaar, zowel leerlingen als leerkrachten. Hierbij rijst de vraag: is dit een datalek?

Reactie van onze privacy-expert

"Dit is inderdaad een datalek. De gegevens van ouders en hun kinderen zijn enkel en alleen bedoeld om les te geven. Het delen van die gegevens met andere ouders in dezelfde klas of in andere klassen is daarvoor niet nodig en ook niet toegestaan. Veel ouders zullen dit delen waarschijnlijk ook niet toestaan. Dat betekent dat de school in overleg met haar Functionaris Gegevensbescherming moet bepalen of dit datalek moet worden gemeld.

Verder moet de inrichting van de cloudomgeving van de school worden aangepast: ouders mogen alleen de gegevens van hun eigen kind inzien, die van andere kinderen mogen niet zichtbaar zijn; leerkrachten mogen enkel gegevens van hun eigen leerlingen inzien. Aan de ouder, die ten onrechte inzage heeft gehad, moet je vragen om die gegevens niet met anderen te delen."

Tip: Bekijk onze handleiding 'Beveiligingsinstellingen in je Microsoft tenant die helpen te voldoen aan de AVG'.