Per 1 januari 2016 is de Wet meldplicht datalekken, een wijziging van de Wet bescherming persoonsgegevens, van kracht. Ook het onderwijsveld krijgt met deze nieuwe wet te maken. Het niet juist toepassen van deze wet kan gepaard gaan met hoge boetes.

Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij het College bescherming persoonsgegevens (CBP) zodra zij een ernstig datalek hebben. Soms moeten zij het datalek ook melden aan de betrokkenen. Met de meldplicht datalekken (art. 34 a Wbp) wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Ook onrechtmatige verwerking van gegevens valt hieronder. Voorbeelden van datalekken zijn een kwijtgeraakte usb-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Ook scholen kunnen hiermee te maken krijgen. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijk boete van het CBP (gewijzigd artikel 66 van de Wbp).

Het CBP heeft richtsnoeren opgesteld ter ondersteuning van de vraag of melding verplicht is en of melding moet plaatsvinden aan de betrokkene zelf. Bij het doen van een melding bij het CBP moet ook doorgegeven worden welke maatregelen al zijn genomen om het datalek te dichten en herhaling te voorkomen.

Een aantal organisaties voor bestuur en management in po en vo hebben in het verleden samen een modelprivacyreglement personeel en leerlinggevens opgesteld. De modellen worden regelmatig aangepast. Onlangs heeft Verus het modelprivacyreglement personeel geuepdatet (zie download).