Informatiebeveiliging en privacy: blijvend actueel
12 oktober 2017
Bewustwording van ICT-veiligheid is een permanent proces, vindt Antoon Fens, ICT-coördinator bij Scholen Combinatie Zoetermeer (SZC). Esther Schilt, controller VO, en privacy officer Gabriëlle Ramzan bij Stichting BOOR Rotterdam, pleiten voor voortdurende aandacht om veilig en verstandig om te gaan met digitale informatie. Hoe wordt dat gedaan en wat speelt er verder op het gebied van IBP in hun organisaties?
Knelpunt zit in de menselijke maat: bewustwording van risico’s
De techniek om informatie te beveiligen is er en je kunt als organisatie afspraken en protocollen vastleggen. En de verantwoordelijkheden binnen de organisatie vastleggen. Op beide scholen is dat de afgelopen maanden aangepast aan de nieuwe wet- en regelgeving, maar dat is niet genoeg. Esther Schilt (BOOR): “Je bent geneigd te denken dat de dreiging van buitenaf komt als het om digitale veiligheid gaat, maar de menselijke factor is veel belangrijker. Zoals medewerkers die onnadenkend omgaan met persoonsgegevens van leerlingen, weliswaar met goede bedoelingen. Of docenten die voor het gemak een WhatsApp-groep aanmaken met leerlingen, ondanks ons protocol om dat niet te doen. Blijvende aandacht en bewustwording van de gevaren is belangrijk.”
Op de scholen van BOOR worden daarom regelmatig informatiebijeenkomsten georganiseerd, of ontbijtsessies voor schooldirecteuren. Daar worden zij bijgepraat over wijzigingen in wetgeving of de gevolgen voor de informatiebeveiliging.
Ook op SCZ (Picassolyceum) is er aandacht voor bewustwording, onder andere door een campagne op school. “Alleen een artikel in een nieuwsbrief is saai. Daarom maken wij een animatiefilmpje over dit onderwerp, want dat spreekt meer aan,” zegt Antoon Fens, die niet alleen ICT maar ook PR in zijn portefeuille heeft. De scholengroep organiseert in oktober 2017 een bijeenkomst om de bewustwording van veilig ICT-gebruik te stimuleren onder medewerkers en daar wordt het filmpje vertoond.
IBP-beleid in de school uitwerken
De nieuwe privacywetgeving en andere digitale ontwikkelingen zijn aanleiding geweest voor de scholen om dit in hun beleid te verwerken. BOOR heeft daarbij dankbaar gebruik gemaakt van alle voorbeelddocumenten van Kennisnet. Esther Schilt: “Wij hebben die voorbeelden aangepast aan onze eigen normen en waarden. De richtlijnen zijn het vertrekpunt, maar omdat er zoveel scholen zijn aangesloten bij BOOR, hebben zij wel de vrijheid om onderdelen aan te passen, bijvoorbeeld in het social media-protocol. De ene po-school kan ervoor kiezen geen mobieltjes in de klas te willen, terwijl een andere juist met tablets wil werken. Al die variaties willen wij ondersteunen, zodat veiligheid en privacy zijn gegarandeerd.”
Antoon Fens was op zijn school al begonnen met kleine stapjes: “Is de website veilig? Is er backup-beleid? Dat hebben we vastgesteld en getest. Nu met de veranderende wetgeving zijn we intensiever gaan kijken.” Fens heeft een analyse gemaakt van alle processen in de school waar ICT-veiligheid en privacy impact op kunnen hebben. Vijftien zijn er gedetecteerd die risicovol kunnen zijn; en daar zijn inmiddels maatregelen voor getroffen, zoals zorgvuldigheid rondom het invoeren van persoonsgegevens en aandacht voor dataminimalisatie. “Honderd procent veiligheid bestaat niet: wat kan gebeuren, zal ook gebeuren. Natuurlijk proberen we incidenten voor te zijn. Daarom werken docenten bijvoorbeeld met een token, zodat leerlingen - zelfs als ze een wachtwoord hebben afgekeken - nooit kunnen inloggen als docent.”
Samenwerken in netwerk, bijvoorbeeld om Magisterproblemen op te lossen
Beide scholen werken samen met andere in netwerken Bedrijfsvoering, waardoor zij leren van elkaar en samen problemen kunnen aanpakken. Zoals de mogelijkheid en de noodzaak om bepaalde persoonsgegevens van leerlingen te kunnen verwijderen uit Magister. Esther Schilt: “Er is een wettelijke bewaartermijn voor gegevens van leerlingen. Je kunt niet alles onbeperkt bewaren. Maar het systeem maakt het niet gemakkelijk om gegevens automatisch te verwijderen. Daarom hebben wij overleg met de leverancier. Als je dat samen met andere scholen doet, sta je sterker.”
Antoon Fens: “Ook over bewerkersovereenkomsten wisselen we kennis en informatie uit. Er is weliswaar een model bewerkersovereenkomst, wat heel handig is, maar soms bevat zo’n overeenkomst toch kleine verschillen met het model. En scholen moeten beoordelen of dat correct is. Dat kan moeilijk zijn, zeker als kleinere school heb je niet alle expertise in huis. Ik zou blij zijn met bijvoorbeeld een webpagina waarop je kunt zien welke bewerkersovereenkomsten gecheckt en goedgekeurd zijn. Hoe dan ook wissel je als school meer persoonsgegevens uit met andere partijen dan je vaak denk. Het is goed om je daarvan bewust te zijn.”
Help: datalek! Wat te doen als het je overkomt
Een datalek moet direct worden gemeld bij de Autoriteit Persoonsgegevens. Beide scholen hebben dat enkele keren ervaren. Hoe is dat verlopen? Gabriëlle Ramzan (BOOR) is als privacy officer verantwoordelijk voor actie als er een datalek is. Zij checkt of het inderdaad om een datalek gaat en of een melding nodig is. “We hadden één keer te maken met diefstal van een harddisk uit een magazijn. Hoewel het niet zeker was of er persoonsgegevens op stonden hebben we het uit voorzorg gemeld. Het incident bleek niet ernstig genoeg voor vervolgstappen, aldus de Autoriteit Persoonsgegevens.”
Antoon Fens deed eenmaal een melding. “Een laptop is tijdens de vakantie kwijtgeraakt. Wij hebben een interne procedure in werking gesteld en een melding gedaan. In dit geval waren er geen persoonlijke gegevens in het spel, gelukkig maar. Het maakt medewerkers wel bewust van de gevolgen die zoiets kan hebben!”
Wat zijn de belangrijkste stappen bij een datalek: lees meer in dit artikel van de VO-raad over wat scholen moeten doen bij een datalek.
Tips van en voor collega’s
IBP-beleid goed opzetten in de school betekent op tijd beginnen. “En verkijk je niet in het aantal zaken dat je moet regelen. Er komt veel bij kijken. Belangrijk is het om het op de agenda te houden van de organisatie en medewerkers blijvend alert te houden,” zegt Esther Schilt (BOOR). Antoon Fens voegt eraan toe: “Doe het niet alleen maar samen, bijvoorbeeld in een netwerk IBP en aarzel niet een externe expert in te schakelen, zoals van Kennisnet. Het kost tijd en energie om dit goed in de organisatie te verankeren: belangrijk dus dat scholen dat faciliteren.”
Nieuwe privacywetgeving: wat er verandert voor scholen
Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De AVG zorgt onder meer voor:
• Versterking en uitbreiding van privacyrechten.
• Meer verantwoordelijkheden voor organisaties.
• Gelijke bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot twintig miljoen euro op te leggen.
Lees meer over de nieuwe privacyregels op de website van de Autoriteit Persoonsgegevens en hoe scholen zich kunnen voorbereiden op deze nieuwe wetgeving.
Zorgvuldig omgaan met fotomateriaal leerlingen
De Autoriteit Persoonsgegevens roept scholen op zorgvuldig om te gaan met (online) beeldmateriaal van leerlingen. Hoe scholen dat in de praktijk kunnen brengen is te lezen in het artikel op de website van de VO-raad.
Meer tips over Informatiebeveiliging en Privacy
Het juninummer van VO-magazine bevatte een special over ICT. Op de themapagina IBP is alle actuele informatie te vinden. VO-raad, PO-Raad en Kennisnet ontwikkelden een online stapsgewijze aanpak voor Informatiebeveiliging en Privacy
Oproep: leden gezocht voor werkgroep IBP
In het najaar start de VO-raad een werkgroep op om ervaringen uit te wisselen over informatiebeveiliging en privacy in het voortgezet onderwijs. Waar lopen scholen tegenaan, welke ondersteuning is nodig en hoe wordt omgegaan met het privacy-convenant en bijbehorende bewerkersovereenkomst? Heeft u interesse in deelname aan deze werkgroep dan kunt u zich opgeven bij VO-raad-adviseur Anne Goris: annegoris@vo-raad.nl