Erik van Roekel Masterclass IBP informatiebeveiliging en privacy
© Erik van Roekel Masterclass IBP: informatiebeveiliging en privacy, lekker eenvoudig Axel Eissens (adviseur informatiebeveiliging) en Job Vos (adviseur privacy) 19 oktober 2017, Zoetermeer
Er was eens… Hullie at Dutch Wikipedia 2
4
Facebook hield bij dat Roodkapje bij oma op bezoek ging Apple hield bij hoe lang Roodkapje er bleef Samsung hoorde precies wat oma zei En Google wist al lang dat Roodkapje van plan was op bezoek te gaan… 5
Aandacht voor privacy in het onderwijs Aandacht voor privacy niet nieuw 1989: Wet persoonsregistratie (WPR) 2001: Wet bescherming persoonsgegevens (WBP) 2018: Algemene Verordening Gegevensbescherming (AVG) PO-Raad, VO-raad en Kennisnet 2013: Pv. E uitgangspunt voor vormgeving regierol namens sector 2014: incidenten rondom privacy; privacyconvenant 2015: privacyconvenant 1. 0 (leermiddelen) 2016: privacyconvenant 2. 0 (leermiddelen+LAS/LVS) Aanpak IBP (stappenplan om IBP te regelen) 2017: Privacyconvenant 3. 0 (aanpassing aan AVG) met certificeringsschema met beveiligingseisen voor leveranciers Maar: schoolbestuur blijft aan zet bij het regelen van IBP 6
Wat is privacy? Eerbiediging van de persoonlijke levenssfeer Bescherming van persoonsgegevens
Het recht om n e t a l e g n e d r o w e t t s u r t e • m e t f l e z e j r e v o • gegevens controleren Informatiebeveiliging is een proces voor het beschermen tegen risico’s en bedreigingen met betrekking tot informatie en ict.
Waarom is privacy zo belangrijk? • Het recht op privacy is een fundamenteel mensenrecht en grondrecht, net zoals het recht op leven, het verbod op discriminatie, recht op een eerlijke proces of verbod van slavernij. • ‘het staat in de wet’, dus het moet (2018: AVG) • compliance: accountantscontrole • imago: datalekken, schade, risico’s • financieel: hoge boetes, ook voor scholen! • En… 9
Privacy geeft ons de mogelijkheid tot ontwikkeling en groei zonder noodzakelijk geconfronteerd te worden met keuzes uit het verleden. 11
En privacy op school? 12
Privacy gaat niet alleen over gegevens 14
Uitdagingen voor scholen Bron: nu. nl Bron: AD
De Wet bescherming persoonsgegevens Dit is het belangrijkste dat u moet weten over de Wbp: deze wet wordt niet ouder dan 235 dagen Voorstel uit 2012: Algemene Verordening Gegevensbescherming (AVG) Volledige titel: Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. #GDPR Dit is Europese wetgeving die nationale wetten overbodig maakt
G V A elijke Verantwoordelijke) erantw v (verwerkings Bewerker (verwerker) 17
G V A 3. Dataminimalisatie 4. Transparantie (rechten betrokkene) 2. Grondslag 5. Data-integriteit 1. Doelbepaling en doelbinding Vuistregels privacy 2. 0 18
Autoriteit Persoonsgegevens • Terughoudend: niet de zweep er over de komende 1 tot 2 jaar • ‘Je moet er een potje van maken om een boete te krijgen de eerste jaren’ • Accountabilitiy: uitleggen waarom je wel/niet voldoet • Assurance: aantoonbaar in control • Beter ‘iets’ dan ‘niets’ (voorbeeld: bewerkersovereenkomsten) • Scholen moeten ‘autoriseren, loggen en controleren’ regelen! • ‘Zorg dat je bestuurder uitdraagt dat privacy belangrijk is’ • ‘Vertel iedereen hoe je omgaat met privacy’
Dus… regel het! Schoolbestuur is verantwoordelijk om informatiebeveiliging en privacy (IBP) te regelen Privacy: garandeer de privacy van leerlingen, hun ouders én medewerkers Informatiebeveiliging: onderwijs moet altijd door kunnen gaan Kaders: Wbp, AVG, onderwijswetgeving ISO 27001 en 27002 voor beveiliging 20
22
Een veilige en betrouwbare onderwijsketen n Veilig en verantwoord omgaan met persoonsgegevens is een gedeelde verantwoordelijkheid ool Sch LAS ite ’s to Fo bs We … eid rh Ove ele dd rmi n Lee 23
Waar moet je beginnen? • Wees geduldig • Stap voor stap • Begin gewoon • Het hoeft niet in 1 x af, een goed begin is het halve werk! 24
Wat moet ik regelen? 1. Ik heb afspraken (intern en met leveranciers) gemaakt en vastgelegd over het gebruik van persoonsgegevens. 2. Ik heb vastgesteld dat de juiste beveiligingsmaatregelen zijn genomen. En ik kan dat aantonen. 25
Aanpak IBP: https: //kn. nu/IBPonderwijs 25 mei 2018: invoering AVG 3. communiceren 2. realiseren 1. organiseren
Stap 1: organiseer een beleid De bestuurder stelt een beleidsplan op met daarin afpraken: • Uitgangspunten • Duidelijke doelen • Vastgelegde verantwoordelijkheden: wie gaat wanneer doen • Rapportage-afspraken: verslag aan bestuurder Het beleidsplan is de kapstok om IBP te regelen: en dan… aan de slag!
Privacy by design / privacy by default ‘gegevensbescherming door ontwerp en door standaardinstellingen’ Beide een vereiste vanuit de AVG. Privacy by design Al bij het ontwerpen van (nieuwe) producten en diensten (zoals b. v. een nieuw leerlingvolgsysteem) wordt rekening gehouden met de juiste bescherming van persoonsgegevens. Vóóraf wordt gekeken naar mogelijke privacy verhogende maatregelen. Privacy � delen Privacy by default De standaard instellingen van een programma, app, website of dienst moeten zodanig zijn dat de privacy zo optimaal mogelijk wordt gewaarborgd. Dus standaard op niet delen en zelf kiezen om te delen. 29
Stap 2: realiseren Scholen hebben onder de AVG een documentatieplicht. Dus je moet vooral vastleggen hoe je zorgt voor privacy: • Inventariseer wat de grootste risico’s voor de school zijn in het algemeen • Zet op een rij welke persoonsgegevens in welke systemen worden verwerkt, bijvoorbeeld in een dataregister • Bepaal welke systemen een hoog risico* hebben • Bepaal voor in ieder geval voor die systemen dat je juiste maatregelen zijn getroffen, dat kan bijvoorbeeld met een PIA. *systemen die “bijzondere categorieën van persoonsgegevens” hebben of vallen onder “stelselmatige en grootschalige monitoring” 30
Risicoanalyse uitvoeren Breng het beleid in de praktijk: neem en organiseer je IBP-maatregelen Als eerste voer je een nulmeting uit: risico-analyse (RI&E voor IBP) • Wat zijn de grootste risico’s op je school/scholen? • Maak een planning welke maatregelen je op welk moment gaat regelen
Welke persoonsgegevens hebben we? Wie? Met wie? Bevoegd gezag Ouders Instanties Leerlingen Medewerkers • • • Foto’s Leerresultaten NAW-gegevens Salarisstroken Bekostiging Administratie Wat? Leveranciers • Technische logging • Zorggegevens • Personeelsdossiers • Beeld- en • Wachtwoorden geluidsopnames • . . . • Overdracht van (persoons)gegevens 32
Hoe weet ik dat het veilig is? 1. Ik weet om welke gegevens het gaat 2. Ik weet wie bij deze gegevens mag 3. Ik weet dat de minimale maatregelen zijn getroffen 4. Ik kan dat eenvoudig zien 33
Voorbeeld van te nemen maatregelen 34
Privacyconvenant • Digitale onderwijsmiddelen • Afspraken over rolverdeling school-leverancier • Afspraken over doeleinden • Welke persoonsgegevens worden er gebruikt • Transparantie partijen over privacy • Gebruik model bewerkersovereenkomst: comply or explain 35
Certificeringsschema biedt transparantie n Een eenvoudige rapportage laat zien: - De informatiebeveiliging en privacy van de toepassing is recent en kritisch beoordeeld - Maatregelen die de onderwijsketen ziet als ‘best practices’ zijn toegepast Vertrouwelijkheid Maatregelen: Integriteit Maatregelen: Beschikbaarheid ✓ Maatregelen: Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean commodo Lorem ipsum dolor sit amet, consectetuer adipiscin Lorem ipsum adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, adipiscing elit. Aenean commodo ligula n Deze rapportage geeft invulling aan de documentatieplicht van genomen maatregelen ter bescherming van de privacy zoals bedoeld in de AVG. Lorem ipsum dolor sit adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean ligula ✓ ✓ ✓ ≈ ✓ ✓ ✓ ✗ ✓ ✓ ✓ ✓ ✓ ≈ 36
Stap 3: communiceren Betrek medewerkers: vertel wat informatiebeveiliging en privacy zijn: • Voorbeeld presenstatie bewustwording • Online training IBP voor medewerkers Betrek leerlingen: 21 e eeuwse vaardigheden zoals • digitale geletterdheid (basis ict-vaardigheden) Betrek en informeer de ouders en (G)MR: hoe vertel je het de ouders? 37
Zes keer zorgvuldig n Gebruik zorgvuldig: vergrendel je scherm n Deel zorgvuldig: eerst denken dan delen (en dan niet gewoon per mail) n Surf zorgvuldig: klik niet klakkeloos n Beveilig zorgvuldig: wachtwoord is persoonlijk n Verbind zorgvuldig: check veilige verbinding n Sla zorgvuldig op: encryptie en geen USB-sticks 39
Dit lijkt wel allemaal erg simpel… 1. organiseren: IBP is belangrijk 3. communceren: We hebben het erover 2. realiseren: Zo pakken we het aan: stelselmatig aan de slag en continu verbeteren 40
Maar dat is het ook! Want dit gebeurt er onder de motorkap: 2017 2018 Maatregel ✔ Maatregel ✘ Maatregel ✘ Maatregel ✔ Maatregel ✘ Maatregel ✘ 2019 Maatregel ✔ Maatregel ✔ Maatregel ✔ Maatregel ✘ Maatregel ✔ Maatregel ✔ Maatregel ✘ Maatregel ✔ Maatregel ✘ Maatregel ✔ … opgeteld is dit wel veel werk 41
Hoeveel tijd gaat dit me kosten? Het verschilt heel erg per school hoeveel tijd de implementatie kost. Zoals één school heel visueel aangaf, kun je het vergelijken met het lanceren van een maanmissie: In het begin kost het aanzienlijk meer Maar als je eenmaal in de dampkring moeite en mensen, en is de lancering zit, dan klap je je zonnepanelen uit en is het ‘smooth sailing’ met erg veel geweld 42
Hoeveel tijd gaat dit me kosten? IBP is een soort vliegwiel wat je op gang moet brengen. Dat betekent grosso modo de volgende inspanning voor het eerste half jaar: n Eén persoon toegewijd aan IBP 1 á 2 dagen per week n Actieve betrokkenheid van het bevoegd gezag 1 dag per maand n ICT (maatregelen inventariseren en nemen) 8 dagen per maand n HR, administratie (maatregelen nemen) 4 dagen per maand Daarna, wanneer het proces eenmaal loopt: n Eén persoon toegewijd aan IBP n Actieve betrokkenheid van het bevoegd gezag n ICT (maatregelen controleren en nemen) n HR, administratie (maatregelen nemen) 0, 5 dag per week 1 dag per kwartaal 2 dagen per maand 1 dag per maand 43
Ben niet bang. . . accountant inspectie … voor de AP AVG OCW auditor 44
Bedankt voor uw aandacht! Axel Eisssens Job Vos Linked. IN axeleissens Linked. IN jobavos Twitter @jobavos Vragen over IBP? Mail naar de helpdesk IBP: ibp@kennisnet. nl www. poraad. nl www. vo-raad. nl www. kennisnet. nl
Aanpak IBP: wat komt er nog Aanpak IBP: • Dataregister (waar je vroeg aan de AP moest melden, en scholen waren vrijgesteld, moet je dat nu zelf registreren) • Acceptable Use Policy • Wachtwoordbeleid • Beveiliging (waaronder logging) goed regelen: ISO 27001 -normen • Handreiking bewaartermijnen (en vernietigen gegevens) • Checklist bewerkersovereenkomst (voor niet-convenantspartijen) • PIA (najaar 2017) • FG: wat doet ‘ie en hoe regel je dat? 46
- Slides: 46