Informatiebeveiliging en privacy IBP z Maurits Huigsloot PORaad
Informatiebeveiliging en privacy (IBP) z Maurits Huigsloot (PO-Raad) André Poot (VO-raad) 27 juni 2018
Rol sectorraden • Belangenbehartiging – Lobby • • Wet- en regelgeving (totstandkoming en uitvoering) vb Lerarenregister Bekostigings-, verantwoordings- en beleidsinformatie – Regievoering randvoorwaarden administratieve en educatieve domein • • Standaarden (Keten-id) Privacyconvenant • In stand houden (boven)sectorale voorzieningen – Overstap. Service Onderwijs (OSO) – Vroegtijdig aanmelden MBO • Sectorinformatie – Vensters PO – Dashboard passend onderwijs
Informatiebeveiliging en privacy (IBP) Aandacht voor privacy niet nieuw • 1989: Wet persoonsregistratie (WPR) • 2001: Wet bescherming persoonsgegevens (WBP) • 2018: Algemene Verordening Gegevensbescherming (AVG) Administratieve domein • Privacy altijd een belangrijk thema • Gebruik persoonsgebonden nummer (2001) strikt geregeld • Pseudoniem/Nummervoorziening (2017) – educatieve domein
Schoolbestuur verantwoordelijk • Het bewaken van de privacy van leerlingen en personeel is een taak van het schoolbestuur • Toenemend belang van deze taak – Meer processen en diensten digitaal – Digitale voorzieningen buiten de school (Cloud)
PO-Raad / VO-raad / Kennisnet • 2014: • • Pv. E Leermiddelen uitgangspunt voor vormgeving regierol namens sector (2017 actualisatie) 2014: Incidenten rondom privacy; privacyconvenant 2015: Privacyconvenant 1. 0 (leermiddelen) 2016: Privacyconvenant 2. 0 (leermiddelen+LAS/LVS) Aanpak IBP (stappenplan om IBP te regelen) 2017/18: Privacyconvenant 3. 0 (aanpassing aan AVG) certificeringsschema met eisen voor leveranciers Echter: schoolbestuur blijft aan zet bij het beoordelen van bewerkersovereenkomsten. • 2017/18: Start werkgroep IBP en inwerkingtreding AVG
Aanpak IBP (kn. nu/ibponderwijs) 25 mei 2018: invoering AVG 3. communiceren 2. realiseren 1. organiseren
© Erik van Roekel Informatiebeveiliging en privacy (IBP) Niet bang maar bewust! Job Vos (Kennisnet) 27 juni 2018, Almere
Programma 1. Kennismaking 2. Wat is IBP? 3. AVG 4. Aanpak IBP 5. Bewustwording
Hallo allemaal, wat fijn dat je er bent…
Hallo allemaal, wat fijn dat je er bent… …en wie ben jij? 1. Stel jezelf eens voor aan je buurman/buurvrouw. Maar wacht even… 2. Niet zomaar voorstellen… wie ben jij in de digitale wereld? 3. Toon je Facebook, Twitter, Linked. In, Instagram… 4. Laat je Whatsapp eens zien… 5. En geef je buurman/buurvrouw je telefoon 6. En deel je Tinder… je Secondlove…
Wat is privacy? Eerbiediging van de persoonlijke levenssfeer Bescherming van persoonsgegevens
Het recht om n e t a l e g n e d r • met rust te wo e t f l e z e j r e v o s • gegeven controleren Informatiebeveiliging is een proces voor het beschermen tegen risico’s en bedreigingen met betrekking tot informatie en ict. Samengevoegd tot: IBP
Waar gaat privacy over?
Wie gaat er over IBP? Verantwoordelijke (verwerkingsverantwoordelijke)
Met wie werk je samen? Bewerker (verwerker)
Sectorbrede afspraken over privacy
Privacyconvenant 3. 0 (m. i. v. 1 april 2018) n Digitale onderwijsmiddelen: digitaal leermateriaal en LAS/LVS n Rolverdeling: schoolbestuur aan het stuur n Doeleinden van de verwerkingen n Gebruik model verwerkersovereenkomst verplicht - Bijlage 1: privacybijsluiter - Bijlage 2: beveiligingsbijlage (certificeringsschema) n Comply or explain: advies is om niet af te wijken n Privacy by design en by default: keten-id / ECK-i. D (pseudoniem) n Informatieverplichtingen n Vraag vanaf 1 mei je verwerkersovereenkomst op bij je leverancier
Samen werken, samen slim! Werkgroepen IBP po en IBP vo gaan samen de verwerkersovereenkomsten toetsen van (de grootste) leveranciers
n Mensenrecht en grondrecht n Schoolbestuur moet zich aan de wet houden n Accountant controleert op IBP n Imagoschade als IBP misgaat n Boetes n Vertrouwen!
Privacy in het onderwijs
AVG: 25 mei 2018 Versterking en uitbreiding van privacyrechten Meer bevoegdheden voor Europese privacytoezichthouders Meer verantwoordelijkheden voor organisaties
Aandachtspunten AVG (25 mei ’ 18) 1. Vuistregels (uitleg volgt later) 2. Bewuster omgaan met persoonsgegevens: gestructureerd en stelselmatig (zoals privacy by design en by default) - gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen 3. Risicobenadering, context relevanter: risico-inventarisatie en risico-analyse - DPIA (gegevensbeschermingseffectbeoordeling) 4. Documentatieplicht: bewijslast en privacy-administratie - geen bewijs, geen toestemming - dataregister: welke gegevens, welke systemen, welke doelen 5. Bewustzijn creëren en actief voorlichting geven - Meer transparantie: uitleggen wat je waarom doet met gegevens
Vervolg Aandachtspunten 6. Minderjarigen: bij sociale media toestemming ouders bij jongere onder de 16 jaar 7. Verwerkersovereenkomsten centraler, beschrijving wat wettelijk vereist is - Privacyconvenant is de norm voor contracten in het po, vo en mbo 6. Meldplicht datalekken blijft bestaan (let op regelen procedure) 7. Functionaris voor Gegevensbescherming (FG): verplicht voor scholen 8. Technische en organisatorische beveiligingsmaatregelen: Aanpak IBP
Autoriteit Persoonsgegevens: AVG op school n Context van het onderwijs: - Leerlingen zijn een kwetsbare groep - Scholen hebben veel informatie en systemen - Gegevens worden intern en extern uitgewisseld (op wettelijke basis) n Terughoudend: niet de zweep er over de komende 1 tot 2 jaar - ‘Je moet er een potje van maken om een boete te krijgen de eerste jaren’ n Accountability: uitleggen waarom je wel/niet voldoet (leg vast!) - Assurance: aantoonbaar in control - Beter ‘iets’ dan ‘niets’ (begin gewoon!) n Scholen moeten ‘autoriseren, loggen en controleren’ regelen n Bewustzijn uitdragen: - ‘Zorg dat je bestuurder uitdraagt dat privacy belangrijk is’ en - ‘Vertel iedereen hoe je omgaat met privacy’
Dus… regel het! Het bestuur is verantwoordelijk om informatiebeveiliging en privacy (IBP) te regelen Privacy: garandeer de privacy van leerlingen, hun ouders én medewerkers Informatiebeveiliging: onderwijs en begeleiding moet altijd door kunnen gaan Kaders: (Wbp) AVG, onderwijswetgeving ISO 27001 en 27002 voor beveiliging
Aanpak IBP: https: //kn. nu/IBPonderwijs voldoen aan AVG 3. communiceren 2. realiseren 1. organiseren
Stap 1: organiseer een beleid De bestuurder stelt een beleidsplan op met daarin afspraken: n Uitgangspunten n Duidelijke doelen n Vastgelegde verantwoordelijkheden: wie gaat wanneer doen n Rapportage-afspraken: verslag aan bestuurder Het beleidsplan is de kapstok om IBP te regelen: en dan… aan de slag!
Stap 2: realiseren (neem maatregelen) Scholen hebben onder de AVG een documentatieplicht. Dus je moet vooral vastleggen hoe je zorgt voor privacy: n Inventariseer wat de grootste risico’s voor de school zijn in het algemeen (risico-inventarisatie) n Zet op een rij welke persoonsgegevens in welke systemen worden verwerkt, in een dataregister n Bepaal welke systemen een hoog risico* hebben n Bepaal voor in ieder geval voor die systemen dat je juiste maatregelen zijn getroffen, en voer zo nodig een DPIA uit. *systemen die “bijzondere categorieën van persoonsgegevens” hebben of vallen onder “stelselmatige en grootschalige monitoring”
AVG 3. Dataminimalisatie 4. Transparantie 2. Grondslag 1. Doelbepaling en doelbinding (rechten Betrokkene) 5. Data-integriteit Vuistregels privacy 2. 0
Gebruik beeldmateriaal
Voorbeeld: gebruik beeldmateriaal leerlingen Toestemming is altijd nodig (dus niet: wie zwijgt stemt toe) Toestemming: 1. Vrijwillig gegeven toestemming (niet onder druk, niet in de voorwaarden, niet in het inschrijfformulier) 2. Specifieke toestemming voor een doel: waar geef je toestemming voor, ook wel gelaagde toestemming) 3. Toestemming mag altijd ingetrokken worden Foto’s delen en opslaan: beveiligd! Vanaf 25 mei 2018: toestemming moet je aantonen Niet per foto, maar jaarlijks… (of: jaarlijks nadrukkelijk aandacht geven aan de gegeven toestemming) TIP: model verklaring in de Aanpak IBP
Functionaris voor gegevensbescherming n Functie (aanwijzing door bestuurder), mag extern zijn n Onafhankelijke interne toezichthouder ü Gevraagd en ongevraagd advies ü Betrokken bij risico-inventarisatie, dataregister, DPIA ü Gesprekspartner bevoegd gezag ü Werk slim, werk samen! Regel samen een FG, of doe dit via samenwerkingsverband 36
Stap 3: communiceren Betrek medewerkers: vertel wat informatiebeveiliging en privacy zijn: n Voorbeeld presenstatie bewustwording n Online training IBP voor medewerkers Betrek leerlingen: 21 e eeuwse vaardigheden zoals n digitale geletterdheid (basis ict-vaardigheden) Betrek en informeer de ouders en (G)MR: hoe vertel je het de ouders?
Zes keer zorgvuldig n Gebruik zorgvuldig: vergrendel je scherm n Deel zorgvuldig: eerst denken dan delen (en dan niet gewoon per mail) n Surf zorgvuldig: klik niet klakkeloos n Beveilig zorgvuldig: wachtwoord is persoonlijk n Verbind zorgvuldig: check veilige verbinding n Sla zorgvuldig op: encryptie en geen USB-sticks
Goede voorbereiding… is het halve werk! n Een marathon loop je niet in één keer… - Je schrijft je niet in op 24 mei voor een marathon op 25 mei n Je hebt training nodig en goede voeding - Goede voeding: Aanpak IBP - Trainen moet je echt zélf doen – maar werk samen waar mogelijk! n Als je vantevoren weet dat een marathon niet gaat lukken, schrijf je dan in voor de van dam-tot-dam loop n Maak een planning!
Dus… n Ga aan de slag: niet bang maar bewust! n Leg vast wat je doet, wat moet (beleid), en wat je gaat doen (planning) n Overleg met de (G)MR en vraag om instemming met het beleid! n Wijs medewerkers aan die IBP gaan regelen (IBP-team) n Risico-inventarisatie: wat zijn je risico’s, neem maatregelen n Welke gegevens zitten met wel doel in welke systemen (dataregister) n Denk (pas later) aan een FG n Op 25 mei niet klaar… niet erg?
Onderdelen PDCA 1. Risicoanalyse 2. Classificatie 3. Verwerkingen 4. DPIA 5. Bewaartermijnen 6. Bewustwording 7. Dataregister Risicoanalyse Bewustwording Classificatie Dataregister Bewaartermijnen Overzicht verwerkingen DPIA 43
Risicoanalyse Met wie n Gezamenlijk uitvoeren stimuleert bewustwording n verschillende rollen en taken Risico’s bepalen n De situatie op school n Wat ’heb’ je n Waar zitten de risico’s n Welk beeld heeft iedereen van de gevolgen Maatregelen definiëren n Hoe kun je de risico’s beperken n Welke maatregelen kunnen we nemen Prioriteiten bepalen 44
Persoonsgegevens op school Met wie? Wie? Bevoegd gezag Ouders Instanties Leerlingen Medewerkers Foto’s Leerresultaten NAW-gegevens Salarisstroken Bekostiging Administratie Wat? Technische logging Zorggegevens Beeld- en geluidsopnames Overdracht van (persoons)gegevens Leveranciers Personeelsdossiers Wachtwoorden. . . 45
Clusters Samenstelling van de groep n Allemaal uit hetzelfde cluster n Combinatie van clusters 46
Een risico Hoe groot is het risico dat er laptops gestolen worden? Invalshoek: toegang tot het pand Doordat de voordeur moeilijk sluit en af toe zelfs niet Kan dat leiden tot ongewenste bezoekers in het pand en mogelijk diefstal van laptops n <Een gebeurtenis> die leidt tot <een gevolg> door <een oorzaak> De kans dat het gebeurt en de impact die dat heeft. Voorbeelden risico’s Reputatieschade, financiële schade, continuïteitsproblemen, niet voldoen aan wet- en regelgeving, cloudproblemen, kennisniveau is te laag 47
Risico’s vragen om maatregelen De volgende stap is het bepalen van de maatregelen die moeten worden genomen om de risico’s te beperken. Veel maatregelen zijn terug te vinden in de Aanpak IBP in de vorm van templates, adviezen en hulpmiddelen: https: //kn. nu/ibponderwijs 48
Praatplaat 49
Dank voor de aandacht! ibp@kennisnet. nl https: //kn. nu/IBPonderwijs
- Slides: 50