Opleiding Aanspreekpunt Informatieveiligheid gino demeesterkatholiekonderwijs vlaanderen bert cauwenbergkatholiekonderwijs
Opleiding Aanspreekpunt Informatieveiligheid gino. demeester@katholiekonderwijs. vlaanderen bert. cauwenberg@katholiekonderwijs. vlaanderen peter. declerck@katholiekonderwijs. vlaanderen GELIEVE HET TOELATINGSFORMULIER IN TE VULLEN EN AF TE GEVEN BIJ HET BEGIN AUB !
“Disclaimer” • Instellingen / schoolbesturen met veel vragen • Gevolgen i. d. praktijk? • Organisatie i. d. praktijk – Middelen / uren ter beschikking stellen • Opleiding voor AIV – ondersteuning vanuit dienst Bestuur & Organisatie – Wetgeving is nuttig, nodig en doordacht; mentaliteitswijziging is aangewezen; maar ze “komt niet van ons” … 2
DAGINDELING (Elke sessie duurt ca. 1, 5 uur) 1. 2. 3. 4. 3 Inleiding De wetgeving praktisch & in een notendop Vragenronde Case studies Een inventaris van persoonsgegevens en een risicoanalyse opstellen voor uw school
INLEIDING
Wat is / doet een AIV? • Affiniteit met ICT, persoonsgegevens • ICT, preventieadviseur, directie bijstaan inzake informatieveiligheid en privacy • In orde stellen met nieuwe wetgeving, uiterlijk tegen 25 mei 2018 • Meewerken aan sensibilisering • Allerhande vragen en problemen inzake informatieveiligheid en privacy oplossen • Beheer van toestemmingen • Wat te doen bij en opvolging datalekken • Wil niet zeggen dat AIV dit alleen moet doen … 6
Opleidingstraject • Verdere sessies (en reeksen) – Te vinden op nascholing. be: “aanspreekpunt” http: //nascholing. be/2017 -2018/index. aspx? mod. ID=2248107 7
Opleidingstraject • 2017 -2018: 3 volledige dagen – Wetgeving + waarom / Voorbereidingen – In regel met administratieve verplichtingen – Interne en externe communicatie • 2018 -2019: vervolgtraject – Sensibilisering / interne opleiding personeel – Best practices inzake (betere) beveiliging – Opvolging, (zelf)auditing, … 8
MATERIAAL • Syllabus – Notitie nemen bij presentaties – Bijkomende documentatie – Vervolg i. d. reeks meebrengen aub – Sessie 3 & 4: laptop is aangewezen • Portaal – Tijdelijk! http: //opleiding-aiv. weebly. com/ – http: //www. privacyopschool. be – Originele presentaties – Digitale versies van documentatie en bijlagen 9
10
AVG in een notendop Toegepast op scholen
Bronnen • http: //www. privacy-regulation. eu/nl/ • https: //www. privacycommission. be/ • https: //www. kennisnet. nl/organiserenict/informatiebeveiliging-privacy-ibp/ 12
Algemene principes “ Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens. Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens. ” Artikel 1 13
Toepassingsbereik • Niet voor huishoudelijk gebruik (art. 2) • Identificeerbare gegevens van natuurlijke personen (art. 4) • Verwerking met het oog op opslag (art. 2) – Losse post-it’s versus fichebak of geordende kaft – Verzamelen (vragen) is ook verwerken 14
Gegevens van wie? • Gegevens over en van natuurlijke personen (art. 1) • Die opgeslagen worden in een bestand (art. 2 en 4) – Bestand: bevat een structuur – Alles op elektronisch toestel / locatie – Maar bv. ook fichebak • Alle EU-burgers (art. 3) – Ongeacht waar gegevens bewaard worden – Activiteiten: enkel indien die zich voordoen in EU • Ook niet-EU-burgers (art. 3) – Indien gegevens bewaard in EU 15
Algemene principes Rechtmatig, behoorlijk en transparant Juistheid Doelbinding opslagbeperking Data minimalisatie integriteit en vertrouwelijkheid De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving ervan en kan deze aantonen 16
Wie speelt een rol? • Betrokkene • Verwerkingsverantwoordelijke • Verwerker (Art. 4) 17
Wat is verwerken? • • • Verzamelen, vragen Bewaren Raadplegen Analyseren Aanpassen Verwijderen met de bedoeling Archiveren om de gegevens in een bestand op te nemen Doorgeven … (Art. 4, definitie 2) 18
Welke gegevens mag je verwerken? GRONDSLAGEN
20
Verwerking van persoonsgegevens dient altijd te gebeuren met inachtneming van een rechtmatigheid (een grondslag). Art. 6 21
Grondslagen voor de verwerking (art. 6) 1. Enkel met toestemming 2. In het kader van een overeenkomst die aangegaan werd 3. Indien je een wettelijke verplichting moet nakomen 4. Als het gaat om vitaal belang 5. Als het gaat om openbaar belang 6. Als er een gerechtvaardigd belang is NIET: Gegevens met bijzondere bescherming (art. 9) 22 .
3. Wettelijke verplichting • Voorbeelden (leerlingen) – Heeft moeder diploma / getuigschrift secundair? (decreet Gelijke Onderwijs. Kansen) – Identificatie leerling: Ag. ODi – Naamgegevens, adres, aanwezigheden: verificateur – Zorggegevens, gezinssituatie: CLB – Bu. O / Bu. SO: multidisciplinair team – Loopbaan en identiteit personeelslid: Agodi (werkstation) en SG 23
3. Wettelijke verplichting • Voorbeelden (pedagogische begeleiding) – Loopbaan, i. h. b. beginnende leerkrachten of specifieke opdracht 24
2. In het kader van een overeenkomst • Inschrijven van een leerling – Ondertekenen schoolreglement • Les geven – Leerlingadministratie – Leerling volgen – Leerling evalueren 25
2. In het kader van een overeenkomst • Aannemen van een personeelslid – Ondertekenen arbeidsovereenkomst • Te werk stellen – Identificatie – Loopbaan – Loonadministratie 26
2. In het kader van een overeenkomst • Bijkomende voorbeelden: – Noodtelefoon: nabewaking / secretariaat – Klas, identiteit > uitgeverij voor bv. login op digitaal platform • Vgl. voor deze nascholing: – Algemene opsomming informatie die nodig is om nascholingen te organiseren, geven en op te volgen 27
1. Enkel met toestemming • Vooraf te geven • Hangt samen met duidelijk(e) omschreven doel(en) • Actieve handeling & aantoonbaar • Ten allen tijde intrekbaar (Art. 7) • > 16: zelf • < 16 of niet-bekwaam: ouder(s) of voogd • Leeftijdsgrens voor BE nog niet definitief… – Sowieso tussen 13 en 16 28 (Art. 8)
1. Enkel met toestemming • Toestemmingsformulier / -strookje (art. 4, def. 11) – Niet meer “stilzwijgend” • Vinkje of dergelijke zetten, opgesplitst naar doel toe, bv. in een rooster (art. 7, lid 2) – Naam / contactgegevens op website – Foto op afgeschermd platform – Foto op website – Foto op Facebook –… • Te ondertekenen – bijhouden 29 (art. 7, lid 1)
4. Vitaal belang • Omwille van dwingende nood (levensbedreigende situaties) – Cf procedure(s) • Preventie(verantwoordelijke) – Dan mag informatie wel doorgegeven worden – Epilepsieaanval, diabetes, … 30
5. Openbaar belang • Voorbeeld – Epidemie (TBC, meningitis) 31
6. Gerechtvaardigd belang De verwerking van gegevens is nodig omdat de activiteit anders niet uitvoerbaar is. Welke gegevens heb je nodig om de praktische werking te kunnen garanderen op school? Verwerkingen die voor de bedrijfscontinuïteit essentieel zijn. 32
6. Gerechtvaardigd belang • Voorbeelden – Gegevens voor (digitale) leermiddelen (zodat er kan worden gewerkt met hetzelfde boek in de klas) – CLB-dossier versus Schooldossier (art. 9, lid 1, punt h) – “Kringen van vertrouwelijkheid” (betekent dat er een beperking is op het aantal personen dat toegang heeft tot de gegevens) – Beveiligingslagen – Dit is een beleidskeuze / beleidsmaterie ! 33
CLB- versus schooldossier 34 CLB-dossier Schooldossier • Beroepsgeheim • Ambtsgeheim
CLB- versus schooldossier CLB-dossier Schooldossier • Beroepsgeheim • Meest gevoelige info (gezin, medisch, zorg, …) • Discretieplicht • Enkel info, nodig om les te geven & leerling op te volgen • Eventueel leestoegang personeel CLB (Enkel lln. onder hun begeleiding) • Geen toegang personeel school 35
“Kringen van vertrouwelijkheid” Leerkrachten & secretariaat Leerkrachten met les aan ll Tucht (“prefect”) Zorg Leerlingenbegeleiding (Directie) CLB (Zorg) ICT ? 36 Ouder(s) Leerling zelf Derden Verlofstels Extern(e partijen)
Omgaan met gevoelige info • Belang van de leerling dienen – Samenspraak met leerling / ouders • Personeelsleden: discretieplicht – Arbeidsreglement, maar geldt ook na vertrek • CLB-medewerkers: beroepsgeheim • Externe begeleiding: – Statuut? – Desgevallend overeenkomst sluiten… 37
Omgaan met gevoelige info • Privacywetgeving steeds van toepassing (art. 9, lid 4) – Extra bescherming: minderjarigen • GEB (gegevensbeschermingseffectbeoordeling): – Verplicht voor CLB (art. 35) – Scholen: verplicht voor LVS (Privacy Commissie) (aanbeveling met betrekking tot de gegevensbeschermingseffectbeoordeling) 38
Bijzondere gegevens • Mogen in principe NIET verwerkt worden !!! (art. 9) • Gevoelige gegevens • Rijksregisternummer (art 87) • Strafrechterlijke informatie – Niet van toepassing voor onderwijs – (Uittreksel strafregister is iets anders!) 39
Gevoelige gegevens • Niet !!! verwerken, tenzij: – Uitdrukkelijke toestemming voor een welbepaald doel (art. 9, lid 2, punt a) – Niet oplijsten 40
Gevoelige gegevens • • 41 Raciaal / etnische afkomst Politieke overtuiging Levensbeschouwelijke aspecten Lidmaatschap vakvereniging (vakbond) Genetische of biometrische gegevens Medische informatie Seksuele geaardheid of voorkeur
Medische informatie • Expliciete toestemming nodig • Zelf periodiek bijwerken / verwijderen • Voorbeelden (leerlingen) – (Tijdelijk) verminderde mobiliteit – Allergie – Medicatie – Epilepsie, diabetes, … 42
Rijksregisternummer • Is wettelijk beschermd; machtiging nodig (wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen) • Beheer: Vlaamse Toezichtscommissie (VTC) – Er moet een veiligheidsplan en een –consulent aangesteld zijn • Schoolinstellingen gemachtigd om: – Doorgeven aan Ag. ODi (mag leerling weigeren) – Controle door verificateur – Opvraging schoolloopbaan door overheid • Dus niet gemachtigd om: – (interne) identificatie / pseudonimisering – TIP: gebruik WISA of stamboeknummer 43
Hoe moet je gegevens correct verwerken? VOORWAARDEN
“Accountability” • Verantwoordingsplicht (art. 5) – Een van de centrale principes • • Communiceren, informeren IVPB opstellen (Informatie. Veiligheid- en Privacy. Beleid) Register kunnen voorleggen (art. 30) Sommige gevallen: GEB (art. 35, lid 4 en 5) (Gegevensbeschermings. Effect. Beoordeling - Data Protection Impact Assessment) 45
Hoe? => zorgen voor: 1. Rechtmatigheid en transparantie (art. 5, lid 1, punt a) 2. Steeds in overeenstemming met het doel (art. 5, lid 1, punt b) 3. 4. 5. 6. Proportioneel (art. 5, lid 1, punt c) Juistheid en integriteit (art. 5, lid 1, punt d) Opslagbeperking (art. 5, lid 1, punt e) Beveiliging waarborgen (art. 5, lid 1, punt f) (Art. 5) 46
Rechtmatigheid en transparantie • Rechtmatigheid – Enkel gegevens die je nodig hebt – Cf. grondslagen (6) / doelbinding – Moet je verantwoorden • Transparantie – Communicatie met betrokkenen • Kennisgeving (1 keer) • Aanpassingen, wijzigingen, … melden / vragen – Moet in begrijpelijke taal 47
Doelbinding • Steeds verantwoorden waarom je verwerkt • Voorbeelden (doelen): – Financiële gegevens facturatie – Leerlingenadministratie – Leerlingen volgen – Leerlingen evalueren – Kleding/schoenmaat 48
Doelbinding • Steeds verantwoorden waarom je verwerkt • Voorbeelden (doelen): – Financiële gegevens facturatie – Leerlingenadministratie – Leerlingen volgen – Leerlingen evalueren – Kleding/schoenmaat werkplekleren 49
Doelbinding • Steeds verantwoorden waarom je verwerkt • Voorbeelden (doelen): – Financiële gegevens facturatie – Leerlingenadministratie – Leerlingen volgen – Leerlingen evalueren – Kleding/schoenmaat werkplekleren – Allergie of dergelijke 50
Doelbinding • Steeds verantwoorden waarom je verwerkt • Voorbeelden (doelen): – Financiële gegevens facturatie – Leerlingenadministratie – Leerlingen volgen – Leerlingen evalueren – Kleding/schoenmaat werkplekleren – Allergie of dergelijke opvang, reis 51
Proportioneel • Enkel gegevens die strikt nodig zijn voor – Doelbinding – Nakomen overeenkomst • “Nice to know” / “Need to know” • Voorbeeld – Diploma moeder, vader 52
Juistheid • Ten allen tijde up-to-date en juist (bv. gegevens aanpassen na het ontvangen van een adreswijziging) • Procedures / afspraken & audit nodig (? ) (is een verplichting bij medische informatie) • Cf. recht op inzage 53
Opslagbeperking • Per gegeven dat je verwerkt moet je vastleggen (en informeren): – Doelbinding – Tijdsduur – Welke groepen toegang hebben – Beveiligingsmaatregel(en) 54
Opslagbeperking • Beperking in de tijd – Hoe lang worden de gegevens verwerkt – Worden ze daarna gearchiveerd of verwijderd • Gearchiveerd: voor hoe lang • Verwijderen in databank … 55
Opslagbeperking • Anonimiseren – Identiteit kan onmogelijk terug achterhaald worden (anonimiseren voor statistische of onderzoeksdoeleinden) • Pseudonimiseren (bv. met een nummer) – Code/sleutel zorgt ervoor dat personen niet rechtstreeks achterhaald kunnen worden – Code/sleutel moet apart bijgehouden en extra beveiligd worden (bv. encryptie) – Sleutelbeheer (en beveiliging) moet gedocumenteerd worden 56
Opslagbeperking • Voor leerlingengegevens – Wettelijke bewaartermijnen leerlinggebonden documenten: http: //data-onderwijs. vlaanderen. be/edulex/document. aspx? docid=13572 Omzendbrief Bewaartermijn van leerlinggebonden documenten – Gedurende schoolloopbaan op die instelling – Gestart schooljaar “uitdoen” – Oud-leerlingen (bv. contactgegevens) toestemming vragen 57
Opslagbeperking • Voor personeelsgegevens – Wettelijke bewaartermijnen … – Gedurende werkloopbaan op die instelling – Langer bewaren toestemming vragen – Sollicitatiebrieven / CV’s (? ) 58
Beveiliging waarborgen • Organisatorisch – Preventieadviseur • Technisch – ICT • Voorbeelden: – Fysieke beveiligingsmaatregelen (bv. sloten en alarm) – Backups, encryptie – “Privacy by design” (bv. login en encryptie) en “Privacy by default” (bv. starten met minimale rechten) – Two-factor authentication (bv. wachtwoord en vingerafdruk) 59
Rechten van de betrokkene
Rechten van de betrokkene (vervolg) 1. Toestemming geven en ten allen tijde kunnen intrekken (art. 7, lid 3) 2. Inzagerecht (kennisnemen) (art. 15) – Verschil met kennisgeving 3. Verbeteren / betwisten gegevens (art. 16) 4. Recht om vergeten te worden (art. 17) 61
Toestemmingen (herhaling) • Vooraf te geven + Actieve handeling • Hangt samen met duidelijk omschreven doel(en) • Leeftijdsgrens – 16 (en bekwaam) – Sowieso tussen 13 en 16 • Aantoonbaar – D. w. z. bijhouden – Digitaal kan ook! 62
Enkele praktijkvoorbeelden • Foto’s en beeldmateriaal: – In principe: telkens apart – Algemene toelating kan, maar: • Splitsen waarvoor gebruikt (cf. doelbinding) • Bijv. m. b. v. een rooster (ja / nee) • Intern platform, website, Facebook, … apart • Gegevens van ouders delen – Adres, telefoon, email – Iedere ouder apart 63
Enkele praktijkvoorbeelden • Gegevens doorgeven aan derden – Bv. tijdschrift, parochie secundaire scholen, … – Mag NIET – Tenzij: (bv. communie) , uitgevers, • Afzonderlijke (!) toestemming vragen • Doel duidelijk vermelden (en dan ook enkel voor dat doel) 64
Enkele praktijkvoorbeelden • Gegevens personeel publiceren – GSM: wel indien werknummer – Email: mag, maar enkel werkadres, niet privé – Foto’s: eigenlijk niet, zonder toestemming – In overeenstemming met uit te oefenen taak 65
Intrekken toestemming • Kan ten allen tijde – Schriftelijk – Via email of andere elektronische weg • Geldt niet “terugwerkend” ! – Vanaf moment intrekking is verwerking niet meer toegelaten – “Zonder onredelijke vertraging” – Verwerkte gegevens van voor dat moment, dienen daarom niet verwijderd of teruggeroepen te worden 66
Niet geven toestemming • Er mag geen “dwang” zijn • Enkel opnemen in schoolreglement (als “veronderstelling”) volstaat niet !! • Inschrijving weigeren wegens niet geven van toestemming(en) mag niet !! 67
Inzagerecht (kennisnemen) • Gegevens opvragen – Identificatie, contact, punten, LVS, … • Cf. leeftijdsgrens – Vanaf 16 leerling zelf, anders ouders • Kan op eender welk moment • Moet binnen bewaartermijn – Als school te bepalen (uitz. wettelijk vereist) – Moet wel vooraf gecommuniceerd zijn 68
Inzagerecht (kennisnemen) • Mag geanonimiseerd worden, bv. LVS van leerkrachten en/of andere leerlingen) • Mag niet “geschrapt” worden • Binnen 1 maand – Mits motivatie, 2 maanden extra • Kan geweigerd worden (bv. bij gescheiden ouders) – Motiveren – Betwisting: Privacy Commissie 69 (namen
Inzagerecht (kennisnemen) • Kosten aanrekenen kan – Bijkomende kopie(ën) – 1 kopie sowieso gratis – Moet billijk / in verhouding zijn • Cf. externen die gegevens verwerken – Zie verder 70
Verbeteren / betwisten gegevens • Updaten, verbeteren, schrappen bepaalde gegevens • Kosteloos • Indien door verwerker zelf, of andere betrokkenen – Alle betrokkenen moeten ingelicht worden • Kan niet indien in strijd met een (andere) wetgeving of decreet (bv. om punten te veranderen, om afwezigheden te betwisten, …) 71
Recht om vergeten te worden • • Niet langer nodig Onrechtmatigheid “Zonder onredelijke vertraging” Definitief verwijderen • Voorbeelden – Mailinglijsten – Afstuderende leerling • Kan nooit voor een leerling /personeelslid, nog op de school 72
Uitoefenen rechten • Moet men schriftelijk aanvragen • Communicatie misschien efficiënt via email • Cf. transparante en eenvoudige communicatie • Suggestie: privacy@instelling. be privacy@schoolbestuur. be • (Ook als meldpunt datalekken gebruiken) 73
Plichten van de verwerkingsverantwoordelijke
75
Plichten van de verwerkingsverantwoordelijke 1. Kennisgeving – Verschil met inzagerecht (kennisneming) 2. Eerlijk beheer 3. Beveiliging – Cf. IVPB en register – Voortdurend mee bezig zijn – Best practices (volgen) (Art. 5) 76
Kennisgeving • Welke gegevens je verwerkt, waarvoor (doelbinding) en hoe lang • Moet éénmalig gecommuniceerd worden • Kan via (bijlage bij) schoolreglement • Ook informeren indien: – Andere gegevens – Voor een ander doel • Ook indien door externe verwerkers • Kenniswetgeving niet nodig indien wetgeving / decreet (wettelijke grondslag 3) 77
Eerlijk beheer • Bijwerken, verbeteren, verwijderen indien nodig of volgens eigen beleid • Toegang beperken tot personen waar het echt voor nodig is • Bijhouden in Register van verwerkingsactiviteiten !!! 78
Eerlijk beheer • Betrokken personeel ook informeren en sensibiliseren – Zie ook algemeen reglement: 1/09/2012 art. 7 lid 7 – Zie ook arbeidsreglement: art. 6, lid 8 en 9 79
Beveiliging • Uitvoeren risicoanalyse – Gebaseerd op ISO 27000 / ITIL • Bepalen eigen maatregelen • Er aan houden • Bijsturen en manier van werken aanpassen • Cf. auditing 80
Beveiliging • Enkele voorbeelden – Noodstroomvoorziening – Backups – Antivirus – Wachtwoordbeleid (eventueel 2 -factor) – Encryptie – Gebruikersrechtenbeleid 81
Beveiliging • Opletten voor – Buiten gebruik gesteld materiaal (pc’s) – Archief en backups onderhouden – Cloud toepassingen / externe datacenters • Duidelijke afspraken maken (op papier) • Verwerkersovereenkomsten sluiten 82
Plichten van de verwerkingsverantwoordelijke (vervolg) • Ook verantwoordelijk voor VERWERKERS − − 83 Externe partijen, platformen, leveranciers Verwerkersovereenkomst(en) afsluiten !!! Kath. Ond. Vla & Go! Intentieverklaring Moet niet indien wettelijke verplichting (wel opnemen in Register)
Plichten van de verwerkingsverantwoordelijke (vervolg) • Melden van datalekken – Meldpunt voorzien • Suggestie: privacy@instelling. be of privacy@schoolbestuur. be – Van wie zijn welke gegevens (mogelijk) “gelekt” – Niet nodig indien: • Geanonimiseerd • Gepseudonimiseerd (zonder sleutel) • Geëncrypteerd 84
Plichten van de verwerkingsverantwoordelijke (vervolg) • Melden van datalekken – Melden aan privacycommissie – Betrokkenen informeren • Indien persoonlijke rechten en vrijheden in gevaar – Beleid opstellen – Sensibiliseren 85 voorkomen
- Slides: 84