Informatiebeveiliging en privacy Lekker. Eenvoudig. Dirk Linden (CTO) en Job Vos (adviseur privacy) Leveranciersbijeenkomst 9 oktober 2017, Zoetermeer

Programma 10.00 – 11.00 IBP op school Inleiding informatiebeveiliging en privacy Hoe regelen scholen IBP? Wat verandert er met de AVG – op hoofdlijnen? Privacyconvenant   11.00 – 11.30 uur koffiepauze 11.30 – 12.30 uur IBP in de keten Veilige en betrouwbare keten: Edu-K Privacyconvenant Certificeringsschema

Er was eens… Begin met een sprookje. Moderne variant: Roodkapje Hullie at Dutch Wikipedia

Roodkapje zat op de bank Roodkapje zat op de bank. Moeder zei: ga een leuk koekjes brengen naar oma. Roodkapje kijkt vermoeid op van haar ipad en sluit minecraft af. Daar zit ze niet op te wachten. Etc etc. Maar goed. Koekjes… dus ze googlet op koekjes, gaat naar AH voor koekjes en komt terug naar huis.

Thuis pakt moeder de kaart. Wat is dat, denk roodkapje Thuis pakt moeder de kaart. Wat is dat, denk roodkapje. Daarom pakt roodkapje haar mobiel en gaat naar google maps. Dan gaat ze op weg naar oma. Door het bos. In het bos zit oma al in haar stacaravan (want ja: leven is ook duurder voor oma’s dus daarom stacaravan). Roodkapje dacht oma te zien uit de verte. Maar waar is ze nu? Nou, oma had geo-fencing aanstaan en ja hoor, ze kreeg een signaal dat roodkapje er aan kwam. Dus oma is snel in bed gekropen. En dan komt roodkapje binnen. En ze eten gezellig de koekjes op. En dit was het sprookje, ze leefden nog lang en gelukkig. O, missen jullie wat? O dat zal de wolf zijn. De Clou: zie volgende sheet.

Facebook hield bij dat Roodkapje bij oma op bezoek ging Apple hield bij hoe lang Roodkapje er bleef Samsung hoorde precies wat oma zei En Google wist al lang dat Roodkapje van plan was op bezoek te gaan… De wolf zat zeker al in het sprookje! Heb je het niet gemerkt?! Klik plaatje: dan lees je op wat de wolven zijn: google, facebook, apple,. Etc.

“Privacy niet belangrijk vinden omdat je niets te verbergen hebt, is hetzelfde als niet geven om vrijheid van meningsuiting omdat je niets te zeggen hebt.” Edward Snowden

Aandacht voor privacy in het onderwijs Aandacht voor privacy niet nieuw 1989: Wet persoonsregistratie (WPR) 2001: Wet bescherming persoonsgegevens (WBP) 2018: Algemene Verordening Gegevensbescherming (AVG) Privacy in het onderwijs (PO-Raad, VO-raad, Kennisnet) 2013: PvE leermiddelen: regierol uitgangspunt voor regierol namens sector 2014: Incidenten rondom privacy (RTL nieuws); 1e aanzet privacyconvenant 2015: Privacyconvenant 1.0 (leermiddelen) 2016: Privacyconvenant 2.0 (leermiddelen+LAS/LVS) Introductie ‘Aanpak IBP’ (stappenplan om IBP te regelen) 2017: Privacyconvenant 3.0 (aanpassing aan AVG) met certificeringsschema met beveiligingseisen voor leveranciers

Wat is privacy? Eerbiediging van de persoonlijke levenssfeer Bescherming van persoonsgegevens Privacy: 400 jaar oud: Hippocrates. Oude begrip: bescherming huis

met rust te worden gelaten gegevens over jezelf te controleren Het recht om met rust te worden gelaten gegevens over jezelf te controleren Informatiebeveiliging is een proces voor het beschermen tegen risico’s en bedreigingen met betrekking tot informatie en ict.

Waarom is privacy zo belangrijk? Het recht op privacy is een fundamenteel mensenrecht en grondrecht, net zoals het recht op leven, het verbod op discriminatie, recht op een eerlijke proces of verbod van slavernij. ‘het staat in de wet’, dus het moet (2018: AVG) compliance: accountantscontrole imago: datalekken, schade, risico’s financieel: hoge boetes, ook voor scholen! En…

En privacy op school? Privacy: zin in systemen en dossiers. Op school heeft ¼ van leerlingen zorg o.i.d. Dus daar zit meer in de administratie dan gemiddeld: zorgdossiers. Dus medsiche info. Leg vergelijking met jouw dossier bij de huisarts. Jouw medisch dossier zit ook in een database. En wat vind JIJ er van als je bij de huisarts zit, en er zit een geel briefje op zijn monitor. Daarop staat zijn wachtwoord van JOUW dossier. Dat kan toch niet? Waarom hebben honderden scholen dan wel computers staan met op de monitor een geel briefje met het wachtwoord om in te logggen? Gekkigheid. Spreek je collega aan: de databases van scholen zijn net zo gevoelig als medische systemen. Dus beveiliging moet net zo goed als in ziekenhuis, Dus geen wachtwoorden opschrijven.

Privacy gaat niet alleen over gegevens Plaatje server: privacy gaat ook over ‘weten wat er op je schoolnetwerk gebeurt’. Worden er sexfilmpjes gedeeld, of banga-lijsten? Dit vraagt om de afweging tussen privacy van leerlingen/medewerkers en bescherming van die zelfde leerlingen/medewerkers. Mag en kan je leerlingen de hele dag volgen en alles opslaan wat ze doen? In Europa zijn we hevig verontwaardigd als blijkt dat de NSA allerlei gegevens over ons gebruikt bij de opsporing, maar als we leerlingen de hele dag gaan volgen, doen we dan niet het zelfde? Zoek de balans en informeer medewerkers, leerlingen en ouders over je beleid hierover! Schoolfoto’s: een foto zegt iets over je ras, etniciteit. Daarom is een foto een bijzonder persoonsgegevens: je moet hier nóg voorzichtiger mee omgaan dan met gewone data.

Toenemend belang om IBP te regelen: Meer processen en diensten digitaal: meer gegevens Meer koppelingen tussen systemen: meer uitwisselingen Digitale voorzieningen buiten de school (cloud)

Dus… regel het! Schoolbestuur (bevoegd gezag) is verantwoordelijk om informatiebeveiliging en privacy (IBP) te regelen Privacy: garandeer de privacy van leerlingen, hun ouders én medewerkers Informatiebeveiliging: onderwijs moet altijd door kunnen gaan Kaders: Wbp, AVG, onderwijswetgeving ISO 27001 en 27002 voor beveiliging

Waar moet je beginnen? Wees geduldig Stap voor stap Begin gewoon Het hoeft niet in 1 x af!

Aanpak IBP: https://kn.nu/IBPonderwijs 25 mei 2018: invoering AVG 3. communiceren Hoe regel je het: doel is 25 mei 2018. Alles klaar. Leg uit dat 2018 eigenlijk gek is: want in AVG zit meer dan de helft wat nu al in Wbp zit. Dus scholen hebben meer dan 15 jaar de tijd gehad om zaken te regelen. En nu plotseling haast voor 25 mei 2018?! 3 stappen: organiseer je beleid. Dat is waar de bestuurder vastgesteld dat ibp voor iedereen geldt, dat er een paar mensen ibp gaan regelen en dat ze daar de steun van de bestuurder voor hebben gekregen. Stap 2: beleid moet geen papieren tijger blijven. Daarom: beleid naar praktijk: realiseer maatregelen. Verderop meer uitleg. En stap 3: zorg dat iedereen weeet wat hij/zij moet doen. Communicatie. 2. realiseren 1. organiseren

Stap 1: organiseer een beleid De bestuurder stelt een beleidsplan op met daarin: duidelijke doelen uitgangspunten vastgelegde verantwoordelijkheden: wie gaat wat wanneer doen Rapportage-afspraken: verslag aan bestuurder Het beleidsplan is de kapstok om IBP te regelen: en dan… aan de slag!

Stap 2: realiseren Breng het beleid in de praktijk: neem en organiseer je IBP-maatregelen Als eerste voer je een nul-meting uit: risico-analyse (RI&E voor IBP) Inventariseer welke persoonsgegevens je gebruikt in welke systemen Beoordeel de gevoeligheid van die gegevens (classificeren) Wat zijn de grootste risico’s op je school/scholen? Maak een planning welke maatregelen je op welk moment gaat regelen

Voorbeeld van te nemen maatregelen

Stap 3: communiceren Betrek medewerkers: vertel wat informatiebeveiliging en privacy zijn Voorbeeld presenstatie bewustwording Online training IBP voor medewerkers Betrek leerlingen: 21e eeuwse vaardigheden zoals digitale geletterdheid (basis ict-vaardigheden) Betrek en informeer de ouders en (G)MR: hoe vertel je het de ouders?

Wat gaan we verder nog doen? Nieuwe hulpmiddelen: PIA, bewaartermijnen, handreiking FG, dataregisters, … PO-Raad en VO-raad: opzetten werkgroep IBP - toetsen bewerkersovereenkomsten: - afstemmen hulpmiddelen Maand van de IBP: oktober (thema: bewustwording) - masterclasses - landelijk congres - webinar - hulpmiddelen voor bewustwording Analyse voorwaarden Apple en Google (vgl. Microsoft) Privacyconvenant: versie 3.0 (AVG-compliant) Certificeringsschema: is jouw leverancier veilig genoeg?

Dit lijkt wel allemaal erg simpel… 1. organiseren: IBP is belangrijk 3. communceren: We hebben het erover 2. realiseren: Zo pakken we het aan: stelselmatig aan de slag en continu verbeteren

Maar dat is het ook! Want dit gebeurt er onder de motorkap: 2017 2018 2019 Maatregel ✔ Maatregel ✘ Maatregel ✔ Maatregel ✘ Maatregel ✔ Maatregel ✘ Maatregel ✔ Maatregel ✘

De Wet bescherming persoonsgegevens Dit is het belangrijkste dat u moet weten over de Wbp: deze wet wordt niet ouder dan 226 dagen Voorstel uit 2012: Algemene Verordening Gegevensbescherming (AVG) Volledige titel: Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. #GDPR Dit is Europese wetgeving die nationale wetten overbodig maakt

(verwerkingsverantwoordelijke) AVG Verantwoordelijke (verwerkingsverantwoordelijke) Bewerker (verwerker)

AVG 3. Dataminimalisatie 4. Transparantie (rechten betrokkene) 2. Grondslag 5. Data-integriteit Doelbepaling en doelbinding Vuistregels privacy 2.0

Aandachtspunten AVG (25 mei ’18) Vuistregels (hiervoor besproken) Bewuster omgaan met persoonsgegevens: privacy by design en by default gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen Risicobenadering, context relevanter: risico-inventarisatie en risico-analyse PIA (privacy impact assessment wordt gegevensbeschermingseffectbeoordeling) Documentatieplicht: bewijslast bij de verantwoordelijke geen bewijs, geen toestemming Bewustzijn creëren en actief voorlichting geven Trainingen Meer transparantie: uitleggen wat je waarom doet met persoonsgegevens

Vervolg Aandachtspunten Minderjarigen: bij sociale media toestemming ouders bij jongere onder de 16 jaar Alleen bij sociale media! Bewerkersovereenkomsten centraler, beschrijving wat wettelijk vereist is Privacyconvenant is de norm voor contracten in het po en vo Meldplicht datalekken blijft bestaan (let op regelen procedure) Functionaris voor Gegevensbescherming (FG): verplicht voor scholen Technische en organisatorische beveiligingsmaatregelen: Aanpak IBP

En ook nog… Rechten betrokkene verstevigd, meer controle bij de burger: Recht op informatie Recht op inzage Recht op rectificatie Recht van verzet Recht op gegevenswissing (vergetelheid) Beperking van de verwerking Recht op dataportabiliteit Recht niet onderworpen te worden aan geautomatiseerde besluitvorming Handhaving: beter afgestemd en boetes tot 4% wereldwijde jaaromzet of €20 mio

Handige checklist

Sectorbrede afspraken over privacy

Privacyconvenant Afspraken over rolverdeling school-leverancier Afspraken over doeleinden en categorieën persoonsgegevens  Gebruik model bewerkersovereenkomst: comply or explain Beveiliging regelen is verplicht (beveiligingsbeleid) Afspraken datalekken: leverancier mág melden  Transparantie partijen over privacy 

Privacyconvenant Meer dan 190 partijen hebben al getekend! Onderteken het Convenant Privacy en Digitale Onderwijsmiddelen 2 Maak gebruik van de modelbewerkersovereenkomst en vul de bijlagen in 3 Zorg dat de interne bedrijfsvoering overeenkomst met het convenant en de bewerkersovereenkomst 4 Verstuur per schoolbestuur een ingevulde bewerkersovereenkomst conform model 5 Controleer of het bestuur akkoord is gegaan met de overeenkomst Meer dan 190 partijen hebben al getekend!  Waar vind ik meer informatie? www.privacyvonvenant.nl

Vervolg programma 11.30 – 12.30 uur IBP in de keten Veilige en betrouwbare keten: Edu-K Certificeringsschema 

Samenwerking in de educatieve keten De (i)ECK-programma’s (2006-2015) Edustandaard (sinds 2008) Doorbraakproject Onderwijs en ICT (2014-2017) Sinds oktober 2015: Edu-K

Het platform voor de educatieve keten

Veilige en betrouwbare keten Uitgangspunten Eenvoudige en efficiënte processen voor school en leverancier Scholen in control over persoonsgegevens en beveiliging Veilige omgang met niet meer persoonsgegevens dan noodzakelijk

De thema’s van Edu-K Veilige en betrouwbare keten Edu-K Toegang tot leermateriaal Privacy Continuïteit en beveiliging Inzicht in het leerproces Catalogus & metadatering De thema’s van Edu-K Veilige en betrouwbare keten

Werken aan een veilige en betrouwbare keten Dataminimalisatie Unieke identifier Uitwisseling resultaten SSO Beveiliging op orde Stroomlijnen van processen Privacy goed geregeld

Werken aan een veilige en betrouwbare keten Dataminimalisatie Attributenbeleid ECK iD Unieke identifier ECK iD / nummervoorziening UWLR-standaard Uitwisseling resultaten Toegangs-voorziening SSO Beveiliging op orde Certificeringsschema informatiebeveiliging Stroomlijnen van processen ECK-standaard Distributie & toegang Privacyconvenant & modelbewerkersovereenkomst Privacy goed geregeld

Een unieke identifier voor elke leerling De nummervoorziening en het ECK iD Een stabiele identiteit voor iedere leerling Oplossing voor fuzzy matching Eerste stap op weg naar verdere toepassing dataminimalisatie 1 Bepaal de rol(en) die je vervult in de keten 2 Neem contact op met het programmateam en sluit je aan bij een van de projectgroepen 3 Maak de eigen systemen geschikt voor gebruik van het ECK iD 4 Maak binnen de projectgroepen (test)afspraken over de systemen waar je mee koppelt Waar vind ik meer informatie? www.nummervoorziening.nl

Duidelijkheid over het uitwisselen van leerlinggegevens Attributenbeleid bij het ECK iD Beter in staat om dataminimalisatie toe te passen Eenduidige afspraken over verzenden/ontvangen leerlinggegevens Met het ECK iD minder kans op fouten en minder risico’s bij een datalek 1 Sluit je aan bij een van de projectgroepen ECK iD 2 Maak de eigen systemen geschikt voor gebruik van het ECK iD 3 Breng het aantal te gebruiken attributen terug tot het attributenbeleid en maak voor specifieke toepassingen afspraken met de afnemende schoolbesturen in de bewerkersovereenkomst Waar vind ik meer informatie? www.nummervoorziening.nl Duidelijkheid over uitwisseling leerlinggegevens De wet schrijft voor dat bedrijven en scholen dataminimalisatie toepassen. Hoe minder persoonsgegevens er over een leerling bekend zijn bij een leverancier, hoe kleiner het risico is bij datalekken of wanneer er ander problemen optreden. Maar om goede leermiddelen te kunnen leveren volstaat alleen het ECK iD niet. Er zijn vaak toch gegevens over de leerling nodig, bijvoorbeeld om een helder resultatenoverzicht te kunnen tonen in het dashboard voor de leraar. Hierover zijn afspraken gemaakt in het attributenbeleid. Wat is het? In het attributenbeleid hebben de sectorraden, op advies van leveranciers, afgesproken welke gegevens er standaard met het ECK iD worden meegeleverd om de leermiddelenketen goed te laten functioneren. Minder kan altijd, meer mag mits dit goed onderbouwd is en er goede afspraken met de school zijn. Op deze manier draagt het ECK iD bij aan dataminimalisatie, maar zorgen we met elkaar voor een goed werkende keten. Wat kan/moet ik doen? Maak de eigen systemen geschikt voor gebruik van het ECK iD (zie hiervoor de factsheet ‘unieke identifier’) Breng het aantal te gebruiken attributen terug tot het attributenbeleid en maak voor specifieke toepassingen afspraken met de afnemende schoolbesturen in de bewerkersovereenkomst. Waar vind ik meer informatie? https://www.nummervoorziening.nl/ Contactpersoon Friedolin van Geenen| nummervoorziening@Edu-K.nl | 06-51765706

Certificeringsschema informatiebeveiliging en privacy ROSA

Een veilige onderwijsketen Beveiligen van persoonsgegevens is een gedeelde verantwoordelijkheid School LAS Website Foto’s … Overheid Leermiddelen

AVG <-> Certificeringsschema

AVG <-> Certificeringsschema Het certificeringsschema is zo’n hulpinstrument: Technisch, bij het nemen en controleren van maatregelen Organisatorisch, om als organisatie verantwoordelijkheid te nemen Door de autoriteit is aangeven dat een goed hulpinstrument ook afspraken binnen een markt kunnen zijn, zoals een certificeringsschema. Met het certificeringsschema kan ook worden voldaan aan de documentatieplicht. Hierin wordt allereerst aangegeven: breng uw verwerkingen in kaart. En stel risico’s en maatregelen vast.

Hoe weet ik dat het veilig is? Ik weet om welke gegevens het gaat Ik weet wie bij deze gegevens mag Ik weet dat de minimale maatregelen zijn getroffen Ik kan dat eenvoudig zien

Certificeringsschema biedt transparantie Een eenvoudige rapportage laat zien: De informatiebeveiliging en privacy van de toepassing is recent en kritisch beoordeeld Maatregelen die de onderwijsketen ziet als ‘best practices’ zijn toegepast Deze rapportage geeft invulling aan de documentatieplicht van genomen maatregelen ter bescherming van de privacy zoals bedoeld in de AVG. Vertrouwelijkheid Maatregelen: ✓ ≈ Integriteit Maatregelen: ✓ ✗ Beschikbaarheid Maatregelen: Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean commodo Lorem ipsum dolor sit amet, consectetuer adipiscin Lorem ipsum adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean ligula ✓ ≈

Hoe maak je de rapportage? Maak een overzicht van de toepassing en de gegevens (± 4-8 uur) Classificeer de gegevens en benoem de risico’s (± 18 uur) Voorbereiding Classificatie & risicoanalyse Verbeterplan & rapportage Toetsen van maatregelen Plan verbeteringen en vul de rapportage template in (± 4-8 uur) Toets de eigen maatregelen aan het toetsingskader (± 20 uur)

Voorbereiding Voorbereiding Classificatie & risicoanalyse Verbeterplan Maak een overzicht van de toepassing en de gegevens (± 4-8 uur) Classificeer de gegevens en benoem de risico’s (± 18 uur) Voorbereiding Classificatie & risicoanalyse Verbeterplan & rapportage Toetsen van maatregelen Plan verbeteringen en vul de rapportage template in (± 4-8 uur) Toets de eigen maatregelen aan het toetsingskader (± 20 uur)

Voorbereiding Het procesdocument legt alle stappen in detail uit. Zie de documenten ‘Algemene beschrijving’ en ‘Proces’ op de webpagina van het certificeringsschema: https://www.edustandaard.nl/standaard_afspraken/certificeringsschema-informatiebeveiliging-en-privacy-rosa/

Classificatie & risicoanalyse Maak een overzicht van de toepassing en de gegevens (± 4-8 uur) Classificeer de gegevens en benoem de risico’s (± 18 uur) Voorbereiding Classificatie & risicoanalyse Verbeterplan & rapportage Toetsen van maatregelen Plan verbeteringen en vul de rapportage template in (± 4-8 uur) Toets de eigen maatregelen aan het toetsingskader (± 20 uur)

Classificatie & risicoanalyse Om de gegevens te classificeren is een spreadsheet gemaakt met vragen die je daarbij helpen. Zie het document ‘Classificatie’ op de webpagina van het certificeringsschema: https://www.edustandaard.nl/standaard_afspraken/certificeringsschema-informatiebeveiliging-en-privacy-rosa/

Voorbeelden van classificatie  Beschikbaarheid Bedenk welk proces (het onderwijsproces of een specifiek ondersteunend proces) de ict-toepassing ondersteunt. Vul aan de hand van onderstaande vragen een motivatie in en plaats een X in de bijbehorende kolom. Controleer vervolgens aan de hand van de toelichting of het niveau passend is.

Voorbeelden van classificatie  Beschikbaarheid Bedenk welk proces (het onderwijsproces of een specifiek ondersteunend proces) de ict-toepassing ondersteunt. Vul aan de hand van onderstaande vragen een motivatie in en plaats een X in de bijbehorende kolom. Controleer vervolgens aan de hand van de toelichting of het niveau passend is. Vragen Motivatie L M H Wat is de verwachtte belasting van de ict-toepassing? - Laag = weinig gelijktijdige gebruikers, weinig transacties (±1 per uur) - Midden = veel gelijktijdige gebruikers, normale hoeveelheid transacties (±10 per uur) - Hoog = veel gelijktijdige gebruikers, veel transacties (>100 per uur)   Wat is de langste periode dat de ict-toepassing niet beschikbaar mag zijn? - Laag = maximaal enkele dagen - Midden = maximaal een werkdag - Hoog = maximaal een aantal uur Gebruik door leraren is verspreid over de hele dag   ✗  Dagelijkse invoer is normaal, maar kan ook een dag later   ✗ 

Uitkomst van classificatie Vragen Motivatie L M H Wat is de verwachtte belasting van de ict-toepassing? - Laag = weinig gelijktijdige gebruikers, weinig transacties (±1 per uur) - Midden = veel gelijktijdige gebruikers, normale hoeveelheid transacties (±10 per uur) - Hoog = veel gelijktijdige gebruikers, veel transacties (>100 per uur)   Wat is de langste periode dat de ict-toepassing niet beschikbaar mag zijn? - Laag = maximaal enkele dagen - Midden = maximaal een werkdag - Hoog = maximaal een aantal uur Gebruik door leraren is verspreid over de hele dag   ✗  Dagelijkse invoer is normaal, maar kan ook een dag later   ✗   Beschikbaarheid – niveau 2 – midden Beschikbaarheid is belangrijk. Algeheel verlies of niet beschikbaar zijn van deze informatie gedurende een dag brengt merkbare schade toe aan de belangen van de instelling, haar medewerkers of haar studenten of klanten.

Toetsen van maatregelen Maak een overzicht van de toepassing en de gegevens (± 4-8 uur) Classificeer de gegevens en benoem de risico’s (± 18 uur) Voorbereiding Classificatie & risicoanalyse Verbeterplan & rapportage Toetsen van maatregelen Plan verbeteringen en vul de rapportage template in (± 4-8 uur) Toets de eigen maatregelen aan het toetsingskader (± 20 uur)

Toetsen van maatregelen Het toetsingskader bevat de maatregelen die worden gezien als ‘best practices’ waaraan je je eigen maatregelen kan toetsen. Zie het document ‘Toetsingskader’ op de webpagina van het certificeringsschema: https://www.edustandaard.nl/standaard_afspraken/certificeringsschema-informatiebeveiliging-en-privacy-rosa/

Voorbeelden van maatregelen Beschikbaarheid – niveau 2 – midden Overbelasting Er is regulering: maatregelen zijn aanwezig om onevenredige belasting per gebruiker te voorkomen of te reguleren middels load balancers of een soortgelijke oplossing. Er zijn maatregelen getroffen om overbelasting van het systeem te voorkomen, middels trafficshapers of soortgelijke oplossing. Business continuity Er is een 'Warm Standby' aanwezig: - redundant systeem - specifieke spare (active-passive) - local cluster of geo cluster - replicatie door mirroring Backup/ restore/ recovery Backup verplicht, minimaal dagelijks. Recovery test= 2x per jaar. RPO max= 1 dag. RTO max= 24 uur. Automatische online failover bij uitval van 1 node (session lost) Automatisch opnieuw opstarten van systeem (session lost, transaction lost)

Verbeterplan en rapportage Maak een overzicht van de toepassing en de gegevens (± 4-8 uur) Classificeer de gegevens en benoem de risico’s (± 18 uur) Voorbereiding Classificatie & risicoanalyse Verbeterplan & rapportage Toetsen van maatregelen Plan verbeteringen en vul de rapportage template in (± 4-8 uur) Toets de eigen maatregelen aan het toetsingskader (± 20 uur)

Verbeterplan en rapportage De rapportagetemplate maakt het makkelijk om de bevindingen vast te leggen. Zie het document ‘Toezicht’ op de webpagina van het certificeringsschema: https://www.edustandaard.nl/standaard_afspraken/certificeringsschema-informatiebeveiliging-en-privacy-rosa/

Comply or explain Omdat het certificeringsschema een baseline is, geldt voor alle maatregelen ’comply or explain’. Bij een afwijking kan je kiezen uit de volgende uitleg: Deze maatregel hebben we niet getroffen, … omdat dit risico voor deze toepassing niet relevant is, want: … maar er is een andere maatregel die hetzelfde of een betere bescherming biedt tegen het risico, namelijk: … maar de maatregel wordt binnenkort geïmplementeerd, namelijk: …

ISMS <-> Certificeringsschema   Hoe verhoudt het certificeringsschema zich tot het Information Securty management Systeem? Een ISMS bestaat uit de volgende elementen: Management (doelen, visie, betrokkenheid) Risico analyse (passend, herhaalbaar, maatregelen) ->Certificeringsschema Interne audits (plan, resultaten, oorzaakanalyse) Leveranciersmanagement (risico’s, afspraken, keten) Bewustwording (borging) ICT (backups, logs, authenticatie) Aantoonbaarheid van maatregelen (m.b.v. certificeringsschema)

Bedankt voor uw aandacht! Dirk Linden (CTO) Job Vos (adviseur privacy) LinkedIN linden00 LinkedIN jobavos Twitter @jobavos www.poraad.nl www.voraad.nl www.kennisnet.nl