Informatiebeveiliging en privacy (IBP) Maurits Huigsloot (PO-Raad) André Poot (VO-raad) 27 juni 2018

Rol sectorraden Belangenbehartiging 23-11-2018 Rol sectorraden Belangenbehartiging Lobby Wet- en regelgeving (totstandkoming en uitvoering) vb Lerarenregister Bekostigings-, verantwoordings- en beleidsinformatie Regievoering randvoorwaarden administratieve en educatieve domein Standaarden (Keten-id) Privacyconvenant In stand houden (boven)sectorale voorzieningen OverstapService Onderwijs (OSO) Vroegtijdig aanmelden MBO Sectorinformatie Vensters PO Dashboard passend onderwijs

Informatiebeveiliging en privacy (IBP) 23-11-2018 Informatiebeveiliging en privacy (IBP) Aandacht voor privacy niet nieuw 1989: Wet persoonsregistratie (WPR) 2001: Wet bescherming persoonsgegevens (WBP) 2018: Algemene Verordening Gegevensbescherming (AVG) Administratieve domein Privacy altijd een belangrijk thema Gebruik persoonsgebonden nummer (2001) strikt geregeld Pseudoniem/Nummervoorziening (2017) – educatieve domein WPR - Toezicht Registratiekamer WBP = WPR+ Toezicht College bescherming persoonsgegevens; sinds 2016 Autoriteit persoonsgegevens AVG = WPB+ In de wet- en regelgeving is bij de verplichte gegevenslevering van schoolbesturen en scholen privacy altijd een belangrijk aandachtspunt geweest. Tot de jaren 90 van de vorige eeuw was het gebruik van een persoonsgebonden nummer in het onderwijs een no-go gebied. Registratiekamer was tegen individuele gegevenslevering. En als het dan toch moest geen nummer dat ook in andere sectoren werd gebruikt (Sofi-nummer inmiddels burgerservicenummer) Het gebruik van het pgn moet bij wet worden geregeld. Staat het niet in de wet dan mag het niet worden gebruikt. Voor OSO was een wetswijziging nodig. Gebruik pgn niet geregeld voor passend onderwijs. Levert veel frustratie op in het veld. Het wetsvoorstel pseudonimisering dat op dit moment bij de TK ligt beoogt meer mogelijkheden te bieden om een unieke identiteit (pseudoniem/nummer) ook in het educatieve domein (leermiddelen) toe te passen. Doel tweeledig: enerzijds ondersteunen bestelproces leermiddelen en doorlopende leerlijn; anderzijds een privacy-by-design maatregel. Terugdringen van persoonskenmerken. Bij algemene maatregel van bestuur kunnen ook andere toepassingsgebieden worden aangewezen (passend onderwijs?).

Schoolbestuur verantwoordelijk 23-11-2018 Schoolbestuur verantwoordelijk Het bewaken van de privacy van leerlingen en personeel is een taak van het schoolbestuur Toenemend belang van deze taak Meer processen en diensten digitaal Digitale voorzieningen buiten de school (Cloud) Ook de verantwoordelijkheid van het schoolbestuur voor het borgen van de privacy van leerlingen en personeel is geen nieuwe taak. Bij de behandeling van het wetsvoorstel pgn vroeg de EK of de scholen wel voldoende in staat waren om de privacy van de leerlingen te waarborgen. Convenant dat de sectororganisaties een model privacyreglement voor de respectievelijke sectoren zouden opstellen.

PO-Raad / VO-raad / Kennisnet 23-11-2018 PO-Raad / VO-raad / Kennisnet 2014: PvE Leermiddelen uitgangspunt voor vormgeving regierol namens sector (2017 actualisatie) 2014: Incidenten rondom privacy; privacyconvenant 2015: Privacyconvenant 1.0 (leermiddelen) 2016: Privacyconvenant 2.0 (leermiddelen+LAS/LVS) Aanpak IBP (stappenplan om IBP te regelen) 2017/18: Privacyconvenant 3.0 (aanpassing aan AVG) certificeringsschema met eisen voor leveranciers Echter: schoolbestuur blijft aan zet bij het beoordelen van bewerkersovereenkomsten. 2017/18: Start werkgroep IBP en inwerkingtreding AVG

Aanpak IBP (kn.nu/ibponderwijs) 23-11-2018 Aanpak IBP (kn.nu/ibponderwijs) 25 mei 2018: invoering AVG 3. communiceren 2. realiseren 1. organiseren

Informatiebeveiliging en privacy (IBP) Niet bang maar bewust! Job Vos (Kennisnet) 27 juni 2018, Almere

Programma Kennismaking Wat is IBP? AVG Aanpak IBP Bewustwording

Hallo allemaal, wat fijn dat je er bent…

Hallo allemaal, wat fijn dat je er bent… …en wie ben jij? Stel jezelf eens voor aan je buurman/buurvrouw. Maar wacht even… Niet zomaar voorstellen… wie ben jij in de digitale wereld? Toon je Facebook, Twitter, LinkedIn, Instagram… Laat je Whatsapp eens zien… En geef je buurman/buurvrouw je telefoon En deel je Tinder… je Secondlove…

Wat is privacy? Eerbiediging van de persoonlijke levenssfeer Bescherming van persoonsgegevens Privacy:  400 jaar oud: Hippocrates. Oude begrip: bescherming huis

met rust te worden gelaten gegevens over jezelf te controleren Het recht om met rust te worden gelaten gegevens over jezelf te controleren Informatiebeveiliging is een proces voor het beschermen tegen risico’s en bedreigingen met betrekking tot informatie en ict. Samengevoegd tot: IBP

Waar gaat privacy over?

(verwerkingsverantwoordelijke) Wie gaat er over IBP? Verantwoordelijke (verwerkingsverantwoordelijke)

Met wie werk je samen? Bewerker (verwerker) Zullen we vanaf vandaag alles gewoon verwerker gaan noemen ipv de overgang uitleggen?

Sectorbrede afspraken over privacy

Privacyconvenant 3.0 (m.i.v. 1 april 2018) Digitale onderwijsmiddelen: digitaal leermateriaal en LAS/LVS Rolverdeling: schoolbestuur aan het stuur Doeleinden van de verwerkingen Gebruik model verwerkersovereenkomst verplicht Bijlage 1: privacybijsluiter Bijlage 2: beveiligingsbijlage (certificeringsschema) Comply or explain: advies is om niet af te wijken Privacy by design en by default: keten-id / ECK-iD (pseudoniem) Informatieverplichtingen Vraag vanaf 1 mei je verwerkersovereenkomst op bij je leverancier

Samen werken, samen slim! Werkgroepen IBP po en IBP vo gaan samen de verwerkersovereenkomsten toetsen van (de grootste) leveranciers

Mensenrecht en grondrecht Schoolbestuur moet zich aan de wet houden Accountant controleert op IBP Imagoschade als IBP misgaat Boetes Vertrouwen!

Privacy in het onderwijs MF: laten 1! Privacy: zin in systemen en dossiers. Op school heeft ¼ van leerlingen zorg o.i.d. Dus daar zit meer in de administratie dan gemiddeld: zorgdossiers. Dus medsiche info. Leg vergelijking met jouw dossier bij de huisarts. Jouw medisch dossier zit ook in een database. En wat vind JIJ er van als je bij de huisarts zit, en er zit een geel briefje op zijn monitor. Daarop staat zijn wachtwoord van JOUW dossier. Dat kan toch niet? Waarom hebben honderden scholen dan wel computers staan met op de monitor een geel briefje met het wachtwoord om in te logggen? Gekkigheid. Spreek je collega aan: de databases van scholen zijn net zo gevoelig als medische systemen. Dus beveiliging moet net zo goed als in ziekenhuis, Dus geen wachtwoorden opschrijven.

AVG: 25 mei 2018 Versterking en uitbreiding van privacyrechten Meer bevoegdheden voor Europese privacytoezichthouders Meer verantwoordelijkheden voor organisaties

Aandachtspunten AVG (25 mei ’18) Vuistregels (uitleg volgt later) Bewuster omgaan met persoonsgegevens: gestructureerd en stelselmatig (zoals privacy by design en by default) gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen Risicobenadering, context relevanter: risico-inventarisatie en risico-analyse DPIA (gegevensbeschermingseffectbeoordeling) Documentatieplicht: bewijslast en privacy-administratie geen bewijs, geen toestemming dataregister: welke gegevens, welke systemen, welke doelen Bewustzijn creëren en actief voorlichting geven Meer transparantie: uitleggen wat je waarom doet met gegevens MF: laten !!

Vervolg Aandachtspunten Minderjarigen: bij sociale media toestemming ouders bij jongere onder de 16 jaar Verwerkersovereenkomsten centraler, beschrijving wat wettelijk vereist is Privacyconvenant is de norm voor contracten in het po, vo en mbo Meldplicht datalekken blijft bestaan (let op regelen procedure) Functionaris voor Gegevensbescherming (FG): verplicht voor scholen Technische en organisatorische beveiligingsmaatregelen: Aanpak IBP MF: laten !!

Autoriteit Persoonsgegevens: AVG op school Context van het onderwijs: Leerlingen zijn een kwetsbare groep Scholen hebben veel informatie en systemen Gegevens worden intern en extern uitgewisseld (op wettelijke basis) Terughoudend: niet de zweep er over de komende 1 tot 2 jaar ‘Je moet er een potje van maken om een boete te krijgen de eerste jaren’ Accountability: uitleggen waarom je wel/niet voldoet (leg vast!) Assurance: aantoonbaar in control Beter ‘iets’ dan ‘niets’ (begin gewoon!) Scholen moeten ‘autoriseren, loggen en controleren’ regelen Bewustzijn uitdragen: ‘Zorg dat je bestuurder uitdraagt dat privacy belangrijk is’ en ‘Vertel iedereen hoe je omgaat met privacy’

Dus… regel het! Het bestuur is verantwoordelijk om informatiebeveiliging en privacy (IBP) te regelen Privacy: garandeer de privacy van leerlingen, hun ouders én medewerkers Informatiebeveiliging: onderwijs en begeleiding moet altijd door kunnen gaan Kaders: (Wbp) AVG, onderwijswetgeving ISO 27001 en 27002 voor beveiliging MF: laten !!

Aanpak IBP: https://kn.nu/IBPonderwijs voldoen aan AVG 3. communiceren Hoe regel je het: doel is 25 mei 2018. Alles klaar. Leg uit dat 2018 eigenlijk gek is: want in AVG zit meer dan de helft wat nu al in Wbp zit. Dus scholen hebben meer dan 15 jaar de tijd gehad om zaken te regelen. En nu plotseling haast voor 25 mei 2018?! 3 stappen: organiseer je beleid. Dat is waar de bestuurder vastgesteld dat ibp voor iedereen geldt, dat er een paar mensen ibp gaan regelen en dat ze daar de steun van de bestuurder voor hebben gekregen. Stap 2: beleid moet geen papieren tijger blijven. Daarom: beleid naar praktijk: realiseer maatregelen. Verderop meer uitleg. En stap 3: zorg dat iedereen weeet wat hij/zij moet doen. Communicatie. 2. realiseren 1. organiseren

Stap 1: organiseer een beleid De bestuurder stelt een beleidsplan op met daarin afspraken: Uitgangspunten Duidelijke doelen Vastgelegde verantwoordelijkheden: wie gaat wat wanneer doen Rapportage-afspraken: verslag aan bestuurder Het beleidsplan is de kapstok om IBP te regelen: en dan… aan de slag!

Stap 2: realiseren (neem maatregelen) Scholen hebben onder de AVG een documentatieplicht. Dus je moet vooral vastleggen hoe je zorgt voor privacy: Inventariseer wat de grootste risico’s voor de school zijn in het algemeen (risico-inventarisatie) Zet op een rij welke persoonsgegevens in welke systemen worden verwerkt, in een dataregister Bepaal welke systemen een hoog risico* hebben Bepaal voor in ieder geval voor die systemen dat je juiste maatregelen zijn getroffen, en voer zo nodig een DPIA uit. *systemen die “bijzondere categorieën van persoonsgegevens” hebben of vallen onder “stelselmatige en grootschalige monitoring”

AVG 3. Dataminimalisatie 4. Transparantie (rechten Betrokkene) 2. Grondslag 5. Data-integriteit Doelbepaling en doelbinding MF: laten !! En graag heel uitgebreid bespreken En grondslag ook graag nadruk geven Ps neem aan dat de anderen deze ook kunnen gebruiken in hun werksessie presentaties? Vuistregels privacy 2.0

Gebruik beeldmateriaal Plaatje server: privacy gaat ook over ‘weten wat er op je schoolnetwerk gebeurt’. Worden er sexfilmpjes gedeeld, of banga-lijsten? Dit vraagt om de afweging tussen privacy van leerlingen/medewerkers en bescherming van die zelfde leerlingen/medewerkers. Mag en kan je leerlingen de hele dag volgen en alles opslaan wat ze doen? In Europa zijn we hevig verontwaardigd als blijkt dat de NSA allerlei gegevens over ons gebruikt bij de opsporing, maar als we leerlingen de hele dag gaan volgen, doen we dan niet het zelfde? Zoek de balans en informeer medewerkers, leerlingen en ouders over je beleid hierover! Schoolfoto’s: een foto zegt iets over je ras, etniciteit. Daarom is een foto een bijzonder persoonsgegevens: je moet hier nóg voorzichtiger mee omgaan dan met gewone data.

Voorbeeld: gebruik beeldmateriaal leerlingen Toestemming is altijd nodig (dus niet: wie zwijgt stemt toe) Toestemming: 1. Vrijwillig gegeven toestemming (niet onder druk, niet in de voorwaarden, niet in het inschrijfformulier) 2. Specifieke toestemming voor een doel: waar geef je toestemming voor, ook wel gelaagde toestemming) 3. Toestemming mag altijd ingetrokken worden Foto’s delen en opslaan: beveiligd! Vanaf 25 mei 2018: toestemming moet je aantonen Niet per foto, maar jaarlijks… (of: jaarlijks nadrukkelijk aandacht geven aan de gegeven toestemming) TIP: model verklaring in de Aanpak IBP

Functionaris voor gegevensbescherming Functie (aanwijzing door bestuurder), mag extern zijn Onafhankelijke interne toezichthouder Gevraagd en ongevraagd advies Betrokken bij risico-inventarisatie, dataregister, DPIA Gesprekspartner bevoegd gezag Werk slim, werk samen! Regel samen een FG, of doe dit via samenwerkingsverband

Stap 3: communiceren Betrek medewerkers: vertel wat informatiebeveiliging en privacy zijn: Voorbeeld presenstatie bewustwording Online training IBP voor medewerkers Betrek leerlingen: 21e eeuwse vaardigheden zoals digitale geletterdheid (basis ict-vaardigheden) Betrek en informeer de ouders en (G)MR: hoe vertel je het de ouders?

Zes keer zorgvuldig Gebruik zorgvuldig: vergrendel je scherm Deel zorgvuldig: eerst denken dan delen (en dan niet gewoon per mail) Surf zorgvuldig: klik niet klakkeloos Beveilig zorgvuldig: wachtwoord is persoonlijk Verbind zorgvuldig: check veilige verbinding Sla zorgvuldig op: encryptie en geen USB-sticks

Goede voorbereiding… is het halve werk! Een marathon loop je niet in één keer… Je schrijft je niet in op 24 mei voor een marathon op 25 mei Je hebt training nodig en goede voeding Goede voeding: Aanpak IBP Trainen moet je echt zélf doen – maar werk samen waar mogelijk! Als je vantevoren weet dat een marathon niet gaat lukken, schrijf je dan in voor de van dam-tot-dam loop Maak een planning!

Dus… Ga aan de slag: niet bang maar bewust! Leg vast wat je doet, wat moet (beleid), en wat je gaat doen (planning) Overleg met de (G)MR en vraag om instemming met het beleid! Wijs medewerkers aan die IBP gaan regelen (IBP-team) Risico-inventarisatie: wat zijn je risico’s, neem maatregelen Welke gegevens zitten met wel doel in welke systemen (dataregister) Denk (pas later) aan een FG Op 25 mei niet klaar… niet erg?

Uitleg dat IBP geen doel is: we regelen IBP ‘for the greater good’: om eigentijds, persoonlijk en bovenal veilig onderwijs met ictd mogelijk te maken!

Overzicht verwerkingen Onderdelen PDCA Risicoanalyse Classificatie Risicoanalyse Classificatie Verwerkingen DPIA Bewaartermijnen Bewustwording Dataregister Bewustwording Data-register Overzicht verwerkingen Bewaar-termijnen DPIA

Risicoanalyse Met wie Gezamenlijk uitvoeren stimuleert bewustwording verschillende rollen en taken Risico’s bepalen De situatie op school Wat ’heb’ je Waar zitten de risico’s Welk beeld heeft iedereen van de gevolgen Maatregelen definiëren Hoe kun je de risico’s beperken Welke maatregelen kunnen we nemen Prioriteiten bepalen

Persoonsgegevens op school Wie? Met wie? Bevoegd gezag Ouders Instanties Leerlingen Medewerkers Wat? Leveranciers Foto’s Leerresultaten NAW-gegevens Salarisstroken Bekostiging Administratie Technische logging Zorggegevens Beeld- en geluidsopnames Overdracht van (persoons)gegevens Personeelsdossiers Wachtwoorden ...

Clusters Samenstelling van de groep Allemaal uit hetzelfde cluster Verwijzing naar MBO normenkader en toetsingskader De Aanpak is gebaseerd op de wetteksten van AVG en Wbp, daarnaast bevat het een groot aantal punten uit de ISO-normen. Ook zijn de maatregelen gebaseerd op het framework IBP voor het mbo, dat weer is gebaseerd op het normenkader informatiebeveiliging zoals dat in het hoger onderwijs wordt toegepast. Samenstelling van de groep Allemaal uit hetzelfde cluster Combinatie van clusters

Een risico Hoe groot is het risico dat er laptops gestolen worden? Invalshoek: toegang tot het pand Doordat de voordeur moeilijk sluit en af toe zelfs niet Kan dat leiden tot ongewenste bezoekers in het pand en mogelijk diefstal van laptops <Een gebeurtenis> die leidt tot <een gevolg> door <een oorzaak> De kans dat het gebeurt en de impact die dat heeft. Voorbeelden risico’s Reputatieschade, financiële schade, continuïteitsproblemen, niet voldoen aan wet- en regelgeving, cloudproblemen, kennisniveau is te laag

Risico’s vragen om maatregelen De volgende stap is het bepalen van de maatregelen die moeten worden genomen om de risico’s te beperken. Veel maatregelen zijn terug te vinden in de Aanpak IBP in de vorm van templates, adviezen en hulpmiddelen: https://kn.nu/ibponderwijs

Praatplaat

ibp@kennisnet.nl https://kn.nu/IBPonderwijs Dank voor de aandacht! ibp@kennisnet.nl https://kn.nu/IBPonderwijs