Netwerk informatiebeveiliging en privacy in het mbo donderdag 11 oktober 2018 Regiegroep ibp in het mbo 11 oktober 2018

14.00 Welkom en mededelingen, Wim 14.10 Werkgroepen rapporteren Verwerkersovereenkomsten (Ludo) Dataregisters (Wim) Rechten betrokkenen (Wim) OZON (Martijn) 14.40 Wet Digitale Overheid (Jan) 15.00 Microsoft Sharepoint, beveiligingsissues (Co, Frank ten Hove) 15.45 Pauze 16.00 Benchmark 2018, inclusief Examinering (Ludo) 16.15 Diverse vraagstukken en issues 16.30 Werkgroepjes, uitwisseling van ervaringen en knelpunten 17.30 Afronding, borrel en buffet

Mededelingen: Samenstelling Regiegroep MBO-Alert / Mindgame Martijn Bijleveld namens saMBO-ICT MBO-Alert / Mindgame Licentie tot 20 november 2018 Evaluatie over gebruik wordt gepland.

De werkgroepen 4 korte en minder korte presentaties van de werkgroepen van de regiegroep ibp in het mbo: Verwerkersovereenkomsten – Ludo Cuijpers Dataregisters – Wim Arendse Rechten van betrokkenen – Wim Arendse OZON – Martijn Bijleveld

De werkgroepen Verwerkersovereenkomsten – Ludo Cuijpers

De werkgroepen Dataregisters – Wim Arendse ervaringen, commentaren besproken in werkgroep Uniforme, vaste nummering categorieën door alle dataregisters Rechten van betrokkenen – Wim Arendse * Niels Dutij heeft over dit onderwerp een notitie gemaakt * Is gepubliceerd op de IBP site.

De werkgroepen OZON – Martijn Bijleveld

WDO Jan Bartling (saMBO-ICT) 11 oktober 2018

Wetgeving Digitale Overheid Grondslag voor verplichte standaarden  Toegang tot elektronische dienstverlening op hogere betrouwbaarheidsniveaus mogelijk maken  Geldigheid voor: (a-)bestuursorganen en aangewezen organisaties (“dienstverleners”)  Voorlopig nog niet mbo Kamerstuk 34972 

Betrouwbaarheidniveaus

Betrouwbaarheidniveus Laag Geen door dienst opgegeven BSN, geen bijzondere pers.-gegevens, geen financieel/economische gegevens. Lage evt. economische schade. Substantieel Bijzondere/strafrechtelijke persoonsgegevens, verwerking fin./eco. gegevens, verwerking BSN door dienst.   Hoog Persoonsgegevens die, als ze in verkeerde handen vallen, stigmatiserend kunnen werken of schade aanrichten. Hoge evt. economische schade. 

Betrouwbaarheidniveus Handreiking betrouwbaarheidsniveaus van het Forum Standaardisatie  Criteria voor vaststelling niveau (authenticaties én machtigingen):  Specifieke wettelijke eisen  Aard van de persoonsgegevens en aard van de verwerking  Aard van de verwerking van het BSN  Gevolgen voor gegevens in basisregistraties Economisch belang (arbitrair, maar wel doordacht.)  Aspect dat het hoogst scoort bepaalt het betrouwbaarheidsniveau!  “verlagende factoren”: indien extra controles worden/zijn ingebouwd.  “verhogende factoren”: sprake van hoog misbruikrisico  Maar: “laag” is tenminste 2 –factor authenticatie Betrouwbaarheidniveus

Machtigingen Uitgangspunten: Iedereen moet zich kunnen laten vertegenwoordigen in zijn relatie met de overheid (Awb)  Alles en iedereen (burger/bedrijf, vrijwillig/verplicht, analoog/digitaal, etc.) Overigens…. Machtigen kan nu ook al (DigiD Machtigen, eHerkenning)  Maar ook: versnippering, ontbrekende functionaliteiten, beperkte ontsluiting, beperkt gebruik 

Machtigingen Resultaat: Dienstaanbieder (b.v. school) heeft één loket voor ontsluiting machtigingen en wettelijke vertegenwoordiging voor zijn eigen diensten  Gebruiker (burger/bedrijf) heeft één loket voor inzage in verstrekte en ontvangen machtigingen en wettelijke vertegenwoordiging Zowel vrijwillig machtigen als wettelijke vertegenwoordiging (o.a. kind-ouderrelaties, curatele, beschermingsbewind, mentorschap) 

Jan Bartling jan.sambo-ict.nl 06-53367865

Ibp in de mbo praktijk Beveiligings issues rond Microsoft Sharepoint ROC van Amsterdam, Co Klerkx en Frank van Hove

Pauze van +/- 15 minuten

Netwerkbijeenkomst 11-10-2018 Mbo benchmark IBPE 2018 Netwerkbijeenkomst 11-10-2018

Documenten die in OR moet toetsen. 1. Ibp-beleid; 2. Privacy reglement (inclusief foto gebruik); 3. Dataregister (3 tot 6); 4. Toelichting op de dataregisters 5. Beleid en protocol datalekken; 6. Autorisatiebeleid (BSN, foto, gezondheid en gesprekscyclus); 7. ICT-gedragscode; 8. Videocamerareglement; 9. DPIA en Privacy by Design/Default proces; 10. Overzicht verwerkersovereenkomsten.

Aandachtspunten AVG (25 mei ’18) Vuistregels AVG 3. Dataminimalisatie 4. Transparantie (rechten Betrokkene) 2. Grondslag 1. Wettelijk 2. Overeenkomst 3. Vitaal belang 4. Openbaar gezag 5. Gerechtvaardigd belang. 6. Toestemming 5. Data-integriteit Doelbepaling en doelbinding

Examinering E.1 Beleidsregels examinering E.2 Richtlijnen bij constateren fraude bij digitale examens E.3 Procesaanpassing bij examenfraude bij digitale examens E.4 Procedure ontwikkelen examinering in beveiligde omgeving E.5 Procedure voorbereiden en afnemen examens E.6 Eindevaluatie examenproces, inclusief integriteit E.7 Gedragscodes, inclusief richtlijnen E.8 Extra ondersteuning bij examens E.9 Trainingen en vaardigheden m.b.t. fraude E.10 Beveiligde examenruimtes E.11 Het beheren en documenteren van ict faciliteiten voor examinering E.12 Hanteren van digitaal examenmateriaal E.13 Continuïteitsplan E.14 Toekennen examens aan deelnemers E.15 Hergebruik examenvragen E.16 Vernietigen examenmateriaal

11-10 57 aanmeldingen van de 60 (95%) Benchmark planning 11-10 57 aanmeldingen van de 60 (95%) 15-11 Trainingsdag in Woerden (4 uur IB, 1 uur P en 1 uur E) 3-12 Laatste dag 13-12 Presentatie IBPE in Utrecht voor deelnemers (ochtend)

Toetsingskader NU

Toetsingskader NU

Toetsingskader TOEKOMST

Vragen?

Vraagstukken en issues Medische dossiers, handreiking Rol FG’s in het ibp netwerk …….

Aan de slag, delen van inzichten en ervaringen, knelpunten en prioriteiten In 6 - 8 werkgroepjes gaan we aan de slag met de volgende vragen: Uitwisseling van ervaringen rond de AVG, waar sta je nu, welke vragen en knelpunten zijn er nog? noem 1 (gezamenlijk) succes en 1 (gezamenlijk) aandachtspunt Inventarisatie van wat nog nodig is en waar we kunnen ondersteunen Wat kunnen we nog collectief doen of regelen?

Korte terugkoppeling en afronding. Borrel en buffet