Binnen Rijn IJssel zijn de beveiliging van informatie en het waarborgen van de privacy zeer belangrijk. We werken immers veel met persoonsgegevens. Het is wettelijk verplicht hier op een veilige en verantwoorde manier mee om te gaan. Elke medewerker en student mag ervan uitgaan dat Rijn IJssel altijd zorgvuldig met zijn of haar persoonsgegevens omgaat.
In april 2016 stemde het Europees parlement in met nieuwe wetgeving omtrent privacy: de Algemene Verordening Gegevensbescherming (AVG). Deze nieuwe wet vervangt nationale privacywetgeving van EU-landen; in Nederland was dit de Wet bescherming persoonsgegevens (Wbp). Vanaf 25 mei 2018 moeten Nederlandse onderwijsinstellingen voldoen aan de nieuwe regels.
In de AVG is vastgelegd hoe wij met persoonsgegevens om moeten gaan. Maar wat zijn nu precies persoonsgegevens? En wat betekent de wetgeving in de praktijk voor mij als medewerker in het mbo? In deze online training krijg je uitgelegd wat je als medewerker moet weten en kunt én moet doen om de privacy van studenten en collega's te beschermen.
Aan het einde van de training kan iedere medewerker de onderstaande vragen beantwoorden:
Waarom is IBP belangrijk?
Wat zijn persoonsgegevens?
Waar kan verantwoord met persoonsgegevens worden gewerkt?
Wanneer mogen persoonsgegevens worden uitgewisseld?
Wie is binnen de organisatie verantwoordelijk voor IBP?
Naleving en borging van de nieuwe wetgeving kan alleen bereikt worden wanneer iedereen binnen de organisatie zorgvuldig en verantwoord met gegevens weten om te gaan.
Inhoud online module IBP
Deze training gaat in op IBP, waarbij het goed is een duidelijk onderscheid te maken tussen IB (Informatiebeveiliging) en P (Privacy).
Privacy gaat over het wat we wel en niet verkiezen te delen.
Informatiebeveiliging gaat om het hoe we zorgen dat informatie die we privé willen houden, privé blijft.
We trappen de training af met een samenvatting van de wetgeving AVG en starten dan met de vertaling van de wet naar Privacy en gaan daarna in op informatiebeveiliging.
De wetgeving AVG
Waarom?
De manier waarop wij leren en werken is de afgelopen decennia fundamenteel veranderd. Je kunt je nu niet meer voorstellen om voor al je informatie naar de bibliotheek te moeten gaan. Hoe we nu leren is zo anders, alle gewenste kennis is 24*7 maar een paar klikken weg. Als er iemand in de wereld is die het antwoord weet of met jou samen wil leren kun je die persoon vanachter je computer vinden. De informatie op het internet verdubbelt elke twee jaar. Heb je een prachtig idee, je vindt je mensen om samen te ontdekken. Je bewust zijn van je digitale identiteit en de digitale privacy is niet iets om vrees bij te voelen, wel om bewust van te zijn.
Vanuit de techniek doen we er alles aan om onze technische omgeving veilig te houden. Als medewerker hebben we echter ook een belangrijke taak. In de volgende hoofdstukken wordt dit verder uitgediept. De wet helpt ons ook. De Algemene Verordening Gegevensbescherming (AVG) is de wet waarin is vastgelegd hoe er met persoonsgegevens moet worden omgegaan.
Informatiebeveiliging en het bewaken van de privacy van medewerkers en studenten is niet alleen een zaak van de studentenadministratie, de HR-afdeling of van ICT, maar van ons allemaal.
Wil je nog meer horen over het belang van privacy bekijk dan de TEDx-talk. In de TEDx-talk vertelt Glenn Greenwald over het belang van privacy. Speel af van begin tot +/- 4.50 min.
De wetgeving samengevat
Per 25 mei 2018 vervalt de Wet bescherming persoonsgegevens (Wbp). Hiervoor komt in de plaats de Europese Algemene Verordening Gegevensbescherming (AVG) die in heel Europa van toepassing is. Deze nieuwe wetgeving stelt hogere en aanvullende eisen aan privacy en beveiliging hiervan. Deze 5 vuistregels vaten de belangrijkste (nieuwe) uitgangspunten voor het verantwoord omgaan met persoonsgegevens samen.
Meer weten?
Meer informatie over de AVG kun je vinden met onderstaande links die verwijzen naar de autoriteit persoonsgegevens.
Hieronder een video die in vijf minuten de AVG samenvat, effecten op werk uitlegt en de gevolgen van niet naleven uitlegt.
In vijf minuten alles over de AVG
Privacy
“Privacy niet belangrijk vinden omdat je niets te verbergen hebt, is hetzelfde als niet geven om vrijheid van meningsuiting omdat je niets te zeggen hebt.”
Edward Snowden
Het recht op privacy is een fundamenteel mensenrecht en grondrecht, net zoals het recht op leven, het verbod op discriminatie, recht op een eerlijke proces of verbod van slavernij. Enkele redenen waarom privacy van groot belang is:
‘Het staat in de wet’, dus het moet
Compliance: accountantscontrole
Imago: datalekken, schade, risico’s
Financieel: hoge boetes, ook voor scholen!
Maar de belangrijkste reden is wel dat we als onderwijsinstelling het vertrouwen dat studenten en medewerkers in ons stellen door hun gegevens beschikbaar te stellen om het onderwijs goed te organiseren niet willen beschamen!
Definitie?
Definitie
Onderstaande definitie is de definitie die kennisnet hanteert voor privacy:
“De persoonlijke vrijheid, het ongehinderd, alleen, in eigen kring of met een partner ergens kunnen vertoeven; gelegenheid om zich af te zonderen, om storende invloeden van de buitenwereld te ontgaan, een toestand waarin een mens er zeker van is dat zonder zijn toestemming zo weinig mogelijk andere mensen zich op zijn terrein zullen begeven.”
Anders gezegd:
“Het recht om met rust gelaten te worden en;
Het recht gegevens over jezelf te kunnen controleren.”
Het is een brede definitie. De essentie is de mogelijkheid dingen te doen zonder dat de buitenwereld dat inbreuk op maakt of weet van heeft. Ieder mens heeft recht op privacy: het recht op privacy is een fundamenteel mensenrecht en grondrecht, net zoals het recht op leven, het verbod op discriminatie, recht op een eerlijke proces of verbod van slavernij.
Privacy & onderwijs
De wetgeving heeft zeker impact op het onderwijs. Onder de AVG valt ook de informatieplicht. Voor Rijn IJssel betekent dat we verplicht zijn om studenten en ouders te informeren over het verwerken van persoonsgegevens.
Ook zegt de wet dingen over wat we met wie mogen delen en onder welke voorwaarden dit mag. Medische gegevens mag je als medewerker bijvoorbeeld niet zomaar delen met een BPV-bedrijf. Ook informatie over de studievoortgang mag niet zomaar met ouders of het BPV bedrijf gedeeld worden.
Zo mag je wel informatie delen met het BPV bedrijf over de maatregel/besluit wat noodzakelijk is om de student goed te laten leren. Je mag echter niet het BPV bedrijf informeren over de ziekte/diagnose van de student.
Op dit moment is Rijn IJssel bezig met het opstellen van richtlijnen wat je wel/niet mag delen met ouders/bpv bedrijven. Dit op basis van toestemming en/of zonder toestemming van de student. Zodra dit klaar is verschijnt het op Plein.
Persoonsgegevens kunnen direct identificerend zijn (over iemand gaan) of indirect identificerend zijn (wanneer deze niet direct over personen gaan maar wel naar een persoon te herleiden zijn).
Dit betekent dat persoonsgegevens onder andere kunnen zijn:
Of het wel of geen persoonsgegeven is is afhankelijk van de context. Zo is een geboortedatum alleen geen persoonsgegeven. Een geboortedatum in combinatie met een postcode maakt dat het wel persoonsgegevens zijn. Een persoon kan je op deze manier namelijk wel indentificeren.
Bijzondere persoonsgegevens
Bijzondere persoonsgegevens
Er bestaan ook bijzondere persoonsgegevens. Dit zijn gegevens welke gevoelige informatie bevatten. Bijzondere persoonsgegevens mogen alleen worden vastgelegd wanneer dit noodzakelijk is voor begeleiding van een student, of om noodzakelijke voorzieningen te mogen treffen. Een voorbeeld is de registratie van gezondheidsrisico's, zoals epilepsie of een allergie, zodat bij calamiteiten juist gehandeld kan worden.
Voorbeelden van bijzondere persoonsgegevens zijn:
godsdienst
lidmaatschap vakbond
genetische gegevens
gezondheidgegevens
gegevens over seksuele geaardheid
religieuze of levensbeschouwelijke overtuiging
biometrische gegevens
Het Burgerservicenummer(BSN)
Het BSN nummer is geen bijzonder persoonsgegeven. Wel geld er op het BSN een verbod op verwerking. Slechts wanneer dit is toegestaan, of verplicht is, door een specifieke wet, mag dit persoonsgegeven verwerkt worden.
Studentgegevens
Dit is een veelgebruikte term. Studentgegevens zijn gegevens over studenten en kunnen zowel persoonsgegevens als bijzondere persoonsgegevens betreffen.
Quiz persoonsgegevens
Foto
Een foto zegt iets over je ras, etniciteit. Daarom is een foto een bijzonder persoonsgegeven: je moet hier nóg voorzichtiger mee omgaan dan met gewone data.
Social media
Deel je artikelen met collega's via Twitter? Heb jij een eigen Facebook-pagina? Post je video's van musicals/evenement op YouTube? Heb je een Snapchat-account?
Vrijwel iedereen gebruikt tegenwoordig wel een of meerdere 'social media'. Media waarop wij als gebruikers zelf berichten kunnen zetten, in tekst, video, audio of afbeeldingen. Vaak erg handig en leuk, maar uiteraard ook met de nodige risico's.
Gebruik je in het klaslokaal een foto of maak je een video in de klas en gebruik je dit voor een ondewijskundig doel? Dan heb je geen toestemming nodig van de studenten. Ga je het beeldmateriaal echter buiten het klaslokaal verspreiden en publiceren dan heb je altijd toestemming nodig. Alleen mondelinge toestemming is niet meer voldoende.
Voor het publiceren van foto's of video's waar studenten herkenbaar in beeld komen heb je altijd schriftelijk toestemming nodig. Deze toestemming moet gekoppeld zijn aan het doel waarvoor jij de foto/video gebruikt.
Rijn IJssel is momenteel bezig om deze toestemming centraal te regelen. Echter gaat het dan specifiek om de media kanalen van Rijn IJssel.
Voor beeldmateriaal die jij via je eigen social media accounants verspreidt, heb je altijd toestemming nodig. Het plaatsen van 'werk' foto's op op jouw persoonlijke account valt buiten deze toestemming. Beter is het dus om de Rijn IJsselmedia kanalen voor het publiceren van beeldmateriaal waar studenten/collega's op staan.
Wees bewust van je eigen privacy instellingen op social media account, wijs ook je studenten hierop. Meer over privacy instellingen op diverse social meida kanalen kun je vinden via onderstaande links. De links verwijzen allen naar de site https://www.mijnonlineidentiteit.nl
Onder informatiebeveiliging verstaan we het treffen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van de informatievoorziening te garanderen.
Zoals eerder genoemd gaat het dus vooral over het hoe we privacy waarborgen. Hierbij zijn drie aspecten van belang:
Beschikbaarheid; informatie en aanverwante bedrijfsmiddelen zijn toegankelijk wanneer nodig;
Integriteit; informatie en verwerkingsmethoden bevatten zo min mogelijk fouten;
Vertrouwelijkheid; informatie is alleen toegankelijk voor diegenen die daartoe bevoegd zijn.
Risico’s op deze drie aspecten vragen om maatregelen!
Definitie
Definitie informatiebeveiliging:
“Onder informatiebeveiliging verstaan we het treffen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening te garanderen..”
Bewust 6x Zorgvuldig
Als je persoonsgegevens deelt met anderen, dan moet je er op kunnen vertrouwen dat de ontvanger zorgvuldig met jouw gegevens omgaat. Als je werkt met persoonsgegevens vraagt dit dan ook van medewerkers, studenten en eigenlijk van iedere burger een aantal basisvaardigheden rondom het gebruiken en delen van persoonsgegevens. Dit vatten we samen als ‘Bewust 6x Zorgvuldig’.
Klik op de afbeelding om deze te vergroten.
6 keer zorgvuldig
Malware
Menselijk handelen staat veelal aan de basis van een datalek. Er is software welke tot doel heeft mensen aan te zetten tot het onbewust begaan van een online misstap en/of hen specifieke informatie te ontfutselen. Deze vorm van software is de zogenoemde malware. Enkele veelvoorkomende soorten van malware zetten we kort op een rijtje.
Phishing mail
Phishing (afgeleid van "vissen", "hengelen") is een vorm van internetfraude. Het bestaat uit het oplichten van mensen door ze te lokken naar een valse (bank)website. Deze website is een kopie van de echte website, om ze daar – nietsvermoedend – te laten inloggen met hun inlognaam en wachtwoord of hun creditcardnummer. Hierdoor krijgt de fraudeur de beschikking over deze gegevens met alle gevolgen van dien. De fraudeur doet zich hierbij voor als een vertrouwde instantie, zoals een bank. De meeste vormen van phishing gebeuren via e-mail. De slachtoffers worden hierbij met een e-mail naar deze valse website gelokt. De mail bevat een link naar de (valse) website met het verzoek om zogenaamd "de inloggegevens te controleren".
Spear fishing
Een variant van mail phishing is spear fishing, waarbij de persoonlijke gegevens (naam, e-mailadres, telefoonnummer) van het slachtoffer worden gebruikt om hem een gevoel van vertrouwen te geven.
Ransomware
Gijzelsoftware (oftewel ransomware) is een chantagemiddel. Wanneer je een besmette e-mail of bestand aangeklikt versleutelt het virus bestanden op je computer. Een melding geeft aan hoe er losgeld betaald dient te worden om de versleuteling van de bestanden ongedaan te maken.
Cyber hoax
Een cyber hoax is feitelijk onjuiste informatie welke opzettelijk online verspreid wordt, met als doel zoveel mogelijk mensen op het verkeerde been zetten.
Incidenten en datalekken
Mocht het ondanks alle maatregelen misgaan, dan is het van belang te weten wat te doen. Een datalek (of vermoeden van) meld je bij Marcia van Doornemalen, onze functionaris gegevensbescherming.
Na melding moet allereerst worden vastgesteld wat de ernst is van de situatie. Dit doen we door vast te stellen of er sprake is van een beveiligingsincident of een datalek. In geval van een beveiligingsincident is er in feite sprake van een gat in de beveiliging en is het zaak dit gat zo snel mogelijk te dichten. Er is pas sprake van een datalek wanneer het er ook daadwerkelijk persoonsgegevens ‘op straat’ zijn komen te liggen.
Alle datalekken zijn beveiligingsincidenten, maar niet ieder beveiligingsincident is een datalek.
Voorbeelden van datalekken:
E-mail met persoonsgegevens verzonden naar verkeerd e-mailadres.
Laptop met persoonsgegevens gestolen / verloren.
Rijn IJssel is verplicht melding te maken van ernstige datalekken bij de Autoriteit Persoonsgegevens. Het nalaten van deze melding kan een fikse boete opleveren. De meldplicht is overigens alleen van toepassing als er persoonsgegevens bij betrokken zijn.
Wat kun jij zelf doen?
Het College van Bestuur is eindverantwoordelijk voor het goed regelen van informatiebeveiliging en privacy, maar we moeten het met elkaar doen, zodat:
Het onderwijs altijd door kan gaan (Informatiebeveiliging)
en
De privacy van studenten en medewerkers gegarandeerd is (Privacy)
Hieronder een rijtje met tips wat jij zelf al kunt doen aan informatiebeveiliging en privacy.
Zie je iets bij de printer ‘op de gang’ liggen dat er niet hoort? Neem het mee, geef het af bij de juiste afdeling of vernietig het.
Gooi gevoelige informatie alleen weg in een met een slot afgesloten papierbak, of vernietig het.
Laat geen gevoelige informatie op je bureau liggen, vergrendel je pc of laptop als je wegloopt van je bureau (bij Windows machines Windowstoets +L indrukken).
Neem contact op met de helpdesk als er iets mis lijkt te zijn met je pc of laptop. Bijvoorbeeld als je virusscanner een virus meldt in een mail van een collega, en als je e-mail krijgt die je niet vertrouwt (een ‘update’ van ’Microsoft’ via de mail…).
Meld het als je merkt dat iemand zich (ongeoorloofd) toegang heeft verschaft tot de systemen van Rijn IJssel.
Kies een eenvoudig te onthouden, maar lang wachtwoord. Tip: een klein zinnetje kan makkelijk te onthouden zijn (voorbeeld: IkBenTrotsOpMijnZoonVan19). Sommige systemen hebben een maximum aan karakters maar dat zijn vaak oude systemen en deze zullen waarschijnlijk snel verdwijnen.
Deel je wachtwoord nooit met anderen, ook niet met collega’s.
Gebruik ook geen gegevens van studenten die je kunt vinden op sociale media.
Maak gebruik van de systemen van de school. Sla geen gegevens op (van studenten) op andere plekken, zoals bijvoorbeeld op usb-sticks of privé- laptops, of in Dropbox of Google Drive. Is er geen andere mogelijkheid? Geef dat aan bij de helpdesk en zorg dat de gegevens in ieder geval versleuteld zijn opgeslagen (vraag de helpdesk hoe!).
Sla persoonsgegevens nooit onveilig op, zoals op een usb-stick of op je eigen, onbeveiligde harde schijf.
Tot slot
Wil je nog meer weten over informatiebeveiliging en privacy in het onderwijs? Hieronder een webinar van kennisnet.
Webinar IBP kennisnet
Quiz praktijksituaties
Oefening: Quiz praktijksituaties
0%
Ter illustratie volgen enkele schetsen van voorbeeldsituaties die je binnen Rijn IJssel kan tegenkomen. De vragen zijn in quizvorm opgebouwd.
Het arrangement Informatiebeveiliging en Privacy (IBP) is gemaakt met
Wikiwijs van
Kennisnet. Wikiwijs is hét onderwijsplatform waar je leermiddelen zoekt,
maakt en deelt.
Auteur
Annette Wien
Je moet eerst inloggen om feedback aan de auteur te kunnen geven.
Laatst gewijzigd
2018-05-24 22:20:00
Licentie
Dit lesmateriaal is gepubliceerd onder de Creative Commons Naamsvermelding 4.0 Internationale licentie. Dit houdt in dat je onder de voorwaarde van naamsvermelding vrij bent om:
het werk te delen - te kopiëren, te verspreiden en door te geven via elk medium of bestandsformaat
het werk te bewerken - te remixen, te veranderen en afgeleide werken te maken
voor alle doeleinden, inclusief commerciële doeleinden.
Leeromgevingen die gebruik maken van LTI kunnen Wikiwijs arrangementen en toetsen afspelen en resultaten
terugkoppelen. Hiervoor moet de leeromgeving wel bij Wikiwijs aangemeld zijn. Wil je gebruik maken van de LTI
koppeling? Meld je aan via info@wikiwijs.nl met het verzoek om een LTI
koppeling aan te gaan.
Maak je al gebruik van LTI? Gebruik dan de onderstaande Launch URL’s.
Arrangement
Oefeningen en toetsen
Informeren
Quiz praktijksituaties
IMSCC package
Wil je de Launch URL’s niet los kopiëren, maar in één keer downloaden? Download dan de IMSCC package.
Oefeningen en toetsen van dit arrangement kun je ook downloaden als QTI. Dit bestaat uit een ZIP bestand dat
alle
informatie bevat over de specifieke oefening of toets; volgorde van de vragen, afbeeldingen, te behalen
punten,
etc. Omgevingen met een QTI player kunnen QTI afspelen.
Wikiwijs lesmateriaal kan worden gebruikt in een externe leeromgeving. Er kunnen koppelingen worden gemaakt en
het lesmateriaal kan op verschillende manieren worden geëxporteerd. Meer informatie hierover kun je vinden op
onze Developers Wiki.
