Bewustwording Informatiebeveiliging en Privacy (IBP) SCOPE scholengroep versie 2022
Start
Binnen SCOPE scholengroep maken we veel gebruik van gegevens om het onderwijs te geven zoals we dat willen en zoals past bij deze tijd. Het is wettelijk verplicht dat we op een veilige en verantwoorde manier met deze gegevens omgaan en ook zorgen dat de gegevens op een veilige manier worden verwerkt. Elke medewerker en leerling mag er immers van uitgaan dat er door de schoolorganisatie altijd zorgvuldig met zijn of haar persoonsgegevens wordt omgegaan.
Vanaf mei 2018 gelden nieuwe, strengere regels voor het omgaan met informatiebeveiliging en privacy (IBP). Met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) zijn de nationale privacywetten en privacyregelingen van EU-landen vervangen; in Nederland was dit de Wet Bescherming Persoonsgegevens (Wbp).
In de AVG is vastgelegd hoe met persoonsgegevens dient te worden omgegaan. Maar wat zijn nu precies persoonsgegevens? En wat betekent de wetgeving in de praktijk voor mij als medewerker van SCOPE scholengroep? In deze workshop wordt uitgelegd wat je als medewerker moet weten en kunt én moet doen om de privacy van leerlingen en collega's te beschermen. Praktijkvoorbeelden worden gebruikt om de soms abstracte wet- en regelgeving te verbinden aan herkenbare situaties die op school voorkomen.
Aan het einde van de online training kan je de onderstaande vragen beantwoorden:
Waarom is IBP belangrijk?
Wat zijn persoonsgegevens?
Waar (en hoe) kan verantwoord met persoonsgegevens worden gewerkt?
Wanneer mogen persoonsgegevens worden uitgewisseld?
Wie is binnen de organisatie verantwoordelijk voor IBP?
Naleving van de wet is de verantwoordelijkheid van iedereen binnen de organisatie en dit kan dus alleen bereikt worden wanneer iedereen zorgvuldig en verantwoord met gegevens weet om te gaan en dat ook doet.
Waarom IBP?
Digitale middelen nemen een steeds belangrijkere rol in in de maatschappij: steeds meer alledaagse handelingen worden digitaal verricht.
1) Werken: in de klas en op de werkvloer zijn computers, tablets en smartphones vrijwel niet meer weg te denken.
2) Leven: of het nu gaat om bankieren, reizen met het OV of betalen voor parkeren – het gaat steeds meer digitaal.
3) Leren: ook in de klassen gaat steeds meer digitaal: naast digitaal lesmateriaal ook het verwerken van gegevens in Parnassys of Magister.
Voor zowel werken, leven als leren geldt dat ook de communicatie via digitale kanalen verloopt. Denk bijvoorbeeld aan mailverkeer, maar ook door websites en nieuwsbrieven. Daarnaast nemen sociale media hierbij een belangrijke rol in. Door het gebruik van al deze digitale middelen laat ieder individu een digitaal spoor na van gegevens. Deze digitale sporen worden geregistreerd door bijvoorbeeld de leveranciers van de online diensten waarvan we gebruik maken. Informatiebeveiliging en Privacy (IBP) komen dus ook in beeld wanneer we ons afvragen welke informatie die leveranciers van ons hebben, wat zij met die informatie doen en met wie ze die delen.
In de TEDx-talk vertelt Glenn Greenwald over het belang van privacy. Speel af van begin tot +/- 4.50min.
“Privacy niet belangrijk vinden omdat je niets te verbergen hebt, is hetzelfde als niet geven om vrijheid van meningsuiting omdat je niets te zeggen hebt.”
Edward Snowden
Het recht op privacy is een fundamenteel mensenrecht en grondrecht, net zoals het recht op leven, het verbod op discriminatie, recht op een eerlijke proces of verbod van slavernij. Enkele redenen waarom privacy van belang is:
Je kan er last van hebben als gegevens op straat liggen, denk aan pesten en identiteitsfraude
‘Het staat in de wet’, dus het moet. De accountant controleert hier ook op
Imago: datalekken, schade, risico’s
Financieel: hoge boetes, ook voor scholen!
Deze online training gaat in op IBP, omdat deze begrippen erg met elkaar verweven zijn. Immers, zonder een goede informatiebeveiliging is het onmogelijk de privacy van leerlingen en collega's te beschermen. Toch is het goed een onderscheid te maken tussen IB (Informatiebeveiliging) en P (Privacy):
Privacy gaat over het wat we wel en niet verkiezen te delen.
Informatiebeveiliging gaat om het hoe we zorgen dat informatie die we privé willen houden, privé blijft.
We trappen deze online training af met privacy en gaan daarna in op informatiebeveiliging.
Geschiedenis
Al 2500 jaar geleden is het recht op privacy vastgelegd in wetten en regels:
Hippocrates (400 BC)
“Al hetgeen mij ter kennis komt in de uitoefening van mijn beroep of in het dagelijks verkeer met mensen en dat niet behoort te worden rondverteld, zal ik geheim houden en niemand openbaren. Al wat ik als hulpverlener zal zien of horen, ook van het privé-leven van de patiënten zal ik voor mij houden, in de overtuiging dat zulke dingen geheim moeten blijven.”
Universele Verklaring van de Rechten van de Mens (1948)
Geldt tot op heden als morele standaard bij totstandkoming van veel wet- en regelgeving. De verklaring bevat vele ‘niet opschortbare rechten’: hieronder valt ook de bescherming van privacy. Privacy is dus een grondrecht van ieder mens.
Wet bescherming persoonsgegevens (2001)
De wet schrijft voor hoe de privacy van burgers beschermd dient te worden. Het geeft aan wanneer persoonsgegeven gebruikt mogen worden en aan welke voorwaarden dient te worden voldaan.
Voorbeelden van organisaties die werken met persoonsgegevens en zich dus dienen te houden aan de richtlijnen in de Wbp zijn gemeentes, de belastingdienst, de werkgever en sportverenigingen.
Algemene Verordening Gegevensbescherming (2018)
Nieuwe Europese wetgeving met betrekking tot privacy en is een vervanging van de Nederlandse Wet Bescherming Persoonsgegevens (Wbp). Vanaf 25 mei 2018 geldt hiermee dezelfde wetgeving omtrent privacy in de gehele Europese Unie. Tevens kunnen organisaties vanaf dit moment beboet worden wanneer zij hun bedrijfsvoering niet op orde hebben.
De AVG zorgt onder meer voor:
Versterking en uitbreiding van privacyrechten;
Meer verantwoordelijkheden voor organisaties en;
Dezelfde, stevige bevoegdheden voor alle Europese privacytoezichthouders.
Definitie?
Definitie
Er zijn diverse definities van privacy te bedenken. Wij hanteren net als Kennisnet onderstaande definitie:
“De persoonlijke vrijheid, het ongehinderd, alleen, in eigen kring of met een partner ergens kunnen vertoeven; gelegenheid om zich af te zonderen, om storende invloeden van de buitenwereld te ontgaan, een toestand waarin een mens er zeker van is dat zonder zijn toestemming zo weinig mogelijk andere mensen zich op zijn terrein zullen begeven.”
Anders gezegd:
“Het recht om met rust gelaten te worden en;
Het recht gegevens over jezelf te kunnen controleren.”
Het is een brede definitie. De essentie is de mogelijkheid dingen te doen zonder dat de buitenwereld daar inbreuk op maakt of weet van heeft. Ieder mens heeft recht op privacy: het recht op privacy is een fundamenteel mensenrecht en een grondrecht, net zoals de vrijheid van meningsuiting en het recht op leven.
Privacy & onderwijs
We hebben aangegeven waarom privacy zo belangrijk is. Job Vos, specialist op het gebied van privacy bij Kennisnet, legt uit waarom juist in het onderwijs het extra belangrijk is om privacy van medewerkers en leerlingen te waarborgen.
Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een individueel persoon. Er zijn diverse typen persoonsgegevens. Zo kunnen persoonsgegevens direct identificerend zijn (over iemand gaan, bijvoorbeeld een naam of een geboortedatum), ofwel indirect identificerend zijn (wanneer deze niet direct over iemand gaan maar wel naar een persoon te herleiden zijn, eventueel door gebruik te maken van het combineren van gegevens).
Bijzondere persoonsgegevens
Er bestaan ook bijzondere persoonsgegevens. Dit zijn gegevens welke gevoelige informatie bevatten, zoals gegevens over gezondheid, religie of politieke voorkeur. Bijzondere persoonsgegevens mogen alleen worden vastgelegd wanneer dit noodzakelijk is voor begeleiding van een leerling, of om noodzakelijke voorzieningen te mogen treffen. Een voorbeeld is de registratie van allergieën, zodat hiermee rekening gehouden kan worden bij traktaties of lunches.
Leerlinggegevens
Is een veelgebruikte term. Leerlinggegevens zijn gegevens over leerlingen en kunnen zowel directe en indirecte persoonsgegevens als bijzondere persoonsgegevens bevatten.
De 5 vuistregels
De Europese Algemene Verordening Gegevensbescherming (AVG) stelt hogere en aanvullende eisen aan privacy. In deze 5 vuistregels worden de belangrijkste uitgangspunten voor het verantwoord omgaan met persoonsgegevens samengevat.
1) Doelbepaling en doelbinding
Persoonsgegevens worden alleen gebruikt voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Deze doeleinden zijn concreet en voorafgaand aan de verwerking vastgesteld. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doelen waarvoor ze zijn verkregen.
2) Grondslag
Is er minimaal een wettelijke grond voor de verwerking?
Verwerking van Persoonsgegevens is gebaseerd op één van de wettelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang. Voor veruit de meeste gegevens is dit de overeenkomst tot het geven van onderwijs die we met leerlingen en hun ouders zijn aangegaan. Bij alle registraties op basis van toestemming, zal SCOPE scholengroep aan de betrokkene de mogelijkheid bieden om de gegeven toestemming te wijzigen of in te trekken.
3) Dataminimalisatie
Bij de verwerking van Persoonsgegevens blijven de hoeveelheid en het soort gegevens beperkt: het type persoonsgegevens moet redelijkerwijs nodig zijn om het doel te bereiken; ze staan in verhouding tot het doel (= proportioneel). Het doel kan niet met minder, alternatieve of andere gegevens worden bereikt. Dit betekent ook dat gegevens niet langer worden bewaard dan noodzakelijk.
4) Transparantie
De school legt aan betrokkenen (leerlingen, hun ouders en medewerkers) op transparante wijze verantwoording af over het gebruik van hun persoonsgegevens net als over het gevoerde beleid op dit gebied. Deze informatievoorziening vindt ongevraagd plaats, bij voorkeur via de websites van de scholen, intranet of de schoolgids. Daarnaast hebben deze betrokkenen recht op verbetering, aanvulling, verwijdering of afscherming van hun Persoonsgegevens. Bovendien kunnen betrokkenen zich verzetten tegen het gebruik van hun gegevens.
5) Data-integriteit
Er worden maatregelen getroffen om te waarborgen dat de te verwerken persoonsgegevens juist en actueel zijn.
Voorbeeld: als iemand van buitenaf zomaar de persoonsgegevens kan wijzigen, dan zijn die gegevens niet meer 'integer'. De kwaliteit van de gegevens wordt allereerst bepaald door de medewerkers die gegevens invoeren. Zij moeten de juiste instructies krijgen om verantwoordelijk met persoonsgegevens om te kunnen gaan. Ook de programma's die gebruikt worden om de gegevens in op te slaan moeten integer zijn. Door het nemen van passende technische of organisatorische maatregelen zorgt de school er voor dat persoonsgegevens op een passende wijze zijn beveiligd en zijn beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
Privacy: meer dan gegevens
Privacy gaat ook over ‘weten wat er op het schoolnetwerk gebeurt’. Wat wordt er vastgelegd en wat wordt er met de gegevens gedaan? Worden er bijvoorbeeld sexfilmpjes gedeeld of staan er lijsten met gezondheidsgegevens en resultaten van leerlingen op een gedeelde Drive? Dit vraagt om de afweging tussen privacy van leerlingen/medewerkers en bescherming van diezelfde leerlingen/ medewerkers. Het bezit van persoonsgegevens brengt ook de verantwoordelijkheid met zich mee deze gegevens te beschermen tegen ongewenste en onnodige verspreiding en tegen bijvoorbeeld hacken.
Mag en kan je leerlingen de hele dag volgen en alles opslaan wat ze doen? In Europa zijn we hevig verontwaardigd als blijkt dat de NSA allerlei gegevens over ons gebruikt bij de opsporing, maar als we leerlingen de hele dag gaan volgen, doen we dan niet het zelfde? Toch volgen we leerlingen zoveel mogelijk in hun ontwikkeling, maar dat vraagt altijd om een goede afweging van wat er in het belang van de leerling is!
Schoolfoto’s: een foto zegt iets over je ras, etniciteit. Daarom is een foto een bijzonder persoonsgegeven: je moet hier nóg voorzichtiger mee omgaan dan met gewone data.
Informatiebeveiliging
Informatiebeveiliging is een proces ten behoeve van het beschermen van gegevens en gegevensdragers tegen risico’s en bedreigingen. Het richt zich op drie aspecten:
Beschikbaarheid: de mate waarin gegevens en/of functionaliteiten beschikbaar zijn op de juiste momenten.
Integriteit: de mate waarin gegevens en/of functionaliteiten juist en volledig zijn.
Vertrouwelijkheid: de mate waarin de toegang tot gegevens en/of functionaliteiten beperkt is tot degenen die daartoe bevoegd zijn.
Onvoldoende informatiebeveiliging kan leiden tot risico’s bij de uitvoering van onderwijs en bij de bedrijfsvoering van de instelling. Wanneer er risico's worden geconstateerd moeten hiervoor dus maatregelen genomen worden. Mocht je zelf risico's zien dan wordt je gevraagd dit te melden via privacy@scopescholen.nl.
Definitie
Net als voor privacy zijn er diverse definities voor informatiebeveiliging. Wij hanteren, zoals op de vorige pagina al te lezen was, de volgende:
“Informatiebeveiliging is een proces ten behoeve van het beschermen van gegevens en gegevensdragers tegen risico’s en bedreigingen.”
Bewust 6x Zorgvuldig
Als je persoonsgegevens deelt met anderen, dan moet je er op kunnen vertrouwen dat de ontvanger zorgvuldig met jouw gegevens omgaat. Als je werkt met persoonsgegevens vraagt dit dan ook van docenten, andere medewerkers en eigenlijk van iedere burger, een aantal basisvaardigheden rondom het gebruiken en delen van persoonsgegevens. Dit vatten we samen als 'Bewust 6x Zorgvuldig'.
1) Gebruik zorgvuldig: vergrendel je scherm.
Verlaat je je werkplek om koffie te halen of wat anders, vergrendel je scherm. Niet alle informatie is voor iedereen bestemd. Windows-toets + L vergrendelt direct je Windows-pc, op een Mac gebruik je Ctrl + Command + Q.
2) Deel zorgvuldig: eerst denken dan delen
Stel jezelf bewust de vraag welke gegevens ga ik delen, is dat niet te veel, kan het met minder gegevens. Zijn er alternatieven. Met wie deel ik de gegevens, mogen zij alles hebben. Gebruik het BCC veld bij een mail naar veel mensen. Niet alleen voorkom je hiermee dat mailadressen worden verspreid, maar ook dat reacties naar iedereen worden gestuurd.
3) Surf zorgvuldig: klik niet klakkeloos
Denk vooraf goed na voor je klikt op een link in de mail of op een website, wees je bewust van eventuele gevaren als phishing, ransomware enz.
4) Beveilig zorgvuldig: wachtwoord is persoonlijk, deze leen je niet uit.
Wachtwoorden zijn als tandenborstels:
Kies alleen hele goede.
Vervang ze regelmatig.
Bewaar ze op een veilige plek.
Geef ze nooit aan iemand anders
Een agenda of een briefje is uiteraard geen veilige plek om je wachtwoorden te bewaren. Dit is snel en makkelijk voor iedereen te vinden. Gebruik in plaats daarvan een wachtwoordmanager als Enpass. Op intranet is hiervoor een handleiding te vinden, of bekijk dit filmpje. Door je wachtwoordkluis op de owncloud op te slaan kan je op verschillende devices gebruik maken van dezelfde database met wachtwoorden.
Let bij het invullen van je wachtwoord (of het ontgrendelen van je telefoon of tablet) ook op dat er niemand meekijkt om zo de code of het patroon te achterhalen. Deze zijn eenvoudiger te onthouden dan een wachtwoord. Wanneer je apparaat dit ondersteunt kan je bijvoorbeeld kiezen voor het gebruik van vingerafdrukherkenning.
Steeds meer sites bieden daarnaast de mogelijkheid om met tweestapsverificatie in te loggen. Hierbij krijg je, bijvoorbeeld op je telefoon, een code die je bij het inloggen naast je wachtwoord in moet voeren.
5) Verbind zorgvuldig: check veilige verbinding
Vermijd gratis wifi mogelijkheden, check veilige verbindingen in de browser (o.a. groen slotje).
6) Sla zorgvuldig op: encryptie en geen USB-sticks
Gebruik geen USB-stick en doe je dat wel, zorg dan dat de data versleuteld is. Om gegevens uit te wisselen tussen computers kan je gebruik maken van de owncloud van SCOPE.
Malware
Er is software die tot doel heeft mensen aan te zetten tot het onbewust begaan van een online misstap en/of hen specifieke informatie te ontfutselen. Deze vorm van software is de zogenoemde malware. Enkele veelvoorkomende soorten van malware zetten we kort op een rijtje.
Phishing mail
Phishing (afgeleid van "vissen", "hengelen") is een vorm van internetfraude. Het bestaat uit het oplichten van mensen door ze te lokken naar een valse (bank)website, die een kopie is van de echte website, om ze daar – nietsvermoedend – te laten inloggen met hun inlognaam en wachtwoord of hun creditcardnummer. Hierdoor krijgt de fraudeur de beschikking over deze gegevens met alle gevolgen van dien. De fraudeur doet zich hierbij voor als een vertrouwde instantie, zoals een bank. De meeste vormen van phishing gebeuren via e-mail. De slachtoffers worden hierbij met een e-mail naar deze valse website gelokt. De mail bevat een link naar de (valse) website met het verzoek om zogenaamd "de inloggegevens te controleren". Dit is iets wat nooit zal gebeuren door een bank.
Spear phishing
Een variant van mail phishing is spear phishing, waarbij de persoonlijke gegevens (naam, e-mailadres, telefoonnummer) van het slachtoffer worden gebruikt om hem een gevoel van vertrouwen te geven.
Ransomware
Gijzelsoftware (oftewel ransomware) is een chantagemiddel. Wanneer een besmette e-mail of bestand wordt aangeklikt versleutelt het virus bestanden op je computer. Een melding geeft aan hoe er losgeld betaald dient te worden om de versleuteling van de bestanden ongedaan te maken.
Cyber hoax
Een cyber hoax is feitelijk onjuiste informatie welke opzettelijk online verspreid wordt, met als doel zoveel mogelijk mensen op het verkeerde been zetten.
Controleer dus altijd goed van welke afzender een mail afkomstig is en klik niet of links die je niet vertrouwd.
IBP binnen SCOPE
Binnen SCOPE scholengroep is het college van bestuur de eindverantwoordelijke voor het beleid rondom informatiebeveiliging en privacy en voor het goed regelen ervan. Om dat te kunnen doen is het noodzakelijk dat ieder medewerker daaraan bijdraagt, alleen dan zorgen we ervoor dat:
Het onderwijs altijd door kan gaan (Informatiebeveiliging)
en
De privacy van leerlingen en medewerkers gegarandeerd is (Privacy)
Organisatie
Alle medewerkers hebben verantwoordelijkheid met betrekking tot IBP in hun dagelijkse werkzaamheden.
Medewerkers wordt gevraagd om actief betrokken te zijn bij informatiebeveiliging. Dit kan door meldingen te maken van incidenten en collega’s tips te geven om beter om te gaan met gegevens en door het doen van verbetervoorstellen aan andere spelers binnen het IBP-beleid.
Vanuit de geldende cao’s hebben medewerkers de verplichting om vertrouwelijk om te gaan met gegevens waar zij uit hoofde van hun functie bij betrokken zijn. Hier worden medewerkers bij hun indiensttreding op gewezen en het heeft een plaats in de reglementen die voor medewerkers gelden, zoals bijvoorbeeld de vastgestelde privacyreglementen voor het omgaan met leerlinggegevens of voor het omgaan met gegevens van medewerkers.
Daarnaast zijn er binnen SCOPE scholengroep functionarissen die zich specifiek met informatiebeveiliging en privacy bezighouden. Dit zijn het hoofd van de dienst ICT en de Functionaris gegevensbescherming.
Hoofd dienst ICT
Het hoofd van de dienst ICT is verantwoordelijk voor het organiseren van de ict en informatiebeveiliging. Daaronder vallen zowel de zorg voor de beveiliging van apparaten en software als het zorgen voor de beschikbaarheid van data. Daarnaast adviseert deze samen met de functionaris gegevensbescherming over te nemen maatregelen.
Het hoofd ICT vormt een technisch aanspreekpunt inzake informatiebeveiliging voor iedereen binnen SCOPE en is bereikbaar via de servicedesk.
Funcionaris gegevensbescherming
Vanuit de nieuwe wetgeving is het verplicht om een functionaris gegevensbescherming (FG) aan te wijzen. Deze persoon is behalve aanspreekpunt voor vragen en opmerkingen over privacy ook degene die toezicht houdt op de toepassing en uitvoering van de AVG.
Daarnaast is de FG verantwoordelijk voor het bijhouden van een overzicht van de verwerkingen die we met persoonsgegevens uitvoeren en voor het ondersteunen bij de uitvoering van een risicoanalyse bij de start van nieuwe verwerkingen, bijvoorbeeld door gebruik te gaan maken van nieuwe software of lesmateriaal waarbij gegevens worden uitgewisseld. Ook wanneer er incidenten plaatsvinden op het gebied van IBP of wanneer er een verzoek tot inzage in de verwerking van persoonsgegevens wordt gedaan moet de FG hierbij worden betrokken.
Er is voor gekozen om hiervan geen nieuwe functie te maken, maar het als taak neer te leggen bij Jan Murck. De FG is via mail te bereiken.
Verwerkingsregister
De school is verplicht om bij te houden welke persoonsgegevens er worden verwerkt van leerlingen, medewerkers en externen. Om dit te doen wordt er een verwerkingsregister bijgehouden met daarin alle verwerkingen.
Bij het verwerken van gegevens gaat het ook om het uitwisselen van gegevens met andere partijen. Dit kan zowel een verplichte uitwisseling zijn, zoals met DUO, of een uitwisseling waar we zelf voor kiezen met een uitgever van lesmateriaal. Hierover moeten afspraken worden vastgelegd in een aparte overeenkomst. Wil je materiaal aanschaffen van een partij die nog niet in het register staat? Zorg dan dat er, in overleg met de FG, gekeken wordt naar de risico's van de uitwisseling en dat er een verwerkersovereenkomst wordt afgesloten, zodat deze partij in het register kan worden opgenomen. Wanneer dit niet is gedaan, kunnen er geen gegevens worden uitgewisseld, ook niet wanneer het alleen maar om een naam en mailadres gaat.
Bewaren van gegevens
In de vuistregels is gesproken over dataminimalisatie. Dat betekent ook dat persoonsgegevens niet langer bewaard mogen worden dan nodig is. Dat is vastgelegd in een document met bewaartermijnen.
Naast de gegevens die in de digitale en papieren dossiers van leerlingen zitten staan er ook gegevens van leerlingen en ouders in de mail van medewerkers van SCOPE scholengroep. Denk sowieso aan naam en mailadres wanneer je via de mail een afspraak maakt met ouders over een gesprek. Dit zijn gegevens die al na de afspraak niet meer nodig zijn om te bewaren. Dit zijn mails die dus ook direct verwijderd kunnen/moeten worden.
Om te voorkomen dat gegevens te lang bewaard blijven, vragen we iedereen om in ieder geval jaarlijks aan het einde van een schooljaar zijn of haar mail op te ruimen en alle mails die niet nodig zijn om te bewaren te verwijderen.
Incidenten en datalekken
Uiteraard is het altijd mogelijk dat er iets foutgaat en dat er ondanks de genomen maatregelen toch beveiligingsincidenten met persoonsgegevens plaatsvinden. Wanneer dit gebeurt, moet eerst worden vastgesteld wat de ernst is van de situatie.
Eerst wordt vastgesteld of er sprake is van een beveiligingsincident of een datalek. In geval van een beveiligingsincident is er sprake van een gat in de beveiliging en is het zaak dit gat zo snel mogelijk te dichten. Er is pas sprake van een datalek wanneer het er ook daadwerkelijk persoonsgegevens ‘op straat’ kunnen zijn komen te liggen en hiermee mogelijk in handen zijn gekomen van personen of organisaties die deze gegevens niet zouden mogen hebben.
Voorbeelden van datalekken:
E-mail met persoonsgegevens verzonden naar verkeerd e-mailadres.
Laptop of iPad met persoonsgegevens gestolen/verloren.
Vergaderlijst in de personeelskamer laten liggen.
Wanneer je merkt dat er een incident of datalek is, of je een vermoeden hebt dat het zo is, informeer dan zo snel mogelijk de Functionaris Gegevensbescherming binnen de organisatie. Deze zal zorgen voor de afhandeling van het incident en een eventuele melding doen.
We zijn verplicht melding te maken van ernstige datalekken bij de Autoriteit Persoonsgegevens. Het niet doen van deze melding kan een fikse boete opleveren. De meldplicht is overigens alleen van toepassing als er persoonsgegevens bij betrokken zijn.
Gebruik van beeldmateriaal
Een bijzondere vorm van communicatie is het gebruik van beeldmateriaal. Bijvoorbeeld bij de werving van nieuwe leerlingen, maar ook om ouders en belangstellenden op de hoogte te houden van wat er op school gedaan wordt.
Beeldmateriaal, met uitzondering van pasfoto’s in het leerlingadminstratiesysteem, mag alleen worden gebruikt als er expliciet toestemming is gegeven door de (ouders van) leerlingen. Als deze toestemming er niet is of deze niet is vastgelegd, mag er geen gebruik gemaakt worden van beelden. Wanneer leerlingen op één van onze scholen komen, wordt daarom schriftelijk toestemming gevraagd voor het gebruik van beelden in diverse categorieën, zodat ouders ook weten waarvoor ze eventueel toestemming verlenen.
Het is mogelijk dat ouders de toestemming willen intrekken of willen wijzigen. Dit is altijd mogelijk door dit bij de school of vestiging aan te geven. Jaarlijks zullen we ouders aan het begin van het schooljaar hier ook op wijzen in de nieuwsbrief. We kiezen voor deze werkwijze omdat het praktisch niet werkbaar is om ieder jaar iedere ouder te vragen opnieuw toestemming te geven. Daarmee wordt aangesloten bij de werkwijze die op dit moment wordt geadviseerd.
Bij het gebruik van sociale media worden beelden opgeslagen op servers buiten de EU en is in de voorwaarden opgenomen dat de beelden eigendom worden van het bedrijf achter het medium. Om die reden wordt ervoor gekozen om op sociale media gebruik te maken van beelden die wel duidelijk maken om wat voor situatie het gaat, maar waar geen herkenbare leerlingen op staan.
Quiz praktijksituaties
Doe de afsluitende quiz en onvang een certificaat van deelname.
Het arrangement Bewustwording Informatiebeveiliging en Privacy (IBP) SCOPE scholengroep versie 2022 is gemaakt met
Wikiwijs van
Kennisnet. Wikiwijs is hét onderwijsplatform waar je leermiddelen zoekt,
maakt en deelt.
Dit lesmateriaal is gepubliceerd onder de Creative Commons Naamsvermelding 4.0 Internationale licentie. Dit houdt in dat je onder de voorwaarde van naamsvermelding vrij bent om:
het werk te delen - te kopiëren, te verspreiden en door te geven via elk medium of bestandsformaat
het werk te bewerken - te remixen, te veranderen en afgeleide werken te maken
voor alle doeleinden, inclusief commerciële doeleinden.
Leeromgevingen die gebruik maken van LTI kunnen Wikiwijs arrangementen en toetsen afspelen en resultaten
terugkoppelen. Hiervoor moet de leeromgeving wel bij Wikiwijs aangemeld zijn. Wil je gebruik maken van de LTI
koppeling? Meld je aan via info@wikiwijs.nl met het verzoek om een LTI
koppeling aan te gaan.
Maak je al gebruik van LTI? Gebruik dan de onderstaande Launch URL’s.
Arrangement
IMSCC package
Wil je de Launch URL’s niet los kopiëren, maar in één keer downloaden? Download dan de IMSCC package.
Wikiwijs lesmateriaal kan worden gebruikt in een externe leeromgeving. Er kunnen koppelingen worden gemaakt en
het lesmateriaal kan op verschillende manieren worden geëxporteerd. Meer informatie hierover kun je vinden op
onze Developers Wiki.