Informatiebeveiliging en privacy in mbo en vo Security dag SLBdiensten, 15 april 2016 Leo Bakker, Axel Eissens - Kennisnet
Informatiebeveiliging en privacy in mbo en voSecurity dag SLBdiensten, 15 april 2016
Leo Bakker, Axel Eissens - Kennisnet
2
Inhoud
1. Informatiebeveiliging en privacy in het mbo2. Het framework IBP voor het mbo toegelicht3. De benchmark IBP mbo 20154. IBP in de praktijk5. Aanpak IB in het VO6. Privacy in het VO7. Vragen
Programma IBP in het mbo
3
Risico’s IBP1. Beleid IBP2. Mens3. Architectuur4. Audit IBP5.
Beh
eer I
BP
Framework IBP mbo
4
Beleid
5
Informatiebeveiliging en privacy
6
Beleidskaders
7
Mens
8
Mens
9
Architectuur
10
Architectuur
11
12
13
14
Logische stappen in het IBP proces
15
1. Zelf assessment 2014 (waar staan we)2. Toetsen aan baseline (volwassenheidsniveau 2)3. Benchmark 2015 (18 mbo instellingen)4. Toetsen aan benchmark (waar staat de sector)5. Peer review 2016 (16 mbo, 1 vo en 1 ho instelling)6. Uitvoeren aanbevelingen (waar willen we staan)
IBP framework mbo
16
Benchmark 2015
17
5 grootste IBP risico’s in de mbo sector
18
1. Toetsconstructie 2. Toets afname3. Toets registratie4. Zorgdossier studenten5. Gesprekscyclus medewerkers
Lessons learned
19
1. Te grote nadruk op risico analyse2. Betrek middenkader bij IBP m.n. HR3. Toetsingskader is een middel en geen doel4. Start met IBP beleidsplan en awareness5. Techniek is redelijk op orde maar niet
gedocumenteerd (mbo sector is GEEN puinhoop)6. Functioneel beheerders zijn een IBP risico7. Niet alles tegelijk, stap voor stap
20
Aanpak voor het vo Uitgangspunten, normenkader (ISO 2700x)
Divers scholen-veld in het vo
Insteek vanuit privacy, privacyconvenant- IB, essentiële basis voor privacy
Fasering, prioritering- Vanuit privacyconvenant eenduidige afspraken voor minimale
beveiligingsmaatregelen leveranciers- Vanuit die toepassing terugkoppeling richting scholen over minimale
beveiligingsmaatregelen op scholen zelf
21
Drie ‘groepen’ in voortgezet onderwijs vo scholen gerelateerd aan een mbo instelling (bijvoorbeeld vmbo)
- Deze kunnen meedraaien op de normenkaders zoals die voor het mbo zijn ontwikkeld
Grote vo scholen- Deze kunnen ook gebruik maken van het normenkader zoals die
voor het mbo zijn ontwikkeld- Er moet wel zelf een vertaalslag gemaakt worden, maar dat zal niet
veel werk zijn
Kleine vo scholen- Hiervoor wordt een pragmatische insteek gekozen met onder andere
jaarlijkse activiteiten en hulpmiddelen zoals voorbeelden en templates
22
PrivacyconvenantPubliek: Sectorraden
(ondersteund door Kennisnet) Privaat: GEU, VDOD, KBb-e
Nu nog leermiddelen en toetsen:‘digitale onderwijsmiddelen’
In Q1 uitbreiding met LAS/LVS Sector- en brancheorganisaties ondertekenenIndividuele partijen kunnen ook ondertekenen
23
Belangrijkste zaken convenant Rolverdeling
- Verantwoordelijke (= bevoegd gezag) en Bewerker (leverancier)- School houdt zelfstandige zeggenschap over doel en middelen - Sector- en brancheorganisaties ondersteunen leden en stimuleren
bewustzijn
Doelen waarvoor gegevens mogen worden gebruikt- ‘Snappet-lijn CBP’ gevolgd + commercieel gebruik verboden
Informatieplicht- School informeert ouders- Leverancier informeert school met Privacy Bijsluiter
Bewerkersovereenkomst
Model bewerkersovereenkomst • Uitwerking convenant• Overeenkomst wettelijk verplicht • Formeel: initiatief bij verantwoordelijke• Altijd: hoort bij licentie/koop• Model: comply or explain
Bijlagen: leverancier aan zet
A: Privacy bijsluiter = leverancierSchool maakt keuze op basis van deze bijsluiter!
B: technische en organisatorische beveiligingsmaatregelen
Certificeringsschema
25
Certificeringsschema Het Certificeringsschema biedt een proces, praktisch toetsingskader en
opzet van toetsingsmogelijkheden en is (in eerste instantie) gericht op leveranciers in de sectoren po en vo
Het Certificeringsschema maakt transparant of leveranciers aan ’best practices’ voldoen op het gebied van informatiebeveiliging
Scholen hoeven dan alleen maar- te eisen ‘Leverancier voldoet aan het Certificeringsschema’- te toetsen of de leverancier in kwestie een eigen of onafhankelijke
audit heeft laten uitvoeren en wat de resultaten daarvan zijn
Resultaten van assessments bij de leveranciers die betrekking hebben op informatiebeveiliging bij scholen worden via de po- en vo-raad teruggekoppeld
26
Voorbeeld classificatie
27
Voorbeeld maatregelen
28
Wat zou school zelf moeten regelen? Continue verbetering
- Jaarlijkse risicoanalyse, implementatie maatregelen, evaluatie
IBP beleid- Aangeven dat informatiebeveiliging en privacy belangrijk zijn- Uitleggen hoe het binnen de school georganiseerd is! (Je maakt het jezelf makkelijk door IB en P samen te pakken)
Protocol beveiligingsincidenten en datalekken- Uitleggen wie wat hoe moet doen bij een incident- Borgen dat je leert van incidenten
Bewustwording- Zorg voor voorlichting/simpele gedragsregels- Zorg dat iedereen weet waar die incidenten/vragen moet melden
Datalekken: lek in automatiseringongeautoriseerde toegang
een inbreuk op de beveiliging persoonsgegevens
leidt tot aanzienlijke kans op ernstige nadelige gevolgen
Binnen 72 uur melden bij AP (CBP)
Betrokkene informeren bij gevolgen
Beveiligingslek
Beveiligingsincident
Datalek
Melden bij Autoriteit Persoonsgegevens
Melden bij betrokkene: ouders/leerlingen
30
Datalek: wat in ieder geval doen?
Volgens een presentatie van de Autoriteit Persoonsgegevens op het NCSC One congres in april 2016 moet je in ieder geval vier zaken doen:
Encryptie op mobiele datadragers
Continu evalueren en verbeteren- Bijvoorbeeld PDCA
Logging en incident management- Weet wat er gebeurt!
Aandacht op bestuurlijk niveau
Bedankt voor uw aandachtLeo Bakker Axel EissensSenior adviseur Senior adviseur informatiebeveiliging
E-mail: [email protected] [email protected] @twitteraccount
32
Privacy in 10 stappenKennisnet heeft een brochure ontwikkeld,
daarin staan 10 praktische stappen over
hoe je privacy borgt op school:
Organiseren
1. Weet waar privacy over gaat
2. Organiseer je privacybeleid of stel een privacyreglement op
4. Regel de rechten van ouders en MR
9. Regel privacy ook bij de uitwisseling van leerlingdossiers (OKR)
10. Zorg voor beveiliging van de leerlinggegevens
33
Privacy in 10 stappenKennisnet heeft een brochure ontwikkeld,
daarin staan 10 praktische stappen over
hoe je privacy borgt op school:
Contracteren
3. Maak afspraken met leverancier: bewerkersovereenkomst
6. Foto’s en video’s: vraag altijd toestemming 7. Maak afspraken over internet en sociale media op school
34
Privacy in 10 stappenKennisnet heeft een brochure ontwikkeld,
daarin staan 10 praktische stappen over
hoe je privacy borgt op school:
Informeren
5. Wees transparant over het gebruik van leerlinggegevens: informeer ouders!
8. Betrek en informeer leerlingen