Verslag werkconferentie Informatiebeveiliging & Privacy po/vo. Akoesticum Ede, 7 oktober 2016

Transcriptie

1 Verslag werkconferentie Informatiebeveiliging & Privacy po/vo Akoesticum Ede, 7 oktober 2016

2 Inhoud 1. INLEIDING KEYNOTES Autoriteit Persoonsgegevens Factor WERKSESSIES Workshopronde 1 Waar begin je? PCBO Rotterdam Spaarnesant Workshopronde 2 Hoe ga je aan de slag? Stichting Flore CVO-AV Workshopronde 3 What the hack?! Denial of service Help een datalek! Wat nu? CONCLUSIES EN AANBEVELINGEN... 8

3 1. Inleiding Op school wordt ict dagelijks gebruikt. Met ict kan goed- of kwaadschiks wat misgaan waardoor een systeem uitvalt of gegevens uitlekken. Het goed invullen van informatiebeveiliging en privacy zorgt ervoor dat ict zonder problemen werkt en beschermt de privacy van de leerlingen. Schoolbesturen zijn verantwoordelijk voor het regelen van goede informatiebeveiliging en voor het waarborgen van de privacy van leerlingen. Door de toenemende digitalisering binnen het onderwijs kan dat een lastige opgave zijn. Op 7 oktober 2016 heeft Kennisnet, samen met de PO-Raad en de VO-Raad, de werkconferentie informatiebeveiliging & privacy georganiseerd in de maand van de informatiebeveiliging & privacy. Deze werkconferentie heeft als doel po- en vo-schoolbesturen te ondersteunen bij het nemen van hun verantwoordelijkheden. De bijeenkomst is bedoeld voor bestuurders, ict-coördinatoren en beslissers in het onderwijs. Je hoeft hiervoor geen ict-expert te zijn. Op deze dag is verteld wat informatiebeveiliging en privacy inhouden, waar en hoe de regie gevoerd moet worden door de school. En ook wie waar voor verantwoordelijk is en hoe je afspraken kunt maken met leveranciers. Of hoe je ouders en leerlingen kan en moet informeren over privacy afspraken. Met deze kennis kunnen scholen direct aan de slag om informatiebeveiliging en privacy op school te verbeteren. De werkconferentie voorziet in een behoefte, want binnen het onderwijs is nog steeds onvoldoende kennis over de privacywetgeving en beroepscodes. Alex Commandeur, hoofd Toezicht Publieke sector van de Autoriteit Persoonsgegevens, ging in op de meldplicht datalekken en wat onderwijsinstellingen daarvan moeten weten. Jeroen Wittink van Factor 50 liet zien hoe je op een fundamenteel andere manier, met behulp van metaforen, kan kijken naar en communiceren over informatiebeveiliging en privacy. Pragmatische richtlijnen zijn belangrijk om bestuurders concrete stappen te laten zetten. Kennisnet lanceerde daarom de Aanpak IBP. Deze aanpak levert je niet alleen een kort en bondig IBP-beleid op, maar ook een concrete planning en aanpak voor het uitvoeren en communiceren hiervan. In een aantal paralellelsessies lieten diverse onderwijsinstellingen zien hoe zij omgaan met informatiebeveiliging en privacy en hoe zij invulling aan dit onderwerp hebben gegeven. Verslag werkconferentie IBP po/vo 7 oktober

4 2. Keynotes 2.1. Autoriteit Persoonsgegevens De eerste keynote werd gegeven door Alex Commandeur, hoofd Toezicht publieke sector bij de Autoriteit Persoonsgegevens. Het regelen van informatiebeveiliging en privacy is niet nieuw. Al sinds 2001 moet dit geregeld zijn, ook door scholen. Sinds januari 2016 is de wetgeving (Wet meldplicht datalekken) hierover echter verder aangescherpt. De meldplicht van datalekken geldt vanaf die datum voor alle organisaties, dus ook voor het onderwijs. Als bij een beveiligingsincident persoonsgegevens in handen van onbevoegden komen is er sprake van een datalek. Alle datalekken zijn dus beveiligingsincidenten, maar niet alle beveiligingsincidenten zijn datalekken. Het is voor een school niet de vraag of je een datalek gaat krijgen, maar wanneer! Zorg er dus voor dat je voorbereid bent. Ga na of je beveiligingen en privacybeleid op school op orde is. Welke afspraken heb je als school met leveranciers gemaakt. Deze afspraken kun je niet overlaten aan je leverancier of it-beheerder, maar is de verantwoordelijk van het schoolbestuur! Het lekken van persoonsgegevens van jonge kinderen kan sneller nadelige gevolgen hebben dan van volwassenen, dus moet je hier extra alert op zijn. Dat soort lekken moet je sneller melden dan datalekken van gegevens van volwassenen. Datalekken moeten gemeld worden bij de Autoriteit Persoonsgegevens. Na melding van een datalek bij de AP is vooral belangrijk wat je doet: welke maatregelen tref je en wat communiceer je? Dit jaar zijn er 126 datalekken gemeld in het onderwijs, door 81 onderwijsinstellingen. Er zijn instellingen die dus meerdere lekken hebben gemeld. Als een onderwijsinstelling meerdere datalekken meldt, is dat niet perse een reden voor de AP om in actie te komen, het kan om verschillende soorten datalekken gaan. Meerdere meldingen van dezelfde datalekken kan wel een reden zijn voor de AP om een onderzoek te starten. De AP wordt strenger in het niet of niet-tijdig melden van datalekken. De gewenningsperiode is voorbij. Een (onversleuteld) wachtwoord en inlognaam gelekt? Ook dat zijn gevoelige persoonsgegevens, dus dit moet ook als datalek gemeld worden. Wat kan een school nu doen om datalekken te voorkomen. Tref de gebruikelijke maatregelen tegen kwaadaardige software. Zorg dat er een back-up is van alle gegevens. Zorg voor bewustzijn bij de medewerkers. Richt een meldpunt in binnen de organisatie. Maak een plan voor als het toch misgaat. (Organisaties hebben zichtbaar baat bij een oefening op het droge, voordat een noodsituatie zich aandringt. Dat is bij datalekken niet anders) De school bepaalt de regels binnen eigen school! Dat geldt ook voor de vraag en voorwaarden of en wanneer ouders op school (tijdens schoolactiviteiten) foto's mogen maken en delen. De school is niet verantwoordelijk als ouders foto s maken en die zelf publiek delen via sociale media. Maar de school kan wel regels opleggen aan ouders, en de school moet in de gaten houden dat er geen foto s gemaakt worden van kinderen wiens veiligheid in het geding is als er toch foto s gedeeld worden. Verslag werkconferentie IBP po/vo 7 oktober

5 2.2. Factor50 Jeroen Wittink, adviseur privacy en informatieveiligheid, verzorgde de tweede keynote. Informatiebeveiliging en privacy zijn vage begrippen, maak deze concreet. Leg Informatiebeveiliging en privacy eenvoudig uit op basis van begrijpelijke analogieën en start het gesprek op school. Jeroen gebruikte het voorbeeld van de moderne Barbie-pop. Deze is voorzien van een microfoon en speaker, en zij is in staat om met meer dan 2000 begrippen te reageren op een spelend kind. Hiermee komt internet ook al in de kinderkamer! Pak informatiebeveiliging & privacy (IBP) aan op basis van meest voorkomende risico's. De top 5 van risico s zijn volgens Factor50: datalekken, toets fraude, fraude leerresultaten, privacy schendingen, uitval systemen. Verslag werkconferentie IBP po/vo 7 oktober

6 3. Werksessies 3.1. Workshopronde 1 Waar begin je? PCBO Rotterdam Sprekers: Piet Monster, directeur P&O en Albert Buitenhuis, beleid & ICT Bij PCBO liepen ze tegen een situatie aan waarbij juristen van leveranciers aangaven dat een informatieuitwisseling wel kon, maar een eigen ingehuurde jurist zei van niet. Naar aanleiding hiervan hebben ze zelf het heft in handen genomen om zelf informatiebeveiliging en privacy te organiseren. Normaliter leggen ze de verantwoordelijkheid zo laag mogelijk in de organisatie, maar met het onderwerp bescherming persoonsgegevens is dat lastig. Immers, de verantwoordelijkheid ligt bij de bestuurder. Wanneer IBP goed geregeld is, gaat dit niet alleen over digitale beveiliging, maar ook over fysieke documenten. Het zijn niet alleen maar processen op papier, ze moeten ook aantoonbaar effectief zijn. IBP begint met een risicoanalyse, daarmee krijg je een goed beeld van waar je tegenaan kan lopen als organisatie. De uitkomsten hiervan zijn uniek voor elke instelling. Vervolgens moet je actief op zoek naar samenwerking, dat kan in de regio, maar ook landelijk. Daar kun je elkaar helpen met voorbeelden voor onder andere: Beleid, de kapstok voor de uitvoering van IBP Continu verbeteren aan de hand van PDCA Raakvlak met andere onderwerpen zoals algemeen beveiligingsbeleid, personeelsbeleid en ICT beleid. Ook hebben ze in hun samenwerking het plan opgenomen om elkaar onderling te auditen op informatiebeveiliging en privacy. Intern moet je goed kijken naar de verdeling van het werk. Een goed voorbeeld is de inventarisatie van applicaties en of daar bewerkersovereenkomsten voor nodig zijn. PCBO bestaat uit 30+ scholen, en ze hebben enkele scholen benaderd om een eerste lijst te maken ter inventarisatie. Dat wordt daarna met alle scholen afgemaakt. Een concrete vraag uit het publiek komt wanneer security awareness ter sprake komt. Dat kan door het beveiligingsbeleid te laten lezen bij in dienst treden. Een krabbel onder het contract betekent dan effectief dat het beveiligingsbeleid gelezen is. Nu heeft niet iedere organisatie arbeidscontracten. Dan zijn er ook andere alternatieven, zoals security awareness trainingen (ook online tools) en het opnemen in de HR-cyclus of tussentijdse gesprekken tussen leidinggevende en medewerker. Het advies is om gebruik te maken van bestaande processen om dit onderwerp ook in op te nemen, en niet weer een nieuw proces te verzinnen. Deze sessie wordt afgesloten wordt met de wet van Murphy. Dat betekent niet dat er altijd wat mis kan gaan, maar de wet van Murphy is juist dat je rekening houdt met wat mis kan gaan. Daardoor ben je voorbereidt wanneer het echt misgaat Spaarnesant Sprekers: Jos Bosten en Tammo Beek, beleidsmedewerkers stichting Spaarnesant Spaarnesant gaat er van uit dat je problemen niet kan voorkomen, maar met de juiste voorbereiding kan je incidenten wel snel oppakken en oplossen. Een goede voorbereiding is dus het halve werk. Een eerste opzet om IBP te regelen is mislukt, omdat IBP niet voldoende aanhaakte bij de bestaande processen. Ook de voorgestelde methodiek bleek te lastig te zijn. Na het vertrek van de bestuurder is er voor gekozen om IBP onder te brengen bij de werkgroep sociale veiligheid. Ook de plaatsvervangend bestuurder heeft hier zitting in, waardoor het onderwerp IBP bestuurlijk is geborgd. Voor sociale veiligheid moeten er ook jaarlijks risicoinventarisaties gedaan worden, het was dan ook logisch om de IBP-risico-inventarisatie daarin onder te brengen. Het beleidsplan sociale veiligheid beschrijft de mens als zwakke factor, daarom is awareness voor IBP op en om de school belangrijk. IBP is niet alleen een kwestie van techniek, maar vooral van processen en gedrag. Hierbij heeft een school ook de plicht om ouders uit te leggen hoe de school met gegevens van de leerlingen omgaat. Verslag werkconferentie IBP po/vo 7 oktober

7 Bestaande filmpjes op Youtube worden ingezet om de awareness binnen de scholen te vergroten. De ervaringen van stichting Spaarnesant met het privacyconvenant zijn teleurstellend: er is nog maar van 1 leverancier een reactie gekomen op de modelbewerkersovereenkomst. Leveranciers moeten duidelijk communiceren wat ze gaan doen met het convenant en modelbewerkersovereenkomst. Er is recent begonnen met een risico-inventarisatie rondom IBP. Bij deze inventarisatie sluiten de werkgroep sociale veiligheid, docenten en ouders aan. Daarbij wordt gestart met de vraag : wat is privacy voor jou? De ict-coordinator is inmiddels alle scholen langsgegaan en heeft per school een risico-inventarisatie gemaakt. Er is een top 5 gemaakt van grootste risico s waarvoor er maatregelen moeten worden genomen. Er is 3 x een bijna-datalek geweest met malware. Dit risico kan je niet wegnemen, behalve dan door niet meer te mailen. Ook hier speelt bewustwording een grote rol Workshopronde 2 Hoe ga je aan de slag? Stichting Flore Spreker: Annette van Assem, communicatiemedewerker Stichting Flore. Stichting Flore heeft juist een communicatiemedewerker, geen ict-er, gevraagd om IBP op te pakken. Ze zijn begonnen met privacy in 10 stappen van Kennisnet. Deze praktische stappen waren een nuttige handreiking om te beginnen. Aan de hand daarvan hebben ze een projectplan geschreven. Hierin speelt de professionele cultuur van Stichting Flore met onder andere de erkende ongelijkheid denkkracht mobiliseren en ontwerpend bouwen een grote rol. Medewerkers kunnen een middag vullen met een onderwerp om zich samen met collega s daarin te verdiepen en stappen te maken. Om informatiebeveiliging en privacy te bespreken is bijvoorbeeld de kwaliteitsgame ingezet. Ontzorgen is ook een groot thema geweest. Directeuren moesten bewerkersovereenkomsten sluiten met leveranciers. Het IBP-team heeft er toen voor gezorgd dat een directeur alleen maar hoefde te inventariseren welke leveranciers het waren. Het team nam vervolgens de inhoud van de bewerkersovereenkomsten op zich en zorgden ervoor dat de leveranciers werden aangeschreven. Een tweede groot thema is communicatie. Gebruik van een goed beeldmerk voor de herkenbaarheid, gimmicks zoals dropsleutels en gericht communiceren per doelgroep hebben veel bijgedragen aan de vooruitgang. Uiteindelijk is er een korte discussie over wie de eigenaar is van de verandering. Eigenlijk is dat iedereen, met de bestuurder als eindverantwoordelijke. En het gaat goed. Op de vraag hoe weet u dat? komt het simpele antwoord: Dat horen we uit de terugkoppeling van collega s CVO-AV Spreker: André Poot, staffunctionaris ICT CVO-AV. Binnen de stichting Christelijk Voortgezet Onderwijs voor de regio Alblasserwaard-Vijfheerenlanden is de staffunctionaris IT vaak een bruggenbouwer. Hij verbindt de verschillende onderwerpen en thema s tussen scholen, maar legt hij ook de verbinding tussen de inhoud van het onderwijs en de techniek die het onderwijs mogelijk en makkelijk maakt. Op basis van de analyse van de Algemene Verordening Gegevensbescherming is er binnen CVO-AV een functionaris voor gegevensbescherming aangesteld. In 2014 is begonnen met het voorsorteren op de komende Europese privacywetgeving. De conclusie was dat CVO-AV op een aantal punten daar niet aan de wetgeving kon voldoen, maar dat het daarbij gaat om punten waar CVO-AV eigenlijk al sinds 2001 aan zou moeten voldoen. Verslag werkconferentie IBP po/vo 7 oktober

8 Het management sprak haar zorg uit over de te nemen maatregelen. De opdracht die werd meegegeven, was om te komen tot werkbare regels, en niet tot een strikte interpretatie van de wet. Er is gekozen om jaarlijks een aantal punten op te pakken. Voor 2015 waren dit de speerpunten: inschrijfformulier (uitgangspunt dataminimalisatie: niet meer vragen dan nodig), aanscherpen beleid rondom beeldmateriaal (vragen om gelaagde toestemming van ouders), aandacht in de voorlichting voor bewustwording. Er is een werkgroep privacy geformeerd, die aan de slag is gegaan met een protocol voor het archiveren van leerlinggegevens. Knelpunt is dat de systemen het archiveren of schonen van administratieve gegevens niet (altijd) ondersteunen. Aan de hand van 8 casussen vroeg André de aanwezigen of de beschreven situatie wel of niet is toegestaan Workshopronde 3 What the hack?! Denial of service Sprekers: Antoon Fens, coördinator ict en pr Scholen Combinatie Zoetermeer en Peter Wagenaar, digital coördinator Landelijke Eenheid Nationale Politie Antoon begint zijn presentatie met de opsomming van een aantal kleine voorbodes van de tsunami aan denial-ofservice (DDoS) aanvallen, die zijn school is overkomen. In een periode van drie jaar kwamen steeds vaker steeds grotere problemen voor. Het netwerk en hiermee het onderwijs lag hierdoor regelmatig plat. Totdat hij in januari 2016 met zijn handen in het haar zat. Sinds dat moment heeft hij veel organisaties gesproken. Van providers de school in hun eigen sop lieten gaarkoken tot goedbedoelde adviezen van andere organisaties. Veel partijen raden voornamelijk monitoring aan, maar dat lost het probleem niet op. Eén provider heeft uiteindelijk voor het SCZ de problemen wél opgelost. Antoon geeft aan dat hij niet wil dat andere scholen zo lang moeten zoeken naar een oplossing en dat hij daarom graag zijn inzichten en kennis deelt. In zijn presentatie zit veel detail waardoor scholen niet lang zouden hoeven te zoeken. Hij roept de aanwezigen op om zelf ook actief samen te werken en informatie en ervaringen te delen. De tweede helft van de presentatie wordt gedaan door Peter Wagenaar. Hij laat zien dat het kinderlijk eenvoudig is om een DDoS aanval in te zetten. Kwaadwillend of onbewust, omdat jongeren met een online game bezig zijn, de gevolgen kunnen enorm. De Engelse politie is inmiddels een stuk verder in de voorlichting hierover aan jongeren. Ook de Landelijke Eenheid is bezig met voorlichting, en er zijn al drie aanpakken in het verleden toegepast met wisselend succes: Informeren (voorlichting over strafbaarheid) Waarschuwen Alternatieven laten zien (ict-klasje, 'veilige hackomgevingen voor jongeren, die hun technisch ei niet kwijt kunnen ) Samen met de aanwezigen worden wat mogelijkheden en behoeften besproken bij scholen: Alternatieven: Ict-klasje Stages bij de ict-afdeling met juist geen systeembeheer Beleid: Melden van mogelijk misbruik (responsible disclosure, kan ook landelijk bij NCSC) Straf is minder interessant, schorsing is laatste redmiddel Voorlichting Aanvallen en risico s beschrijven bij mediawijsheid/digitale vaardigheden Een gesprek met de leerling werkt veel beter dan schorsing Verslag werkconferentie IBP po/vo 7 oktober

9 Help een datalek! Wat nu? Spreker: Tonny Plas, ict-adviseur Sinds 1 januari 2016 is de meldplicht datalekken van kracht. Bij overtreding van de meldplicht kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen van maximaal euro. Er is sprake van een datalek als er bij beveiligingsincident persoonsgegevens betrokken zijn, zoals naam, BSN, foto, geboortedatum enz. Tonny geeft een aantal voorbeelden van incidenten en datalekken. Hij zoemt in op persoonsgegevens van persoonlijke aard waaronder godsdienst, ras, politieke overtuiging, gezondheid, strafrechtelijke- en financiële gegevens. Misbruik in het criminele circuit van grote databestanden kunnen ernstige gevolgen hebben voor de gegevensverwerking binnen een keten, doordat mogelijk ingrijpende beslissingen op basis van die (gewijzigde) gegevens worden genomen. Hij geeft aan wat je moet melden en dat je de melding minimaal 3 jaar moet bewaren. Het hebben van een protocol rondom datalekken is van groot belang. Let hierbij extra op de onderstaande punten. Zorg dat het voor iedereen duidelijk is waar een incident te melden is. Bedenk ook hoe je omgaat met signalen van buitenaf. Wie beslist er binnen een organisatie of een datalek ook gemeld moet worden? Wie verzorgt de melding? Leg dit duidelijk vast! Een technisch onderzoek kan zowel intern als extern belegd zijn. Dit laatste zal het geval zijn als een school het IT-beheer heeft uitbesteed. Benoem dit in het protocol. De manier van communiceren met betrokkenen en eventueel met de pers. Leg dit vast in het protocol. Maar voorkomen is nog altijd beter. Zorg voor informatiebeveiliging en privacybeleid. Preventieve maatregelen kunnen o.a. bestaan uit: Bewustwording en voorlichting (gedragscode) Toegangsbeleid Documentmanagement Backups Encryptie Antivirus en malware Firewalls Logging Verslag werkconferentie IBP po/vo 7 oktober

10 4. Conclusies en aanbevelingen De werkconferentie zit erop. We hebben de mogelijkheid gehad en gegeven om de verhalen van diverse organisatie te horen. We hebben meer inzicht gekregen in wat informatiebeveiliging en privacy inhoudt. We weten wie waar voor verantwoordelijk is en hoe je afspraken kunt maken met leveranciers. Hoe je ouders en leerlingen kan en moet informeren over privacy afspraken. Wat een datalek is en hoe je als school hiermee om moet gaan. Met deze kennis kun je verder aan de slag om privacy en informatiebeveiliging op je school te verbeteren. Kennisnet heeft de online 'aanpak informatiebeveiliging en privacy' gelanceerd. In deze aanpak wordt je meegenomen om samen IBP op jouw school goed regelen in 3 stappen: organiseren, uitvoeren en communiceren. De aanpak is beschikbaar via De onderwerpen, die in deze werkconferentie naar voren zijn gekomen, komen ook hier aan de orde. Na deze dag kunnen we de conclusie trekken dat we met informatiebeveiliging en privacy aan de slag moeten. Zowel wetgeving als de zorg om de continuïteit van het onderwijs spelen hierbij een grote rol. Informatiebeveiliging en privacy kun je niet in één keer regelen, IBP is een proces. Het belangrijkste is dat je aan de slag gaat om IBP te regelen. Stel jezelf een doel voor het komende jaar Na een jaar heb je dan een aantal zaken geregeld, en ben je al snel goed op weg! Zoek de samenwerking met andere onderwijsinstellingen. Je hoeft niet zelf het wiel uit te vinden, en maak gebruik van expertise die bij collega s en collega-instellingen aanwezig is. Door vooruit te kijken kun je rekening houden met risico s die er nu nog niet zijn, maar wel gaan komen. Daarmee ben je klaar voor de toekomst en kun je in vertrouwen gebruik maken van (nieuwe) ict-toepassingen zonder bang te zijn voor datalekken of misbruik van persoonsgegevens. De werkconferentie heeft ons veel aanbevelingen meegegeven. Als top 10 van de aanbevelingen komen de onderstaande naar voren. 1. Privacy en informatiebeveiliging zijn een zaak van het schoolbestuur. Ga er mee aan de slag! 2. Ga het gesprek aan over IBP, en gebruik eenvoudig te gebruiken termen of vergelijkingen 3. Maak IBP klein: ga er gewoon praktisch mee aan de slag en zet een eerste stap. Niet alles hoeft gelijk klaar en af. 4. Kennisnet helpt je om IBP te regelen: gebruik de Aanpak IBP ( IBP op school stapsgewijs te regelen. 5. De mens is de zwakke schakel bij IBP: zorg voor awareness! 6. Vele wegen leiden naar Rome: er is niet één aanpak om IBP te regelen, kies de manier die het beste bij jouw instelling past. 7. De school mag regels stellen hoe en of ouders foto s en video s op school nemen en delen. Doe dat ook! 8. Zorg dat je klaar bent voor een datalek, want die komt er zeker aan 9. Zorg voor een oefening en test je digitale rampenplan 10. De AP wordt strenger in het tijdig melden van datalekken, zorg dat je op tijd kunt melden. Voor vragen, opmerkingen of ideeën kun je contact opnemen met de IBP-helpdesk van Kennisnet via ibp@kennisnet.nl of Verslag werkconferentie IBP po/vo 7 oktober