Organisatie Informatieveiligheid.

Transcriptie

1 Willem Debeuckelaere Anne Teughels & Caroline Vernaillen mei 2015 voor het elektronische bestuurlijke gegevensverkeer Ronde van Vlaanderen Onderwijs Organisatie Informatieveiligheid

2 Wie zijn wij o o adviseurs van de VTC De voor het elektronische bestuurlijke gegevensverkeer WIE Opgericht bij E-GOV decreet 18 juli 2008 Verantwoording aan Vlaams Parlement Controleren van stromen van persoonsgegevens die uitgaan van een Vlaamse instantie (cf. decreet openbaarheid bestuur) ook lokale besturen (gemeentelijk en provinciaal onderwijs) ook onderwijsinstellingen Hoe: 1 machtigen van die stromen (criteria privacywet zie verder) 2 adviezen (regelgeving, VDI-decreet) 3 beantwoorden van vragen en begeleiding 4 controletaken: audit 2

3 Informatieveiligheid ode privacywet: wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (WVP) 3

4 Informatieveiligheid Definitie van persoonsgegeven: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon leerling, ouder, personeel = zeer ruim = niet beperkt tot privacy/persoonlijke levenssfeer 4

5 Informatieveiligheid 5

6 Informatieveiligheid Definitie van verantwoordelijke voor de verwerking Niet de IT-dienst Niet de personeelsleden WEL het schoolbestuur = verantwoordelijk voor de naleving van de privacywet 6

7 Informatieveiligheid WAAROM Omdat behoorlijk bestuur vraagt dat u zorgvuldig omgaat met de gegevens van burgers, leerlingen, personeel Omdat u bepaalde situaties wil vermijden 7

8 Informatieveiligheid WAAROM Melding hacking door scholen Kinderen en jongeren zijn een kwetsbare groep. 8

9 Bescherming van persoonsgegevens in de hele school HR: personeelsgegevens! Communicatie: cookies, sociale media, Facilitair: gebouwinfrastructuur, toegang, bewaking Cultuur: deontologie, awareness, sociale media ICT: natuurlijk 9

10 veiligheidsconsulent Belangrijke rol: veiligheidsconsulent Iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens bevat, iedere instantie die elektronische persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die overeenkomstig artikel 4, 3, aangewezen is en persoonsgegevens verwerkt, wijst een veiligheidsconsulent aan. De Vlaamse Regering bepaalt de opdrachten en de manier van aanwijzing van die veiligheidsconsulenten. (art. 9 e-govdecreet) 10

11 Informatieveiligheid Veiligheidsconsulent en plan: afspraken voor onderwijsinstellingen o Principe: elke onderwijsinstelling een VC o Praktische oplossing: contactpersoon informatieveiligheid en ondersteuning vanuit het ministerie Onderwijs en Vorming Cf. machtigingen o Lukt niet (tijdig) 13

12 Informatieveiligheid Veiligheidsconsulent: afspraken voor onderwijsinstellingen o Afspraken overleg VTC - AgODi onderwijskoepels 20 maart 2013 De vertegenwoordigers van elk onderwijsnet een globale visie hebben hoe ze de informatieveiligheid in de scholen zullen aanpakken. Concrete stappen in de richting van minimale veiligheidsnormen De verschillende onderwijsorganisaties zullen hiervoor ook samenwerken en ideeën omtrent de aanpak uitwisselen. AgODi is bereid om hierbij ondersteuning te bieden. 14

13 Informatieveiligheid STAND VAN ZAKEN Na verschillende vergaderingen met AgODi en koepels: plan van aanpak/concreet stappenplan per koepel, verschillend door de aard van het schoolbestuur 16

14 Informatieveiligheid STAND VAN ZAKEN Overleg kabinet Onderwijs 24/02/2015 Deelname VTC aan Ronde van Vlaanderen stap in het bewustmakingsproces 17

15 Informatieveiligheid Veiligheidsconsulent: mogelijkheden voor onderwijsinstellingen o Intern (niet ICT verantwoordelijke of directeur!) o Extern (niet softwareleverancier!) o Per scholengroep (nodige aantal uren per week) o Provincie of gemeente o Ondersteunen: Edubit Onderwijs & Vorming 18

16 Informatieveiligheid Voor de gemeenten en provincies kan de veiligheidsconsulent van de gemeente of de provincie optreden. De provincies hebben dus alle een VC, maar bij de gemeenten 19

17 Informatieveiligheid Opstellen van een informatieveiligheidsplan!!! Eenzelfde kader voor alle organisaties: richtsnoeren informatieveiligheid CBPL ren_cbpl_v%202%200_3.pdf! risico-analyse! awareness! voldoende middelen! stappenplan: meerjarenplanning! contract met de verwerker (softawareleverancier, (onder)aannemer) 24

18 Handleiding Cybersecurity Belgische Gids voor Cyberveiligheid De gids is bedoeld als praktisch instrument voor het bedrijfsleven, maar kan zeker ook zijn nut bewijzen in een overheidscontext. Het is een technologieneutrale en beknopte handleiding die verhelderend wil zijn voor het management en die zo ook bruikbaar is voor de informatieveiligheidsconsulent. 27

19 Draaiboek Edubit Draaiboek voor goed ICT-beleid Het draaiboek bevat naast algemene teksten (leesbaar voor een directie) en details (voor de ICT-coördinator), een reeks checklists (ondersteund met een online module)... 28

20 Aanbeveling privacycommissie ivm datalekken /files/documents/aanbeveling_01_2013.pdf 29

21 Website Ik beslis van de Privacycommissie 30

22 informatieveiligheid Informatieveiligheid dus niet alleen persoonsgegevens maar ook o andere vertrouwelijke informatie o de beschikbaarheid en betrouwbaarheid van de informatie voor de werking van de school, voor uitwisseling met overheid ook informatie op papier AANDACHTSPUNTEN 31

23 AANDACHTSPUNTEN Publiceren van persoonsgegevens: 2 keer nadenken!! 32

24 34

25 AANDACHTSPUNTEN Bewustmaking van personeel/leerlingen Paswoordbeleid: - Strikt persoonlijk = niet doorgeven - Degelijk = hoe langer hoe beter, niet gemakkelijk te raden - Wijzigen (vb. 1x/jaar) - Niet opschrijven - Niet automatisch opslaan - paswoorden voor toepassingen 36

26 AANDACHTSPUNTEN Waar worden de data bijgehouden? Communicatie en opslag in de cloud?! 37

27 o Amerikaanse cloud = Vlaamse data naar vreemde mogendheid!! 2 wijzigingen Foreign Intelligence Surveillance Act (FISA ACT): Patriot Act: terrorisme FISA Amendments Act: verzamelen buitenlandse inlichtingen! information with respect to a foreign-based political organization or foreign territory that relates to the conduct of the foreign affairs of the United States. ( 1801(e)) entiteit gevestigd is in de VS, een dochteronderneming of kantoor heeft in de VS of op andere wijze continu en systematisch zaken doet in de VS data van niet-amerikaanse personen verblijvend in het buitenland! clouddiensten bedoeld: remote computing services! screening kan op grote schaal (door nieuwe grote datacenters van de NSA) ongeacht contractuele bepalingen Oplossing: end-to-end encryptie en sleutel in eigen handen Meer op 38

28 informatieveiligheid BESLUIT Informatieveiligheid is een zaak van de hele school. Er kunnen stappen gezet worden Linken o o Vragen? toezichtcommissie{at}vlaanderen{dot}be 40