Privacy: bestuur aan zet?!

Transcriptie

1 Erik van Roekel Privacy: bestuur aan zet?! Maurits Huigsloot (PO-Raad) en Job Vos (adviseur privacy Kennisnet)

2 Inleiding Maurits Huigsloot 2

3 Er was eens Hullie at Dutch Wikipedia 3

4

5 5

6 Facebook hield bij dat Roodkapje bij oma op bezoek ging Apple hield bij hoe lang Roodkapje er bleef Samsung hoorde precies wat oma zei En Google wist al lang dat Roodkapje van plan was op bezoek te gaan 6

7 Privacy niet belangrijk vinden omdat je niets te verbergen hebt, is hetzelfde als niet geven om vrijheid van meningsuiting omdat je niets te zeggen hebt. Edward Snowden 7

8 Wat is privacy? Eerbiediging van de persoonlijke levenssfeer Bescherming van persoonsgegevens

9 Informatiebeveiliging is een proces voor het beschermen tegen risico s en bedreigingen met betrekking tot informatie en ict.

10 Waarom is privacy zo belangrijk? Het recht op privacy is een fundamenteel mensenrecht en grondrecht, net zoals het recht op leven, het verbod op discriminatie, recht op een eerlijke proces of verbod van slavernij. het staat in de wet, dus het moet (2018: AVG) compliance: accountantscontrole imago: datalekken, schade, risico s financieel: hoge boetes, ook voor scholen! En 10

11

12 En privacy op school? 12

13

14 Privacy gaat niet alleen over gegevens 14

15 Uitdagingen voor scholen Bron: nu.nl Bron: AD

16 Waar moet je beginnen? Wees geduldig Stap voor stap Begin gewoon Het hoeft niet in 1 x af! 16

17 Dus regel het! Schoolbestuur is verantwoordelijk om informatiebeveiliging en privacy (IBP) te regelen Privacy: garandeer de privacy van leerlingen, hun ouders én medewerkers Informatiebeveiliging: onderwijs moet altijd door kunnen gaan 17

18 Aanpak IBP: 25 mei 2018: invoering AVG 3. communiceren 2. realiseren 1. organiseren

19 Organiseren: uitleg op wikiwijs Aanpak IBP:

20 Realiseren: uitleg op wikiwijs Aanpak IBP:

21 Realiseren: risico-inventarisatie + jaarplan Elk jaar komen de volgende vragen terug: Wat heb je allemaal (MAPGOOD)? Wat kan er allemaal gebeuren? Wat heeft de grootste kans/impact? Welke maatregelen kan je nemen? Risico-inventarisatie: RI&E voor IBP Na de risico-inventarisatie: selecteer de maatregelen die dit jaar de focus verdienen plan de maatregelen in voer deze maatregelen uit test/toets of deze maatregelen ook werken PDCA: Plan-Do-Check-Act 21

22 Realiseren: maatregelen - Afspraken met leveranciers: - Privacyconvenant - Model bewerkersovereenkomst - Basisregels privacy: bewustwording - Privacyreglement - Toestemming gebruik foto s - Sociale media en internet - Uitwisseling gegevens (OKR) - Procedure datalekken - Etc. 22

23 Communiceren: uitleg op wikiwijs Aanpak IBP:

24 Communiceren Betrek en informeer de ouders en (G)MR: hoe vertel je het de ouders? Betrek leerlingen: 21e eeuwse vaardigheden zoals digitale geletterdheid (basis ict-vaardigheden) Betrek medewerkers: bewustwording en training 24

25 Zes keer zorgvuldig Gebruik zorgvuldig: vergrendel je scherm Deel zorgvuldig: eerst denken dan delen (en dan niet gewoon per mail) Surf zorgvuldig: klik niet klakkeloos Beveilig zorgvuldig: wachtwoord is persoonlijk Verbind zorgvuldig: check veilige verbinding Sla zorgvuldig op: encryptie en geen USB-sticks 25

26 Aanpak IBP: wat komt er nog Aanpak IBP: Training IBP voor medewerkers Dataregister (waar je vroeg aan de AP moest melden, en scholen waren vrijgesteld, moet je dat nu zelf registreren) Acceptable Use Policy Gedragscode internet/sociale media Wachtwoordbeleid Aandachtspunten AVG Checklist bewerkersovereenkomst (model 2.0 wordt nu gebruikt) PIA Bewaartermijnen FG: wat doet ie en hoe regel je dat? 26

27 Dit lijkt wel allemaal erg simpel?! 1. organiseren: IBP is belangrijk 2. realiseren: Zo pakken we het aan: stelselmatig aan de slag en continu verbeteren 3. communceren: We hebben het erover 27

28 Maar dat is het ook! Want dit gebeurt er onder de motorkap:

29 29

30 Bedankt voor uw aandacht! Maurits Huigsloot (PO-Raad) Job Vos (Kennisnet) Vragen over IBP? Mail naar