Handboek IBP. Overzicht-projectplan privacy SOML. Oktober Versienummer: 0.2

Transcriptie

1 Handboek IBP Overzicht-projectplan privacy SOML Oktober 2017 Versienummer: 0.2

2 Inleiding In het verleden zijn er Nederlandse privacywetten (WBP) ingevoerd vanaf In 2016 kwam de Meldplicht Datalekken daarbij, een Nederlandse wet die extra aandacht kreeg vanwege de mogelijke boetes van ruim 8 ton per bestuurder. In mei 2018 zal de AVG actief worden. Dit is de eerste privacywet op Europees niveau (waarbij de boetes zelfs kunnen oplopen tot 20 miljoen euro per incident). De AVG (Algemene Verordening Gegevensbescherming) kent onderstaande 7 aandachtspunten voor het onderwijs. Hoewel Informatiemanagement een losstaand (niet primair ICT) vakgebied is worden de Verantwoordelijke Meldplicht Datalekken en de Functionaris Gegevensbescherming (FG, ook PO (Privacy Officer) genoemd) vaak dezelfde binnen een organisatie bij afdeling ICT. De in de AVG genoemde risicoanalyse valt uiteen in 2 delen. Bij ieder project waarbij persoonsgegevens een belangrijke rol spelen is een zogenaamde PIA (Privacy Impact Analyse) verplicht. Een uitgebreide initiële risicoanalyse (nulmeting) kan plaatsvinden via een informatiebeveiligingsonderzoek. Deze conform ISO27000 doen is meer dan handig, aangezien deze best practice algemeen bekend en erkend is. 1. Aandachtspunten AVG In 2018 voldoen aan Europese privacyregels In 2018 moeten alle Nederlandse scholen voldoen aan de AGV. Deze wet vervangt namelijk de nationale privacywetgeving van alle EU-landen. Gebruik leerlinggegevens onderbouwen Scholen worden verplicht te onderbouwen hoe en waarom ze persoonsgegevens willen verzamelen. Ook is het niet meer toegestaan meer gegevens te vragen dan strikt noodzakelijk. Toestemming gebruik leerlinggegevens Voor het gebruik van gegevens (denk onder meer aan foto s) is aantoonbaar en expliciet toestemming van ouders en leerlingen nodig: bijvoorbeeld met een handtekening. Leerlingen jonger dan 16 toestemming Vanaf 2018 hebben leerlingen aantoonbaar toestemming van hun ouders nodig om gebruik te maken van digitale (sociale) media. Dat heeft gevolgen voor het gemak waarmee gebruik kan worden gemaakt van sociale media en digitale apps. Risicoanalyse verplicht Het wordt verplicht om risicoanalyses (PIA en Informatiebeveiligingsplan) uit te voeren. Wat zijn bijvoorbeeld de grootste risico s bij gebruik van het leerlingadministratiesysteem? En met welke maatregelen kunnen risico s worden beperkt? Functionaris Gegevensbescherming Scholen die leerlinggegevens vastleggen, zijn straks verplicht om een Functionaris Gegevensbescherming (FG) aan te stellen. De FG houdt toezicht op de verwerking van persoonsgegevens en heeft een wettelijk beschermde taak. Boete Als school heeft u er belang bij uw privacyzaken goed te regelen. Is dat in 2018 niet het geval of houdt u zich niet aan de regels? Dan riskeert uw school een boete van maximaal 20 miljoen euro.

3 2. Noodzakelijke stappen Controle compliancy WBP, Meldplicht Datalekken en Gedragscode ICT Vanaf 1995 zijn er privacywetten ingevoerd in Nederland. In de aanloop naar de AVG van de EU in 2018 is het goed de huidige regelingen en procedures nog eens onder de loep te nemen. Dit kan resulteren in het aanscherpen van de projectonderdelen. Overweeg bijwerken bewerkersovereenkomsten De huidig gebruikte bewerkersovereenkomsten zijn met enige haast ingevoerd en zijn daarom mogelijk aan een update toe. Wellicht kan het PrivacyConvenant Onderwijs en de bijbehorende modelbewerkersovereenkomst PO/VO hierbij helpen. Wijs een FG/PO aan en implementeer verantwoordelijkheden Voorstel is om de Manager ICT, Leon van Lare, formeel aan te wijzen en te registreren als FG. Hij is ook de Verantwoordelijke Meldplicht Datalekken. Aangezien deze RI (RegisterInformaticus) is mag gesteld worden dat deze de algemene kennis en de vaardigheid heeft om deze verantwoordelijkheid te dragen. Ook heeft hij een cursus Privacy succesvol doorlopen bij de firma ZBC. Stel privacybeleid op via een privacyreglement Scholen moeten bijvoorbeeld weten welke gegevens ze wel en welke niet mogen hanteren. En welke uitzonderingen er zijn. Ook moeten ze weten dat er in een aantal gevallen toestemming gevraagd dient te worden. Het voorstel is een privacyreglement op te stellen en deze te plaatsen in het publieke deel van de SOML-website (en de oude privacycodes uit het intranet te verwijderen). Verder zal er een privacyverklaring aan de website toegevoegd worden. Hiervoor bestaan diverse goede online generatoren. Communicatieplan gebruik persoonsgegevens en regelingen toestemming Het privacybeleid dient te worden uitgedragen naar de scholen en de ouders. Dit kan deels door op de website te verwijzen naar de schoolgids. De betreffende aanpassingen dienen echter ook in een brief aan de ouders kenbaar gemaakt te worden. Ook dienen de ouders én leerlingen voor akkoord de betreffende brief te ondertekenen. Het bestuur van SOML geeft aan voor dit specifieke subonderdeel eerst met de VO-raad en de bestuurders van het Limburgs onderwijs te willen overleggen. Overwogen kan worden om de privacyregels onder de aandacht te houden via een softwarepakket dat zichtbaar is op de werkbalk. Voorstel is om dit niet te doen. Het gaat hierbij altijd om een Windows-programma en door het gebruik van Apple-devices en omdat SOML zich richting BYOD gaat ontwikkelen zal deze aanpak zeer mogelijk onvoldoende impact hebben. Het uitdragen van het privacybeleid kan door een module via HEYY aan te bieden. Te overwegen is deze voor leerlingadministraties en teamleiders verplicht te stellen. Stel beleid op t.a.v. een PIA op en implementeer deze Een PIA is verplicht bij projecten waarbij persoonsgegevens een belangrijke rol spelen. Een voorbeeld kan zijn een nieuwe Bardo of Magister. Voorstel is om een PIA te laten doen door de FG, mits de impact op de privacy gering is. Hiervoor zijn diverse goede stappenplannen aanwezig. Is de impact echter hoog, dan dient de projectleider een externe partij te zoeken voor een PIA. Stel een informatiebeveiligingsplan op Scholen dienen aantoonbaar hun Informatiebeveiliging op orde te hebben. Voorstel is een Informatiebeviligingsplan op te laten stellen door de FG, waarbij de 3 ICT Consulenten de projectleiders (o.a. risicoanalyses) op de werkvloer zijn. Door ISO27000 als best practice te hanteren is er borging van kwaliteit. Door de opzet cyclisch in te richten ontstaat een ICTkwaliteitssysteem. De belangrijkste leverancier voor SOML op het gebied van ICT is IT- Workz. Deze is na de in 2013 doorlopen aanbestedingsprocedure ISO27000 gecertificeerd.

4 3. Stappenplan 1. Controle compliancy WBP, Meldplicht Datalekken en Gedragscode ICT 2. Overweeg bijwerken bewerkersovereenkomsten 3. Wijs een FG/PO aan en implementeer verantwoordelijkheden 4. Stel privacybeleid op via een privacyreglement 5. Communicatieplan gebruik persoonsgegevens en regelingen toestemming 6. Stel beleid op t.a.v. een PIA op en implementeer deze 7. Stel een informatiebeveiligingsplan op 4. Planning De AVG gaat in per mei Mogelijk dat het Informatiebeveiligingsplan dan nog niet helemaal gereed is. Maar wel grotendeels. Dit zal volstaan om aan te tonen dat de informatiebeveiliging op orde is. 1. Controle compliancy WBP, Meldplicht Datalekken en Gedragscode ICT Uitvoering door de PO gedurende 2017 en begin Gereed uiterlijk mei Accordering en besluitvorming Q Overweeg bijwerken bewerkersovereenkomsten Uitvoering door de PO gedurende 2017 en Hierbij geen haast. 3. Wijs een FG/PO aan en implementeer verantwoordelijkheden Het bestuur wijst dhr. van Lare aan als FG/PO. Hij is ook verantwoordelijk Meldplicht datalekken. Voor de verantwoordelijkheden en de implementatie hiervan zal de PO eind 2017 een voorstel doen aan het CvB. 4. Stel privacybeleid op via een privacyreglement Uitvoering door de PO gedurende Q3/Q Na ccordering door het DB is voor dit onderdeel instemming noodzakelijk via de GMR. 5. Communicatieplan gebruik persoonsgegevens en regelingen toestemming Het bestuur overlegt eerst extern over de (on)uitvoerbaarheid van een aantal onderdelen van de nieuwe privacywet. Om de bewustwording over privacy te vergroten zijn reeds sessies via Heyy gepland. Presentatie door de PO. Over de keuze of een software-pakket in te zetten zal het bestuur in Q2/Q een besluit nemen. 6. Stel beleid op t.a.v. een PIA op en implementeer deze Uitvoering door de PO gedurende Q zal de PO een voorstel doen aan het bestuur. Gereed uiterlijk mei Stel een informatiebeveiligingsplan op Dit is een aanzienlijk projectonderdeel dat geleid zal worden door de PO / Manager ICT. Voor de risico-analyse zullen de ICT Consulenten projectleider zijn. In Q2 zullen een aantal informatie-sessies voor hen geregeld worden door de PO (die ook een cursus IBP/ISO27000 heeft gevolgd). In Q3/Q wordt de risico-analyse uitgevoerd. In Q1/Q zal de uitwerking van het informatiebeveiligingsplan volgen. Rapportage en aanbevelingen worden aangeboden aan het CvB van SOML. Afhankelijk van de strekking van de adviezen wordt dan overlegd over de besluitvorming.

5 5. Kosten en risico s Dhr. van Lare heeft reeds een cursus Privacy (en eerder een cursus InformatieBeveiliging) doorlopen bij de firma ZBC. Voor het grootste deel gaan de overige kosten zitten in de tijd die de diverse personeelsleden dienen te besteden. Ook zal een externe PIA geld kosten (afhankelijk van de grootte van de klus). Verder het voorstel om dhr. van Lare bij de NGFG (Nederlandse Genootschap Functionarissen Gegevensbescherming) aan te laten sluiten. Via deze beroepsgroep is kennis (vraagstukken, ontwikkelingen, enz.) op te halen. De grootste risico s worden gevormd door de benoemde boetes en eventuele reputatieschade. Het grootste risico in de operatie loopt SOML doordat collega s uit onwetendheid tegen een privacywet kunnen verstoten. Via bovengenoemde plannen is dit deels te ondervangen. Ook is het aan te bevelen om de scholen zelf (schoolleiding) deelverantwoordelijke te laten worden. 6. Bronnen