Europese privacywet: to do s en don ts z Informatiebeveiliging en Privacy (IBP) Anne Goris (VO-raad) Job Vos (Kennisnet) 29 maart 2018
Hallo allemaal, wat fijn dat u er bent 2
Hallo allemaal, wat fijn dat u er bent en wie ben jij? 1. Stel jezelf eens voor aan je buurman/buurvrouw. Maar wacht even 2. Niet zomaar voorstellen wie ben jij in de digitale wereld? 3. Toon je Facebook, Twitter, LinkedIn, Instagram 4. Laat je Whatsapp eens zien 5. En geef je buurman/buurvrouw je telefoon 6. En deel je Tinder je Secondlove 3
Op uw school wordt KlassCow gebruikt 5
Informatiebeveiliging is een proces voor het beschermen tegen risico s en bedreigingen met betrekking tot informatie en ict. Samengevoegd tot: IBP
Waar gaat privacy over? 7
Wie gaat er over IBP? Verantwoordelijke (verwerkingsverantwoordelijke) 8
Met wie werk je samen? Bewerker (verwerker) 9
Regel IBP! Het bestuur is verantwoordelijk om informatiebeveiliging en privacy (IBP) te regelen Privacy: garandeer de privacy van leerlingen, hun ouders én medewerkers Informatiebeveiliging: onderwijs en begeleiding moet altijd door kunnen gaan Kaders: Wbp, AVG, onderwijswetgeving ISO 27001 en 27002 voor beveiliging 10
Aanpak IBP: https://kn.nu/ibponderwijs 25 mei 2018: invoering AVG 3. communiceren 2. realiseren 1. organiseren
Stap 1: organiseer een beleid De bestuurder stelt een beleidsplan op met daarin afspraken: Uitgangspunten Duidelijke doelen Vastgelegde verantwoordelijkheden: wie gaat wat wanneer doen Rapportage-afspraken: verslag aan bestuurder Het beleidsplan is de kapstok om IBP te regelen: en dan aan de slag!
Stap 2: realiseren (neem maatregelen) Scholen hebben onder de AVG een documentatieplicht. Dus je moet vooral vastleggen hoe je zorgt voor privacy: Inventariseer wat de grootste risico s voor de school zijn in het algemeen (risico-inventarisatie) Zet op een rij welke persoonsgegevens in welke systemen worden verwerkt, in een dataregister Bepaal welke systemen een hoog risico* hebben Bepaal voor in ieder geval voor die systemen dat je juiste maatregelen zijn getroffen, en voer zo nodig een DPIA uit. *systemen die bijzondere categorieën van persoonsgegevens hebben of vallen onder stelselmatige en grootschalige monitoring 13
Stap 3: communiceren Betrek medewerkers: vertel wat informatiebeveiliging en privacy zijn: Voorbeeld presenstatie bewustwording Online training IBP voor medewerkers Betrek leerlingen: 21e eeuwse vaardigheden zoals digitale geletterdheid (basis ict-vaardigheden) Betrek en informeer de ouders en (G)MR: hoe vertel je het de ouders? 14
AVG: 25 mei 2018 Versterking en uitbreiding privacyrechten Meer bevoegdheden voor Europese privacytoezichthouders Meer verantwoordelijkheden voor organisaties 15
Do 1: 2. Grondslag 1. Doelbepaling en doelbinding 3. Dataminimalisatie 4. Transparantie (rechten Betrokkene) 5. Data-integriteit Vuistregels privacy 2.0
Bewuster omgaan met privacy Bewuster omgaan met persoonsgegevens: gestructureerd en stelselmatig (zoals privacy by design en by default) DO 2: zorg voor een IBP-beleid 17
Privacy: uitgaan van context AVG gaat uit van risicobenadering Context relevanter: weet dus wat je risico s zijn Do 3: voer een risico-inventarisatie en classificatie uit 18
Documentatieplicht Documentatieplicht: bewijslast en privacy-administratie Geen bewijs, dan geen toestemming DO 4: maak een dataregister (welke gegevens van welke personen zitten in welke systemen met welke doelen) 19
Veilig en verantwoord omgaan met data DO 5: bewustzijn creëren en DO 6: actief voorlichting geven Meer transparantie: uitleggen wat je waarom doet met persoonsgegevens 20
DO 7: Privacyconvenant 3.0 1 april 2018 ingangsdatum, contracten leverancier vanaf 1 mei 2018 vragen Digitale onderwijsmiddelen Rolverdeling: schoolbestuur aan het stuur Gebruik model verwerkersovereenkomst 3.0 verplicht Doeleinden van de verwerkingen Prviacy by design en by default: keten-id / ECK-iD (pseudoniem) Informatieverplichtingen 21
DO 8: meldplicht datalekken 22
DO 9: Functionaris voor gegevensbescherming Functie (aanwijzing door bestuurder), mag extern zijn Onafhankelijke interne toezichthouder Gevraagd en ongevraagd advies Betrokken bij risico-inventarisatie, dataregister, DPIA Gesprekspartner bevoegd gezag Werk slim, werk samen! Regel samen een FG, of doe dit via het samenwerkingsverband 23
Do 10: samen werken, samen slim! NB: werkgroepen IBP po en IBP vo gaan verwerkersovereenkomsten toetsen van (de grootste) leveranciers 24
Europese privacywet: to do s en don ts CASUS
Op uw school wordt KlassCow gebruikt 26
Melding van teamleider KlassCow: begeleidingstool huiswerk met toets/poll Docenten gebruiken KlassCow in de les Leerlingen maken zelf een account aan Naam, klas, niveau school e-mailadres, taal, dyslexie/dyscalculie Dagelijks gebruikt: iedere dag een toets of het huiswerk gemaakt is Vakken worden gecombineerd in de app Advies over huiswerk en leergedrag 27
KlassCow Leverancier is gevestigd in de Verenigde Staten Leverancier verklaart niets over Europese wet- en regelgeving App wordt al 1,5 jaar gebruikt, naar volle tevredenheid van docenten 28
Vragen! U wordt gebeld, wat doet u? Wie belt u? Is er een team/collega/deskundige die kan meedenken? Zijn er afspraken over dit soort processen? Hoe kom je er achter of er een overeenkomst met de KlassCow is afgesloten? 29
Is er een datalek? 30
Datalek: toelichting Beveiligingslek er is een dreiging, of tekortkoming in de beveiliging Beveiligingsincident Datalek Melden bij AP een inbreuk op de beveiliging persoonsgegevens: de beveiligingsmaatregelen die waren genomen, hebben niet gewerkt (er is sprake van misbruik zoals hacken, malware-besmetting, of een verloren usb-stick met persoonsgegevens). (aannemelijk dat er) gevolgen zijn voor persoonsgegevens: bij het beveiligingsincident zijn persoonsgegevens verloren gegaan, of een onrechtmatige verwerking van persoonsgegevens kan redelijkerwijs niet kan worden uitgesloten. Aanzienlijke kans op ernstige nadelige gevolgen voor betrokkenen, of gaat het om gevoelige of bijzondere persoonsgegevens: binnen 72 uur melden bij AP (CBP) Melden aan betrokkene Betrokkene informeren indien datalek waarschijnlijk leidt tot (de aanzienlijke kans op) ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkenen, tenzij er zwaarwegende redenen zijn om de melding aan betrokkenen achterwege te laten 31
Wat moet je nu gaan regelen? Procedure datalekken Centraal meldpunt voor incidenten? Team dat IBP regelt: ook voor datalekken? Instructies voor docenten: Als docenten een nieuw boek of nieuwe lesmethode willen aanschaffen dan weten ze bij wie ze moeten zijn en wie er moet tekenen Afspraken maken met je leveranciers? Kijk naar het privacyconvenant! 32
Sectorbrede afspraken over privacy 33
Privacyconvenant 3.0 (m.i.v. 1 april 2018) Digitale onderwijsmiddelen Uitbreiding naar mbo (gegevens 15% Nederlandse bevolking) Rolverdeling: schoolbestuur aan het stuur Gebruik model verwerkersovereenkomst verplicht Doeleinden van de verwerkingen Prviacy by design en by default: keten-id / ECK-iD (pseudoniem) Informatieverplichtingen 34
Model verwerkersovereenkomst 3.0 Afspraken over gebruik persoonsgegevens in contractvorm Comply or explian: advies is om niet af te wijken Vanaf 1 mei 2018 contracten aangepast aan versie 3.0 Nu tekenen, ingangsdatum 25 mei 2018 Versie 2.0? Vervang deze in 2018 door 3.0 Aansprakelijkheid: school kan boete of betaalde schade verhalen Bijlage 1: privacybijsluiter Bijlage 2: beveiligingsbijlage VERWERKERSOVEREENKOMST IS VERPLICHT! 35
Certificeringsschema biedt transparantie Een eenvoudige rapportage laat zien: - De informatiebeveiliging en privacy van de toepassing is recent en kritisch beoordeeld - Maatregelen die de onderwijsketen ziet als best practices zijn toegepast Deze rapportage geeft invulling aan de documentatieplicht van genomen maatregelen ter bescherming van de privacy zoals bedoeld in de AVG. Vertrouwelijkheid Maatregelen: Integriteit Maatregelen: Beschikbaarheid Maatregelen: Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean commodo Lorem ipsum dolor sit amet, consectetuer adipiscin Lorem ipsum adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean ligula 36
Samen werken, samen slim! Werkgroepen IBP po en IBP vo gaan verwerkersovereenkomsten toetsen van (de grootste) leveranciers 37
Bedankt voor uw aandacht! Job Vos LinkedIN jobavos Twitter @jobavos Vragen over IBP? Mail naar de helpdesk IBP: ibp@kennisnet.nl https://kn.nu/ibponderwijs