Communiceren en bewustwording Jack Haagen, Wim Arendse en Elly Dingemanse
Goed op weg IBP beleid is vastgesteld. De kapstok is gereed. Afspraken en procedures zijn vastgelegd in een gedragscode. Maar hoe pak je de communicatie op? 2
Bewustwording Beleid en afspraken zijn niet voldoende. De mens is vaak de zwakste schakel bij het ontstaan van beveiligingsincidenten en datalekken. Maak medewerkers, ouders en leerlingen bewust van de risico s bij het omgaan met persoonsgegevens en het gebruik van ict. 3
Weten je medewerkers inmiddels Wat de AVG betekent voor het dagelijkse werk? Waarom IBP belangrijk is? Wat een datalek is en hoe het kan ontstaan? Wat de afspraken zijn over sociale media? Waar ze verantwoord met persoonsgegevens kunnen werken (in de cloud)? Wanneer en Welke persoonsgegevens ze met Wie mogen uitwisselen? Waarom je beter kunt delen dan mailen? Welke voorwaarden er gelden gebruik van beeldmateriaal? Wie je binnen de organisatie om advies kunt vragen en wie er verantwoordelijk is voor IBP? Staat toch allemaal in de gedragscode Bewustwording per onderwerp 4
Versnellingsvraag 44 Drie schoolbesturen Dynamiek, Prisma en SPOV (samen 51 locaties) gaan samenwerken op beleidsmatige en inhoudelijke thema s. Waaronder: Informatiebeveiliging en privacy (IBP). Vanuit een gezamenlijk geformuleerd IBP-beleid is er vraag naar producten om te werken aan bewustwording. Bewustwording van de risico s rondom informatiebeveiliging en privacy moet zorgen voor een gedragsverandering. 5
Uitkomsten versnellingsvraag 44 Met de uitkomsten van Versnellingsvraag 44 presenteren we een totaal pakket voor bewustwording over IBP in vorm van nieuwsbrieven, filmpjes en een flyer. 6
Video s bij de IBP-berichten https://www.youtube.com/playlist?list=plqi9hxccok1ryafdruxffp4gxbn_grhlf 7
Privacy gaat iedereen aan Naast bewustwording bij medewerkers moeten we ook de ouders en de leerlingen niet vergeten 8
Gewoon beginnen of toch niet Is er een manier om bewustwording goed aan te pakken of is het een kwestie van gewoon beginnen? Gelukkig hoeft het maar 1 keer toch? Of is bewustwording iets wat regelmatig aandacht vraagt? Wat kunnen we leren uit ervaringen van anderen? Bijvoorbeeld van de winnaar van de Awareness award van het MBO in 2017. 9
Kennismaking Jack Haagen Projectleider informatiemanagement Wim Arendse Adviseur informatiemanagement 10
Rotterdam - 2016 - Aan de slag Nog 2 jaar tot de AVG van kracht wordt Een plan - waar beginnen? - wat wel, wat niet? - wat nu, wat later? Het verhaal van Zadkine Wat is Zadkine? - de aanpak - waarom - de resultaten - lessons learned 11
Wat is Zadkine MBO - VAVO - Educatie (Taal & Inburgering) 18000 studenten 30 locaties in en rondom Rotterdam 1800 medewerkers 10 MBO scholen Techniekcollege (samen met Albeda) VAVO Rijnmond (samen met Albeda) 60 onderwijsteams Centrale Service Dienst: CvB, HRM, FP&C, Onderwijsplein, Audit & Control, M&C, F&H, AO en IM/IT. 6000 PC's en 500 laptops en 750 telefoons 500 Applicaties 12
Het plan - aanleiding o o o o o Heel veel persoonsgegevens en privacygevoelige info Bedreiging en gevolgschade steeds complexer Impact groter door toenemende publiciteit Nieuwe privacy-wetgeving (AVG) Meldplicht datalekken 13
Het plan - doel Praktisch gezien Aantoonbaar alles doen om privacy van studenten en medewerkers te beschermen Datalekken voorkomen Als het toch mis gaat in staat zijn om snel en goed af te handelen (aantoonbaar) Voorjaar 2016 IBP Beleidsnotitie vastgesteld 14
Het plan - focus Prioriteit voor: Awareness creëren Verbeteringen in techniek Later: Dataregisters Verwerkersovereenkomsten Rechten betrokkenen Privacyverklaring/Schoolgids/Reglementen Governance PDCA Project Zadkine Alert! Informatieveiligheid en privacy 15
Het plan belang awareness Technische verbeteringen: Wachtwoordbeleid en implementatie ervan Schijven encrypten (bitlocker) In techniek kun je veel bedenken en realiseren net als rondom beleid en procedures, maar Het grootste veiligheidsrisico zit tussen toetsenbord en bureaustoel 16
Het plan - awareness Meldingen systeem inrichten Enquête (meting) Media en poster campagne Awareness sessies Enquête (meting) 17
Awareness Cyber security Informatiebeveiliging en Privacy (IBP) Informatieveiligheid en privacy IVP Beveiliging wordt voor je geregeld. Veiligheid creëer je met z n allen. Instructies en sancties Angst en bestraffen Positieve insteek, met z n allen werken aan verbeteringen. Dus niet op basis van angst en bestraffen. 18
Awareness We hebben een schat aan informatie 19
Awareness Logo voor herkenbaarheid 4 thema s (picto s voor herkenbaarheid) Toegang tot PC s Delen van informatie Mobiel werken Phishing mails 20
Awareness Anders dan anders Route = Aandacht Herkenning Nieuwsgierigheid Erkenning Kennis Gedrag 21
Awareness - gedaan 22
Awareness - gedaan Nieuwsbrief artikelen over: Privacy Posters Intranet site en website Bitlocker (versleuteling) De tissuebox Stickers thuis Awareness sessies Invullen enquêtes Wachtwoordbeleid E-mail berichten over: Incident meldingen systeem Bitlocker Enquêtes Intranet site: Achtergrondinfo Q&A Documenten 23
Awareness - gedaan Prikbordberichten over: "Wat doe jij met je klompje goud? "Geef jij op vakantie zomaar een kopie van je ID? "Waarom zou ik een privacy incident melden? "Informatieveiligheid en privacy, al die posters. Wat nu? "Geef jij (een kopie van) je paspoort weg? "Doe jij je USB-stick op slot? "Schermvergrendeling "Met wie deel jij je inloggegevens? "Kan ik deze e-mail openen? "Help!! (over wat je wel en niet kunt vertellen door de telefoon) "Wachtwoordstress (sterke en zwakke wachtwoorden) "Oktober is de maand van Informatieveiligheid en privacy 24
Awareness - resultaat o o Direct na eerste posters incidentmeldingen Veel awareness sessies leverden direct meldingen op o In totaal 64 incidentmeldingen van okt. 2016 t/m juli 2017 o o o Twee gemeld bij Autoriteit Persoonsgegevens (datalekken) Bij één ervan betrokkenen geïnformeerd Voorbeeld - verloren of gestolen laptops en telefoons - phishing - persoonsgegevens bij printer/copier - dossiers in verhuisdozen 25
Awareness - resultaat o o o o o Bekendheid met het onderwerp, communicatie effectiever De informatie vanuit andere organisaties helpt Privacy berichten in de media ook Men signaleert zelf knelpunten, dilemma s en vraagstukken Men weet het IVP-team te vinden 26
Awareness - anders Wat zouden we mogelijk anders doen Presentieregistratie bij awareness sessies voor betere sturing en motiveren Sessies en meten heeft veel inspanning gekost, kan wellicht effectiever door combinatie met E-Learning Mogelijk richting een verplicht karakter 27
Awareness - toekomst Awareness is nooit klaar 28
Incidenten/casussen als eye-opener Vertrouwelijke informatie op papier gevonden bij de kopieermachine. Telefoon gestolen, zonder schermbeveiliging en pincode met toegang tot de e-mail box van Zadkine. Dozen met studentendossiers toegankelijk voor onbevoegden. Phishing mail waarbij op de link geklikt is en persoonlijke gegevens zijn ingevuld, o.a. wachtwoord. 29
Phishing email 30
IVP huidige acties o Privacy statement o Reglementen (social media/ netwerk / wachtwoordgebruik enz) o Schoolgids o Dataregisters o Vraagstukken Verwerkersovereenkomsten Intake Delen informatie Diversen o Meldingen (afhandelen, optimaliseren, analyseren) o IVP Governance organisatie Verschuiving van incidenten naar vragen! 31
IVP huidige acties 1. Wettelijke verplichting 2. Uitvoering overeenkomst 3. Vitaal belang 4. Algemeen belang/ openbaar gezag 5. Gerechtvaardigd belang 6. Toestemming betrokkene 32
7 GOUDEN REGELS 1. Vraag om toestemming 2. Deel alleen met personen die betrokken zijn 3. Minimaliseer de informatie die je deelt met externe partners 4. Verzamel geen gegevens buiten het SIS 5. Let in het bijzonder op bijzondere persoonsgegevens 6. Vragen staat toch vrij is niet altijd het geval 7. Sommige zorgmedewerkers delen geen informatie 33
Ervaringen - aanbevelingen o Zorg voor meldpunt voor start awareness campagne o Registreer meldingen én neem actie!! o Zoek collega s / teams op - ga in gesprek! o Betrek geïnteresseerde collega s de beste ambassadeurs o Pas planning aan n.a.v. vragen / issues o Zorg dat je gevonden kan worden o Draagvlak bij bestuur / directie is noodzakelijk o Maar. medewerking collega s werkvloer makkelijker te bereiken 34
Met dank voor uw aandacht Aanpak IBP https://kn.nu/ibponderwijs ibp@kennisnet.nl