Informatiebeveiliging en privacy. In kleine stapjes zonder grote woorden 1
Programma 1. Waarom privacy er toe doet 2. Waar gaat privacy over 3. Bewust 6x Zorgvuldiger 4. Waar zitten de risico s 5. Vragen 2
Facebook weet bij wie je gisteren op bezoek ging Apple hield bij hoe lang je er bleef Samsung hoorde wat je er zei En Google wist al dat je het van plan was Privacy niet belangrijk vinden omdat je niets te verbergen hebt, is hetzelfde als niet geven om vrijheid van meningsuiting omdat je niets te zeggen hebt. Edward Snowden 4
Wat is privacy? Eerbiediging van de persoonlijke levenssfeer Bescherming van persoonsgegevens
Privacy 400 voor Chr.: Hypocrates Al hetgeen mij ter kennis komt in de uitoefening van mijn beroep of in het dagelijks verkeer met mensen en dat niet behoort te worden rondverteld, zal ik geheim houden en niemand openbaren. Al wat ik als hulpverlener zal zien of horen, ook van het privé-leven van de patiënten zal ik voor mij houden, in de overtuiging dat zulke dingen geheim moeten blijven. In artikel 17 van het VN-verdrag voor Burgerlijke en Politieke rechten uit 1966 staat: 1.Niemand mag worden onderworpen aan willekeurige of onwettige inmenging in zijn privéleven, zijn gezinsleven, zijn huis en zijn briefwisseling, noch aan onwettige aantasting van zijn eer en goede naam. Ook artikel 8 van het Europees Verdrag voor de Rechten van de Mens garandeert deze rechten. Mei 2018 Nieuwe Europese wetgeving met betrekking tot privacy. De Algemene Verordening Gegevensbescherming (AVG). 6
Persoonsgegevens Alle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Leerlinggegevens zijn dus persoonsgegevens Gewone persoonsgegevens: Directe: naam; adres; woonplaats; geboortedatum; telefoonnummer; pasfoto; geslacht; e-mailadres. Indirecte: gegevens die niet direct over de persoon gaan, zoals ip-adres; WOZ-waarde, kentekennummer, Bijzondere persoonsgegevens o.a.: BSN-nummer; Godsdienst of levensovertuiging; Ras; Politieke voorkeur; Gezondheid. 8
Het verhaal van Sanne 9
Daarom is privacy belangrijk Het recht op privacy is een fundamenteel mensenrecht en grondrecht, net zoals het recht op leven, het verbod op discriminatie, recht op een eerlijke proces of verbod van slavernij. het staat in de wet, dus het moet compliance: accountants controleert steeds meer op naleving van de wet imago: datalekken, schade, risico s Financiële gevolgen: hoge boetes, ook voor scholen! 10
Privacy gaat niet alleen over gegevens 11
Privacy staat ook niet alleen Privacy is integraal onderdeel van informatiebeveiliging Informatiebeveiliging beschermt tegen risico s en bedreigingen op het gebied van informatie en ict. Informatiebeveiliging bestaat uit drie aspecten: 1. Beschikbaarheid; informatie en aanverwante bedrijfsmiddelen zijn toegankelijk wanneer nodig; 2. Integriteit; informatie en verwerkingsmethoden bevatten zo min mogelijk fouten; 3. Vertrouwelijkheid; informatie is alleen toegankelijk voor diegenen die daartoe bevoegd zijn. 12
Privacy kan niet zonder Vertrouwelijkheid Beschikbaarheid Integriteit Informatie beveiliging 13
Informatiebeveiliging en privacy op school? 14
Bewust omgaan met IBP. Alleen dan kunnen we risico s beperken en weerstand bieden aan bedreigingen zodat: Het onderwijs altijd door kan gaan. De privacy van leerlingen en medewerkers beschermd zijn. 15
5 vuistregels voor het werken met persoonsgegevens 2. Grondslag (Wettelijke) 1. Doelbepaling en doelbinding 3. Dataminimalisatie (Verwerken en verwijderen) 4. Transparantie (rechten betrokkene) 5. Data-integriteit (juist en actueel) Daarnaast wil de wetgever dat persoonsgegevens adequaat worden beveiligd volgens algemeen en breed geaccepteerde beveiligingsnormen.
Overal en altijd online zijn is heel normaal Het delen van je locatie, status, foto of je gemoedstoestand is met één druk op de knop gedeeld met de hele wereld. Gratis app in ruil voor je gegevens of korting op je verzekering Er zijn veel kapers op het web.. 17
Van gebruik naar misbruik Bewust of onbewust worden veel persoonsgegevens verzameld. Verzamelde persoonsgegevens zijn niet van een organisatie of bedrijf die deze ontvangt, maar deze worden in bruikleen gegeven Hoe meer informatie er gedeeld wordt, hoe groter de kans dat gegevens kunnen worden misbruikt. 18
Persoonsgegevens delen Als je persoonsgegevens deelt, dan moet je er op kunnen vertrouwen dat de ontvanger zorgvuldig met jouw gegevens omgaat. Dit vraagt van medewerkers, docenten en eigenlijk van iedere burger, een aantal basisvaardigheden als het gaat om internet en privacy. Dit vatten we samen als Bewust 6 x Zorgvuldig 19
Basisvaardigheden (onderdeel van ict bekwaamheid) Bewust 6 x zorgvuldig Wees je bewust dat je werkt met persoonsgegevens die van leerlingen, medewerkers, of van jezelf zijn. Het respecteren van privacy is een mensenrecht, en dat vraagt om een zorgvuldige omgang met (persoons)gegevens. 20
6 x zorgvuldig. Gebruik zorgvuldig: vergrendel je scherm Deel zorgvuldig: eerst denken dan delen Surf zorgvuldig: klik niet klakkeloos Beveilig zorgvuldig: wachtwoord is persoonlijk Verbind zorgvuldig: check veilige verbinding Sla zorgvuldig op: encryptie 21
IBP goed regelen! Het schoolbestuur is eindverantwoordelijk voor informatiebeveiliging en privacy Informatiebeveiliging: onderwijs moet altijd door kunnen gaan Privacy: garandeer de privacy van leerlingen en medewerkers De aanpak IBP helpt schoolbesturen IBP goed te regelen. 22
Aanpak IBP: https://kn.nu/ibponderwijs 25 mei 2018: invoering AVG 3. communiceren 2. realiseren 1. organiseren
Wat er mis kan gaan Belangrijkste dreigingen voor primair en voortgezet onderwijs: - Datalekken - Verstoring van het onderwijs door niet beschikbaar zijn van ICT - Aangepaste leerresultaten Ontwikkelingen: - Denial-of-service aanvallen (DDos) nemen toe - Ransomware neemt toe - Er zijn meer kwetsbaarheden in software - Bewustzijn van top tot werkvloer blijft relatief laag - Privacy wordt nog belangrijker (AVG) Risico s vragen om maatregelen 24
De maatregelen staan in de aanpak 25
Organiseren: uitleg op wikiwijs Aanpak IBP: https://kn.nu/ibponderwijs
27
Tot zo ver vragen? 28
Job Vos Jurist kennisnet/ adviseur privacy Elly Dingemanse Adviseur IBP Vragen via: ibp@kennisnet.nl