Informatie beveiliging en privacy (IBP)

Vanuit het IBP-beleid zijn er een aantal onderwerpen die we op basis van de wetgeving op orde moeten hebben. Vanaf 25 mei 2018 wordt de huidige Wet bescherming persoonsgegevens vervangen door de Algemene Verordening Gegevensbescherming (AVG). De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Model Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens, en om die maatregelen aan te tonen. Deze bijlage geeft een beknopte beschrijving en opsomming van die maatregelen.  

Classificeren
Elk proces, elk systeem en alle gegevens zijn in bepaalde mate belangrijk. Maar hoe belangrijk, hoe essentieel zijn ze? En welke gegevens gebruiken we eigenlijk in welke systemen? Tot welke hoogte moet de informatie beveiligd worden? Dit ligt aan: Beschikbaarheid, Integriteit en Vertrouwelijkheid. De website van OnderwijsArena wordt zowel op het gebied van beschikbaarheid, integriteit als vertrouwelijkheid geclassificeerd in de categorie midden.
Dit betekent:
1. Beschikbaarheid is belangrijk. Algeheel verlies of niet beschikbaar zijn van deze informatie gedurende een dag brengt merkbare schade toe aan de belangen van de instelling, haar medewerkers of haar studenten of klanten.  

2. Integriteit is beschermd. Blijvende juistheid van informatie moet gewaarborgd zijn. Sommige toleranties zijn toelaatbaar. Juistheid van informatie is belangrijk, maar niet kritisch. Het is niet noodzakelijk dat correctheid onbetwistbaar aangetoond kan worden. Indien informatie niet correct is kan de organisatie substantiële schade lijden.  

3. Informatie is vertrouwelijk. De organisatie, instelling of betrokkene kan substantiële schade lijden indien informatie toegankelijk is voor ongeautoriseerde personen. Informatie mag alleen toegankelijk zijn voor personen die hier vanuit hun functie toegang toe moeten hebben (need-to-know basis). Hieronder vallen onder andere persoonsgegevens.

Beschrijving in welke mate aan de hieronder genoemde minimale beveiligingsmaatregelen in het kader van artikel 32 AVG wordt voldaan.
- Verwerker heeft een InformatieBeleidsPlan waarin is vastgelegd welke medewerkers (rol en naam) toegang hebben tot welke gegevens en waarom.
- Verwerker maakt voor toegang tot de diensten gebruik van het Microsoft Azure Platform: https://azure.microsoft.com/nl-nl/support/trust-center/. Hierdoor worden beschikbaarheid, integriteit en vertrouwelijkheid afdoende gewaarborgd. https://azure.microsoft.com/nl-nl/support/legal/sla/ De wachtwoorden van gebruikers worden versleuteld opgeslagen in de SQL database.
Beveiligingen:
• Het datacenter laat alleen mensen toe die door de webhoster toegang hebben tot de faciliteiten.
• Er is sprake van een “authorized access list”.
• OnderwijsArena platform is toegankelijk middels een encrypted HTTPS verbinding. Regular HTTP requests worden automatisch geredirect naar HTTPS.
• De web hosting provider staff krijgen toegang tot de hosting server middels encrypted SSH and HTTPS verbindingen.
Beveiligingsincidenten en/of datalekken: In geval van een (vermoeden van) beveiligingsincident en/of datalek, kan Onderwijsinstelling contact opnemen met: info@OnderwijsArena.nl

OnderwijsArena hanteert voor VO-content de volgende procedure:  

A de stappen
1. Ontdekken
De Ontdekker merkt een beveiligingsincident op. Via eigen waarneming of via waarneming van een derde. De Ontdekker verzamelt zoveel mogelijk informatie over het beveiligingsincident en meldt het bij het meldpunt via info@OnderwijsArena.nl
2. Inventariseren
Het Meldpunt bepaalt dan of er voldoende informatie omtrent het beveiligingsincident bekend is. Zo niet, dan zet hij aanvullende vragen uit bij de Ontdekker en/of de Technicus. De volgende informatie wordt daarna vastgelegd:
● Samenvatting van het beveiligingsincident, wat is er met de gegevens gebeurd, wat voor gegevens zijn het (bijzondere gegevens of van gevoelige aard)
● Datum/periode van het beveiligingsincident
● Aard van het beveiligingsincident
● Wanneer van toepassing (bij een datalek):
o Omschrijving van de groep betrokkenen
o Aantal betrokkenen
o Type persoonsgegevens in kwestie
o Worden de gegevens binnen een keten gedeeld
3. Beoordelen
Wanneer het Meldpunt voldoende informatie heeft verzameld, en een datalek vermoed, stuurt deze de Melder een verzoek om de verzamelde informatie te bekijken. De Melder beoordeelt de feiten om te bepalen of een melding aan de Autoriteit persoonsgegevens en/of betrokkenen vereist is. De volgende informatie wordt vastgelegd door de Melder:
● Mogelijke gevolgen voor de persoonlijke levenssfeer van de betrokkenen
● Wordt het datalek gemeld aan de Autoriteit Persoonsgegevens? Waarom niet?
● Wordt het datalek aan betrokkenen gemeld? Waarom niet?
● Hoe worden meldingen gedaan? Wat is de inhoud van de melding?
Bij de beoordeling of er sprake is van een ‘meldingsplichtig datalek’, hou je rekening met het type gegevens, en met de hoeveelheid gegevens. Indien het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens, moet er gemeld worden. Van die ernstige nadelige gevolgen of de kans op ernstige nadelige gevolgen is bijvoorbeeld sprake wanneer er heel veel gegevens van een betrokkene of gegevens van heel veel betrokkenen gelekt zijn maar ook wanneer de gelekte gegevens “gevoelig” zijn zoals bijvoorbeeld bijzondere persoonsgegevens over gezondheid, over de financiële of economische situatie van de betrokkene, of als de gegevens kunnen leiden tot stigmatisering van de betrokkene (denk aan het lekken van een leerling die vaak kinderen pest en daarmee gezien kan worden als notoire pester).  

4. Repareren  

De Technicus  wordt gevraagd te achterhalen wat de oorzaak van het beveiligingsincident is en moet de oorzaak (laten) verhelpen. De technicus legt onderstaande vast: 

● Technische en organisatorische maatregelen die genomen zijn om de inbreuk te verhelpen en verdere inbreuk te voorkomen. Voorgaande voor zover de oorzaak bekend is.  

● Zijn de gelekte gegevens onbegrijpelijk voor degenen die er kennis van heeft kunnen nemen? Hoe zijn de gegevens onbegrijpelijk gemaakt (versleuteld)?  

5. Melden
Indien de conclusie bij stap 3 is dat er melding gedaan moet worden bij de Autoriteit Persoonsgegevens (en eventueel betrokkenen), dan zal de Melder dit binnen twee werkdagen doen. De melding bevat alle verzamelde informatie en de getroffen incidentele en structurele technische en organisatorische maatregelen. Het lek wordt gemeld bij het meldloket datalekken: https://datalekken.autoriteitpersoonsgegevens.nl/actionpage?0  

6. Vastleggen  

Alle informatie, die in de voorafgaande stappen is ingewonnen of ontstaan, wordt gearchiveerd door het Meldpunt waarmee het incident is afgesloten. Het Meldpunt verstuurt een samenvatting van de genomen maatregelen aan de Ontdekker.  

7. Informeren betrokkene(n): leerling/ouders, docenten  

Heeft het datalek waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene? Dan moet het datalek ook aan de betrokkenen zelf worden gemeld. Dat zijn medewerkers, leerlingen (of hun ouders als zij jonger zijn dan 16 jaar). In principe kan er van worden uitgaan dat het lekken van gevoelige aard gelekt gemeld moet worden bij de betrokkenen en betrokken opdrachtgever.
Let op: als er persoonsgegevens zijn gelekt maar die zijn beveiligd of versleuteld, en de gelekte data zijn onbegrijpelijk of ontoegankelijk voor anderen, dan hoeft dat toch niet aan betrokkenen te worden gemeld. Denk aan het lekken van een beveiligde én versleutelde database met gebruikersnamen en wachtwoorden.  

B Monitoring beveiligingsincidenten en datalekken  

Het Meldpunt van OnderwijsArena maakt twee keer per jaar een analyse van de meldingen van beveiligingsincidenten en datalekken in samenwerking met de functionaris gegevensbescherming. In de analyse wordt ingegaan op eventuele structurele ontwikkelingen, en of de noodzaak bestaat om maatregelen te nemen om herhaling te voorkomen. Het schoolbestuur wordt geïnformeerd over de uitkomsten van de analyse. Contactgegevens Voor vragen of opmerkingen over deze bijsluiter of de werking van dit product of deze dienst, kunt u terecht bij: info@onderwijsarena.nl