Digitale veiligheid bij samenwerkingsverbanden passend onderwijs: de stand van zaken

Op 25 mei 2018 is de wet Algemene Verordening Gegevensbescherming (AVG) in werking getreden. De afgelopen maanden hebben Berenschot, OOG onderwijs en jeugd en ZIVVER bij ruim twintig samenwerkingsverbanden de Quickscan Digitale Veiligheid in het passend onderwijs uitgevoerd.

Op 25 mei 2018 is de wet Algemene Verordening Gegevensbescherming (AVG) in werking getreden. De afgelopen maanden hebben Berenschot, OOG onderwijs en jeugd en ZIVVER bij ruim twintig samenwerkingsverbanden de Quickscan Digitale Veiligheid in het passend onderwijs uitgevoerd.

De quickscan bestaat uit een aantal interviews met interne medewerkers van het samenwerkingsverband en analyse van relevante documentatie op het gebied van persoonsgegevens, dataverkeer en toegankelijkheid.

Tijdens de interviews bevragen wij medewerkers van het samenwerkingsverband over elf onderwerpen, namelijk Beleid, Organisatie, Objecten van beheer, Personele eisen, Fysieke beveiliging, Beheersprocessen, Logische toegangsbeveiliging, Ontwikkeling en aanschaf van systemen, Incident- en Continuiteïtsmanagement en Naleving. Op deze manier krijgen we een zo volledig mogelijk beeld van het volwassenheidsniveau op het gebied van informatiebeveiliging bij het samenwerkingsverband.

Wat ons is opgevallen is dat de medewerkers van de samenwerkingsverbanden erg bewust zijn van het feit dat zij dagelijks met zeer privacygevoelige informatie werken. De manier waarop hiermee wordt omgegaan verschilt echter per samenwerkingsverband.

Onderstaand een korte indruk van de meest voorkomende bevindingen per beleidsterrein.

Als het gaat om beleid, dan zijn veel samenwerkingsverbanden nog niet begonnen met hun beleidsplan in het kader van informatiebeveiliging en privacy (IBP). Dit document is de kapstok en de basis voor het verdere IBP-beleid. Bij de meeste samenwerkingsverbanden is een privacy-protocol aanwezig, maar moet deze nog worden geactualiseerd aan de hand van de richtlijnen van de AVG.

Veel samenwerkingsverbanden hebben ook nog geen dataregister en autorisatiematrix opgesteld en in veel gevallen is er nog geen Functionaris Gegevensbescherming (FG) aangesteld. Indien u per 25 mei nog geen FG heeft kunnen aanstellen is het van belang dat u op papier aangeeft waarom u hier nog niet aan toe bent gekomen.

Als we kijken naar het bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen (ook wel objecten van beheer genoemd), dan valt op dat er in veel gevallen nog geen verwerkersovereenkomsten en Service Level Agreements (SLA’s) met leveranciers zijn afgesloten. Ook de wettelijke bewaartermijnen worden (nog) niet gehanteerd.

In het geval van personele eisen van informatiebeveiliging ontbreken vaak specifieke en vastgelegde afspraken over geheimhouding en de omgang met vertrouwelijke documentatie. In het verlengde daarvan wordt privacygevoelige informatie bijvoorbeeld nog regelmatig geprint op printer zonder beveiliging, mogen medewerkers van de samenwerkingsverbanden deze informatie mee naar huis nemen en worden fysieke dossiers (zowel van leerlingen als van personeel) op kantoor in kasten en/of ruimtes bewaard die niet altijd afgesloten (kunnen) worden. In een gedragscode informatiebeveiliging kunnen afspraken worden vastgelegd.

Als het gaat om beheersprocessen (het waarborgen van een correcte en veilige bediening van ICT-voorzieningen) dan zien we dat er vaak nog geen specifieke maatregelen worden genomen voor het verwijderen van informatie van gegevensdragers (laptops, tablets en telefoons) bij inname of verlies. Ook is er vrijwel altijd sprake van een impliciete clean desk/clear screen policy; medewerkers weten dat ze dit eigenlijk moeten naleven, maar in de praktijk gebeurd dit niet altijd en zijn regels hierover niet gespecifieerd en/of geformaliseerd.

Veel samenwerkingsverbanden werken met een programma om gegevens te kunnen uitwisselen tussen de aangesloten scholen en het samenwerkingsverband. In een klein aantal gevallen wordt voor de uitwisseling van deze gegevens het reguliere mailsysteem (al dan niet is beveiligd door middel van encryptie) gebruikt.

Als het gaat om logische toegangsbeveiliging dan vindt er niet op regelmatige basis periodieke controle plaats op tijdelijke rollen, accounts, profielen en toegangsrechten. Ook worden bevoegdheden meestal niet toegekend op basis van ‘need to know’ / ‘need to use’. Opvallend is dat er in veel gevallen geen wachtwoordbeleid is waarin wordt afgedwongen dat wachtwoorden regelmatig moeten worden aangepast en aan bepaalde criteria moeten voldoen.

Bij de ontwikkeling en aanschaf van systemen valt op dat er vrijwel nog geen Mobile Device Management (veilig beheer van mobiele appratuur) is ingeregeld. Van incident- en continuiteïtsmanagement is bij de meeste samenwerkingsverbanden nog geen sprake. Ten slotte kan gesteld worden dat informatiebeveiliging nog geen onderdeel is van de managementcyclus van de samenwerkingsverbanden, waardoor er nog niet periodiek gerapporteerd wordt over de status van de informatiebeveiliging.

Deze impressie van de resultaten overziend is er nog veel werk aan de winkel voor de samenwerkingsverbanden om te voldoen aan de vereisten van de AVG. De wet vraagt samenwerkingsverbanden om aan te tonen dat er voldoende maatregelen zijn genomen om incidenten te voorkomen. Het is goed om te starten met een risicoanalyse en het opstellen van een bijbehorend actieplan, waarin de huidige situatie rondom IBP in kaart wordt gebracht en acties op korte-, middellange- en lange termijn worden ingepland. De samenwerkingsverbanden waarbij wij de quickscan hebben afgenomen gebruiken deze als leidraad voor dit actieplan. Ons advies is om hier geen papieren exercitie van te maken, maar slim gebruik te maken van wat er al voor handen is (o.a. via de PO- en VO-raad en Kennisnet).

Is uw samenwerkingsverband helemaal klaar voor de AVG?

Heeft u behoefte aan een concreet actieplan waarmee u gelijk meters kunt maken als samenwerkingsverband?

Ruim twintig samenwerkingsverbanden zijn reeds met onze concrete aanpak aan de slag. U ook?

Neem dan contact met ons op:

Willemien Bakker van Berenschot

w.bakker@berenschot.nl

030 – 2 916 847

Fraukje Selen van OOG onderwijs en jeugd

i-veiligheid@oog.nl

020 – 64 00 982

Geert van Deth van ZIVVER

Geert.vandeth@zivver.com

085 – 01 06 555