Fort Knox

Op de afbeelding hieronder staat Fort Knox. Dit gebouw staat op een militaire basis in de VS en is het meest bekend als een goudopslag van de Amerikaanse overheid. Sinds het bestaan heeft Fort Knox de reputatie gekregen dat het een ondoordringbaar bastion is, de ultieme plek om kostbaar goud op te slaan.

“Als je wilt toeslaan zijn er twee punten waar je de meeste kans maakt: het transport en de mensen.”

In diverse risicoanalyses rondom deze goudopslag worden twee belangrijke kwetsbaarheden benoemd:

• Het transport naar Fort Knox – het is logisch dat de route naar de goudopslag niet zo geconditioneerd kan worden als in de vesting zelf.
• De mensen die in en om Fort Knox werken en de deur open laten staan – niet eens door kwade opzet, maar meer door onwetendheid over risico’s en onachtzaamheid.

Foto: United States Gold Bullion Depository, Fort Knox. Bron: Michael Vadon / CC BY-SA 2.0

Leerlinggegevens als goud?

Ditzelfde geldt momenteel ook in en rondom het verwerken van persoonsgegevens binnen het onderwijs, ook al kunnen we dit niet altijd waarnemen. Wat is het meest interessante doelwit van criminelen binnen scholen? Het zijn niet de iPads of de digiborden, die op Marktplaats maar één keer geld opleveren als ze gestolen zijn.

Het echte goud van de organisatie is de database met persoonlijke gegevens die opgeslagen worden in meerdere systemen. Waarom? Deze gegevens leveren de komende jaren continu geld op omdat ze erg gewild zijn door partijen en overheden met minder frisse bedoelingen. Het is terecht dat we persoonsgegevens van leerlingen en collega’s zien als goud en dat we hier een Fort Knox omheen laten bouwen door systeemleveranciers.

‘Ook in het onderwijs twee belangrijke kwetsbaarheden

Net als bij het echte Fort Knox zijn er twee belangrijke kwetsbaarheden die ervoor zorgen dat er hoge risico’s gelopen worden:

• De route die we nemen om leerlinggegevens te verwerken – denk hierbij aan onze laptops, routers, netwerken, tablets, printers, mobieltjes en camera’s. Als je met Parnassys of Magister afspraken maakt over de technische beveiliging moet dit bij jezelf ook in orde zijn. In de praktijk zijn juist dit de punten waarop het mogelijk is om ‘in te breken’.
• Hoe we als mens omgaan met afspraken rondom het gebruik van de middelen die hierboven beschreven zijn. Er is geen leerkracht die moedwillig onbevoegden toegang geeft tot persoonlijke gegevens van leerlingen of collega’s. Maar je kunt door je handelen wel de deur open laten staan.

“Serieuze aandacht voor ICT – en daarmee ook IBP – wordt in het rapport ‘Regie op ICT in verband gebracht met goed onderwijsbestuur.”

Inmiddels overstijgt volgens ingewijden in het onderwijs de schade door datalekken, misbruik van gegevens, hackpogingen en ransomware die van schade door fysieke inbraken in schoolgebouwen. Dit leidde op 30 maart jl. tot het rapport ‘Regie op ICT‘ van de PO Raad om bestuurders in het onderwijs bewust te maken van de risico’s. Serieuze aandacht voor ICT – en daarmee ook informatiebeveiliging en privacy (IBP) – wordt in dit rapport rechtstreeks van toepassing gebracht op onderwijskwaliteit en behoorlijk bestuur. Op de achtergrond werken meerdere partijen aan de ondersteuning die nodig is om het praktisch te maken in het klaslokaal.

Wat je nu al kunt doen

Hier hoef en wil je als onderwijsprofessional niet op wachten. Je kunt nu al kleine dingen doen om dit stukje zorg voor leerlingen nog beter te organiseren. Hiervoor is het nodig dat je goed kijkt naar je processen, activiteiten en waar de risico’s zitten. Op sommige stukken zijn duidelijker afspraken nodig, zowel voor collega’s als leerlingen. En soms moeten we ook technische maatregelen nemen waardoor we anders werken dan gewend.

De mensen van FLEXfg adviseren schoolbesturen om in ieder geval aandacht aan de volgende zaken te besteden:

• Heldere en uniforme afspraken over omgang met communicatie, ICT, toegang tot systemen en apparaten. Wat verwachten we als stichting minimaal van elkaar en wat verwachten we van leerlingen en ouders?
• De minimale technische en organisatorische maatregelen die nodig zijn om onze systemen in ieder geval zo veel mogelijk up to date te houden. Denk hierbij ook aan autorisaties en risicoanalyses.
• Een scan van de activiteiten en processen in de organisatie waar IBP een rol speelt, welke risico’s we nog lopen en wat nodig is om dit te minimaliseren.
• Een praktische en planmatige aanpak van de openstaande punten, waarbij we vroeg genoeg de personen betrekken op wiens werk dit invloed heeft. Daardoor houden we oog voor de praktijk in het klaslokaal en besteden we aandacht aan hoe dit het beste gecommuniceerd kan worden.

Conclusie

Onderwijsmensen willen bezig zijn met onderwijs. Laten we eerlijk zijn: bij het horen van de afkortingen AVG en IBP gaat in veel scholen de vlag niet uit. De ontwikkelingen achter de schermen en onder de radar maken het wél noodzakelijk dat we scherper worden op hoe we werken met persoonlijke gegevens. Het mooie is dat onze inspanning een rechtstreeks effect heeft op de ontwikkeling en toekomst van onze leerlingen en collega’s. Laten we er samen voor zorgen dat dit een positief effect is!

FLEXfg ondersteunt schoolbesturen bij een verantwoord beleid voor Informatiebeveiliging en privacy. Wij staan voor je klaar.

FLEXfg begrijpt de uitdagingen van scholen om de juiste stappen te zetten. Daarom bieden we onderwijsbesturen onderstaand aanbod voor ondersteuning in het traject aan. Meer informatie nodig?  Neem dan contact op via het contactformulier, info@flexfg.nl of 0512-202030.

Professionalisering

De mens is een belangrijke schakel binnen het onderwerp IBP. En een gewaarschuwd mens telt voor twee. Van awareness op de werkvloer tot opleidingstrajecten, wij verzorgen het met hart voor onderwijs.

Neem contact op via het contactformulier, info@flexfg.nl of 0512-202030.