Persoonsgegevens zijn het goud van een school

Het meest interessante doelwit voor criminelen zijn niet de iPads, laptops of andere apparatuur in een school. Persoonsgegevens is het goud waar écht veel aan te verdienen valt. In dit artikel gaan we in op de noodzaak om Informatiebeveiliging en Privacy goed voor elkaar te hebben in het onderwijs.

Fort Knox

Op de afbeelding hieronder staat Fort Knox. Dit gebouw staat op een militaire basis in de VS en is het meest bekend als een goudopslag van de Amerikaanse overheid. Sinds het bestaan heeft Fort Knox de reputatie gekregen dat het een ondoordringbaar bastion is, de ultieme plek om kostbaar goud op te slaan.

“Als je wilt toeslaan zijn er twee punten waar je de meeste kans maakt: het transport en de mensen.”

In diverse risicoanalyses rondom deze goudopslag worden twee belangrijke kwetsbaarheden benoemd:

  • Het transport naar Fort Knox – het is logisch dat de route naar de goudopslag niet zo geconditioneerd kan worden als in de vesting zelf.
  • De mensen die in en om Fort Knox werken en de deur open laten staan – niet eens door kwade opzet, maar meer door onwetendheid over risico’s en onachtzaamheid.

Foto: United States Gold Bullion Depository, Fort Knox. Bron: Michael Vadon / CC BY-SA 2.0

Leerlinggegevens als goud?

Ditzelfde geldt momenteel ook in en rondom het verwerken van persoonsgegevens binnen het onderwijs, ook al kunnen we dit niet altijd waarnemen. Wat is het meest interessante doelwit van criminelen binnen scholen? Het zijn niet de iPads of de digiborden, die op Marktplaats maar één keer geld opleveren als ze gestolen zijn.

Het echte goud van de organisatie is de database met persoonlijke gegevens die opgeslagen worden in meerdere systemen. Waarom? Deze gegevens leveren de komende jaren continu geld op omdat ze erg gewild zijn door partijen en overheden met minder frisse bedoelingen. Het is terecht dat we persoonsgegevens van leerlingen en collega’s zien als goud en dat we hier een Fort Knox omheen laten bouwen door systeemleveranciers.

‘Ook in het onderwijs twee belangrijke kwetsbaarheden

Net als bij het echte Fort Knox zijn er twee belangrijke kwetsbaarheden die ervoor zorgen dat er hoge risico’s gelopen worden:

  • De route die we nemen om leerlinggegevens te verwerken – denk hierbij aan onze laptops, routers, netwerken, tablets, printers, mobieltjes en camera’s. Als je met Parnassys of Magister afspraken maakt over de technische beveiliging moet dit bij jezelf ook in orde zijn. In de praktijk zijn juist dit de punten waarop het mogelijk is om ‘in te breken’.
  • Hoe we als mens omgaan met afspraken rondom het gebruik van de middelen die hierboven beschreven zijn. Er is geen leerkracht die moedwillig onbevoegden toegang geeft tot persoonlijke gegevens van leerlingen of collega’s. Maar je kunt door je handelen wel de deur open laten staan.

“Serieuze aandacht voor ICT – en daarmee ook IBP – wordt in het rapport ‘Regie op ICT in verband gebracht met goed onderwijsbestuur.”

Inmiddels overstijgt volgens ingewijden in het onderwijs de schade door datalekken, misbruik van gegevens, hackpogingen en ransomware die van schade door fysieke inbraken in schoolgebouwen. Dit leidde op 30 maart jl. tot het rapport ‘Regie op ICT‘ van de PO Raad om bestuurders in het onderwijs bewust te maken van de risico’s. Serieuze aandacht voor ICT – en daarmee ook informatiebeveiliging en privacy (IBP) – wordt in dit rapport rechtstreeks van toepassing gebracht op onderwijskwaliteit en behoorlijk bestuur. Op de achtergrond werken meerdere partijen aan de ondersteuning die nodig is om het praktisch te maken in het klaslokaal.

Wat je nu al kunt doen

Hier hoef en wil je als onderwijsprofessional niet op wachten. Je kunt nu al kleine dingen doen om dit stukje zorg voor leerlingen nog beter te organiseren. Hiervoor is het nodig dat je goed kijkt naar je processen, activiteiten en waar de risico’s zitten. Op sommige stukken zijn duidelijker afspraken nodig, zowel voor collega’s als leerlingen. En soms moeten we ook technische maatregelen nemen waardoor we anders werken dan gewend.

De mensen van FLEXfg adviseren schoolbesturen om in ieder geval aandacht aan de volgende zaken te besteden:

  • Heldere en uniforme afspraken over omgang met communicatie, ICT, toegang tot systemen en apparaten. Wat verwachten we als stichting minimaal van elkaar en wat verwachten we van leerlingen en ouders?
  • De minimale technische en organisatorische maatregelen die nodig zijn om onze systemen in ieder geval zo veel mogelijk up to date te houden. Denk hierbij ook aan autorisaties en risicoanalyses.
  • Een scan van de activiteiten en processen in de organisatie waar IBP een rol speelt, welke risico’s we nog lopen en wat nodig is om dit te minimaliseren.
  • Een praktische en planmatige aanpak van de openstaande punten, waarbij we vroeg genoeg de personen betrekken op wiens werk dit invloed heeft. Daardoor houden we oog voor de praktijk in het klaslokaal en besteden we aandacht aan hoe dit het beste gecommuniceerd kan worden.

 

Conclusie

Onderwijsmensen willen bezig zijn met onderwijs. Laten we eerlijk zijn: bij het horen van de afkortingen AVG en IBP gaat in veel scholen de vlag niet uit. De ontwikkelingen achter de schermen en onder de radar maken het wél noodzakelijk dat we scherper worden op hoe we werken met persoonlijke gegevens. Het mooie is dat onze inspanning een rechtstreeks effect heeft op de ontwikkeling en toekomst van onze leerlingen en collega’s. Laten we er samen voor zorgen dat dit een positief effect is!

FLEXfg ondersteunt schoolbesturen bij een verantwoord beleid voor Informatiebeveiliging en privacy. Wij staan voor je klaar.

FLEXfg begrijpt de uitdagingen van scholen om de juiste stappen te zetten. Daarom bieden we onderwijsbesturen onderstaand aanbod voor ondersteuning in het traject aan. Meer informatie nodig?  Neem dan contact op via het contactformulier, info@flexfg.nl of 0512-202030.

Dienstverlening

Wij helpen schoolbesturen met technische en organisatorische diensten om toe te werken naar een solide informatiebeveiliging en privacy. Van nulmetingen, penetratietesten tot consultancy en beleidsbepaling. 

Neem contact op via het contactformulier, info@flexfg.nl of 0512-202030.

Professionalisering

De mens is een belangrijke schakel binnen het onderwerp IBP. En een gewaarschuwd mens telt voor twee. Van awareness op de werkvloer tot opleidingstrajecten, wij verzorgen het met hart voor onderwijs.

Neem contact op via het contactformulier, info@flexfg.nl of 0512-202030.

Over de auteur

Ferenc Jacobs

Ferenc is mede-eigenaar van FLEXfg en functionaris gegevensbescherming bij meerdere schoolbesturen.

Related Posts

Apache Log4j – Wat moet het onderwijs hiermee?

Apache Log4j – Wat moet het onderwijs hiermee?

Vorige week werd het bericht gedeeld dat er kwetsbaarheden zijn gevonden in Apache Log4j. Moet het onderwijs zich zorgen maken over deze meldingen? En wat kun je doen om te voorkomen dat je nadeel ondervindt van dit soort kwetsbaarheden? In dit artikel praten we je – hopelijk in leesbare taal – bij.

Google & het onderwijs – wat nu?

Google & het onderwijs – wat nu?

Het was nog even spannend, maar er zijn afspraken gemaakt tussen Google en het onderwijs over de risico’s van het gebruik van Google Workspace op scholen. Fijn! Maar hiermee is het onderwijs er nog niet. Besturen moeten zelf een aantal stappen zetten om aan hún kant te zorgen voor een veilige werkwijze. In dit artikel gaan we hier dieper op in.

4 AVG-punten om te regelen vóór de vakantie

4 AVG-punten om te regelen vóór de vakantie

De zomervakantie breekt alweer bijna aan! Na wéér een ongewoon jaar zijn collega’s en leerlingen toe aan een heerlijke pauze. Net als ieder jaar zijn er een aantal AVG-punten waar je op kunt letten als school om ook écht zorgeloos de deur op slot te kunnen doen. Hieronder zetten we een aantal tips uit de praktijk op een rijtje.

Schrijf je in voor de nieuwsbrief

Comments

0 reacties

Adresgegevens

0512 202 030

info@flexfg.nl

Lavendelheide 12, 9202 PD Drachten

Neem contact op

7 + 1 =