Informatiebeveiliging en Privacy

Vorige week heb ik met veel interesse de resultaten van de benchmark Informatiebeveiliging en privacy in de mbo sector 2016 gelezen. Er is de laatste tijd veel te doen omtrent Informatiebeveiliging en Privacy (IBP), vooral vanwege de meldplicht datalekken en de aankomende Europese Privacyverordering (AVG) die per mei 2018 gaat gelden.

Ook in het onderwijs is dit thema met een sneltreinvaart in de belangstelling komen te staan. Dat heeft zo zijn redenen. Naast de eerder genoemde wetgeving zijn er de afgelopen jaren in alle sectoren van het onderwijs incidenten rondom examinering in de publiciteit gekomen. In sommige gevallen ging dit ook om ernstige incidenten die breed in de media zijn uitgemeten. Dat levert voor het onderwijs veel schade op, waarbij imagoschade voorop staat. Het onderwijs wordt geacht op betrouwbare wijze diploma’s uit te reiken en het kan niet zo zijn dat daar twijfels over bestaan omdat examens op straat liggen dan wel op het internet te koop zijn (bron). Een ander belangrijke kwestie is de vraag of het onderwijs met de toenemende registratie van gegevens van leerlingen de bescherming van de privacy nog kan waarborgen. Steeds vaker zijn hier ook externe partijen en leveranciers bij betrokken en zonder goede afspraken hierover kan de privacybescherming zomaar in het geding zijn. Zeker bij jonge kinderen wordt dit door de maatschappij onacceptabel gevonden. Met het wetsvoorstel voor de verbetering van privacy van scholieren als aanjager zijn aanbieders van digitale leermiddelen met onderwijsorganisaties in gesprek over het aanpassen van systemen.

Privacywet dwingt tot aanpassen onderwijs-ICT (bron)

Scholen moesten tot nog toe relatief veel persoonsgegevens delen met bedrijven om de digitale leermiddelen of online lespakketten te kunnen gebruiken. Die situatie is onwenselijk, omdat het risico bestaat dat deze gegevens op straat terechtkomen na een hack of datalek. In de toekomst moet er een nieuw identificatiesysteem (nummervoorziening) komen waarbij de privacy van scholieren beter beschermd is.

Afschermen van de identiteit (pseudonimisering)

Bij de nummervoorziening krijgt elke leerling een persoonlijk identificatienummer. Partijen in de onderwijsketen die gegevens van een leerling uitwisselen, zoals bij het bestellen en gebruiken van leermateriaal, bij het maken van toetsen en bij het terugkoppelen van de resultaten daarvan, doen dit aan de hand van dat nummer. Er hoeven dus geen persoonsgegevens van de leerling uitgewisseld te worden.

Resultaten van de benchmark

Maar liefst 30 mbo instellingen hebben hun medewerking verleend.

Informatiebeveiliging

De gemiddelde score van de mbo sector is: 1,9. Ter vergelijking: de score van het hoger onderwijs in 2013 was 2,2. Niveau 1, 2, 3, 4 en 5 verwijzen naar de volwassenheidsniveaus (maturity levels). Niveau 2 is het niveau wat als een mogelijke baseline voor de sector kan dienen en geeft aan dat er beleid is gemaakt en goedgekeurd en dat dit bij een kleine groep bekend is.

Privacy

De gemiddelde score van de benchmark privacy bedraagt 1,5. Dit is teleurstellend in de wetenschap dat de sector over ruim 1 jaar (25 mei 2018, ingangsdatum AVG) een score 3 zou moeten kunnen halen. Niveau 3: Beleid is bij alle betrokken medewerkers, studenten en externen bekend.

Wat gaat goed

Back-up van informatie, beheersmaatregelen tegen malware, beheersmaatregelen voor netwerken, beveiligde inlogprocedures scoren goed. Technisch lijkt het dus in orde te zijn.

Wat gaat minder goed

Testen van systeembeveiliging, (digitaal) sleutelbeheer (encryptie), bewustzijn, opleiding en training ten aanzien van informatiebeveiliging scoren onder de maat. De benchmark maakt duidelijk dat alle mbo instellingen inmiddels stappen hebben gezet op het gebied van informatiebeveiliging en privacy. Het beleid dient nu uitgewerkt te worden in concrete maatregelen en hulpmiddelen. Ook vanuit andere sectororganisaties (po en vo) is er volop aandacht voor het onderwerp. Er is samen met aanbieders van digitale leermiddelen een privacyconvenant afgesloten  om de privacy op scholen beter te regelen. De nieuwe Privacywet voor scholieren zal een volgende stap vooruit zijn. Daarnaast heeft Kennisnet in samenwerking met de PO-Raad en VO-Raad een online workshop ontwikkeld voor scholen in het primair en voortgezet onderwijs die zeer praktisch van opzet is. Met de naderende deadline van mei 2018 voor de nieuwe Europese privacywetgeving zijn deze initiatieven in mijn ogen een goede en noodzakelijke ontwikkeling. Voor scholen die op zoek zijn naar een goede afstemming tussen wat het onderwijs wil en wat ICT kan bieden is bij SLBdiensten een workshop Informatiemanagement in het vo te volgen. Ook bieden wij een workshop over het thema Privacy aan. U krijgt uitleg van regels en verantwoordelijkheden die toenemend ICT-gebruik op school met zich meebrengt.

Pieter Oosterhof

Pieter Oosterhof

Security, marathon, contracten, Amsterdam Oost, koffie, krant (papier), restaurant, new business, kleine letters, Italië.