Tammo Beek beleidsmedewerker Communicatie Jos Bosten Beleidsadviseur Elearning en ICT. Wie zijn wij

Transcriptie

1 Tammo Beek beleidsmedewerker Communicatie Jos Bosten Beleidsadviseur Elearning en ICT Wie zijn wij Openbaar Primair onderwijs Haarlem 23 scholen (2x SO, 3x S(B)O, 18 PO) 31 locaties 6800 leerlingen 950 medewerkers

2

3 IBP: Wat hebben we daar al aan gedaan Begon met Presentatie Job Vos bij SD-NL 2 jaar geleden Resulteerde in diverse aanbevelingen voor onze scholen Protocol sociale media

4 Maar wat gebeurde er toen Film v=a4ibhv5r_ts&app=desktop

5 Reactie diverse ouders Zaken rond Basispoort waren al verzameld op bestuursniveau Gelukkig liep het daardoor met een sisser af Gevolg: eigen richtlijnen opgesteld

6 Vervolg binnen Spaarnesant Moeilijk punt Bestuurder destijds erg afwachtend Roepende in de woestijn

7 10 stappenplan Kennisnet

8 10 stappenplan Kennisnet Sociaal media protocol met ICT-coördinatoren gelukt

9 10 stappenplan Kennisnet Sociaal media protocol met ICT-coördinatoren gelukt Dus Stappenplan maken moet ook lukken

10 10 stappenplan Kennisnet TOTAAL MISLUKT

11 10 stappenplan Kennisnet TOTAAL MISLUKT Na een half uur in groepen werken gaf iedereen er de brui aan

12 10 stappenplan Kennisnet Doen jullie dat maar bovenschools. Wij kunnen dat niet

13 Roadmap informatiebeveiliging- en privacy beleid (IBP)

14 Aanleiding Informatiebeveiliging en privacy (ibp) is een onderwerp dat in korte tijd hoog op de agenda van het primair onderwijs is komen te staan. In het onderwijs worden steeds meer gegevens bijgehouden en Spaarnesant is zich er van bewust dat het van groot belang is om op een goede en veilige manier met de verkregen informatie om te gaan. Privacy in zorg

15 Informatiebeveiliging Informatiebeveiliging is een belangrijk thema. In het onderwijs wordt immers steeds meer gebruik gemaakt van ict en steeds meer gegevens worden digitaal opgeslagen en uitgewisseld. Binnen de scholen van Spaarnesant, maar ook met andere partners in de onderwijsketen, zoals leveranciers en de overheid. Zonder informatiebeveiliging loopt het onderwijs allerlei risico's. Onze scholen zijn dan kwetsbaar voor incidenten. Ze kunnen bijvoorbeeld slachtoffer worden van computerinbraak of zien hun cruciale ict-voorzieningen uitvallen, waardoor belangrijke processen worden verstoord. Vertrouwelijke informatie kan verkeerd worden gebruikt of lekt uit, zoals leerlinggegevens uit het leerlingvolgsysteem. Daarbij is informatiebeveiliging niet alleen een kwestie van technologie, maar vooral ook van processen en gedrag. De school heeft daarnaast een informatieplicht en moet uitleggen hoe er met de gegevens over leerlingen wordt omgegaan. Ouders hebben recht op volledige transparantie van de school daarover. De mens als zwakke factor. AWARENESS

16 Privacy Bij privacy gaat het vooral om de vraag in welke context de school welke gegevens deelt. Die vraag is de laatste tijd extra actueel, vanwege de digitalisering van het onderwijs en het toenemende gebruik van sociale media en cloud computing. Wanneer het om het delen van persoonsgegevens gaat (ook foto s zijn persoonsgegevens), is uiterste zorgvuldigheid geboden. Spaarnesant en haar medewerkers hebben daarin een speciale verantwoordelijkheid omdat leerlingen door hun leeftijd extra kwetsbaar zijn, én omdat ze hun hele verdere leven achtervolgd kunnen worden door uitgelekte of ten onrechte gedeelde gegevens. Wat is privacy voor jou

17 Doel: Spaarnesant is verantwoordelijk voor het regelen van goede informatiebeveiliging en voor het waarborgen van de (sociale) privacy van leerlingen. Door de digitalisering van het onderwijs kan dat een uitdagende opgave zijn. Het thema privacy en informatiebeveiliging zal integraal opgenomen worden in het thema (Sociaal) veiligheidsbeleid. Reden daarvoor is de grote overlap tussen informatiebeveiliging, privacy en (sociale) veiligheid. Zonder ib geen (sociale) veiligheid en privacy en andersom. De creatie van een accuraat Privacy en informatiebeveiliging (IBP) beleid helpt uiteindelijk onze scholen om risico's te minimaliseren, bewustwording te vergroten en (sociale) veiligheid te borgen.

18 Opdracht: Waar beginnen we? De werkgroep Veiligheid neemt het onderdeel Privacy en Beveiliging voor diens rekening met gebruikmaking van landelijke modellen (Kennisnet/PO Raad) en afspraken met uitgevers en softwareleveranciers. (Framework IBP: een uitgebreide set aan richtlijnen, procedures en checks voor veiligheid en privacy, Kennisnet, oktober 2016)

19 Inventarisatie: Er wordt eind 2016 een risicoscan (model Kennisnet) uitgevoerd vanuit een ingestelde werkgroep, waaruit een planning met activiteiten wordt opgesteld voor de komende twee jaar. Hierbij wordt ook een risicoscan voorbereid die elke school t.b.v. de bewustwording kan organiseren. Dit geheel wordt onderdeel van het Veiligheidsbeleid. Risicoanalyse (mensen, apparatuur, processen, data, omgeving, organisatie en diensten door derden). v=6uknozunbg0&app=desktop

20 Verbeterplan/ Beleid: - De benoemde risico s en uitdagingen op het gebied informatiebeveiliging, privacy en sociale veiligheid binnen Spaarnesant weergeven; (T0-do list) - Welk algemeen beleid moet ten minste ontwikkeld worden in 2017 om de grootste risico s op de deelgebieden te verminderen; (bijv. top 5 prioriteiten van de lijst aanpakken in 2017). - Aangeven hoe alle medewerkers bewust worden van de noodzaak van het nieuwe beleid; - Bewustwording en gedrag van het personeel, leerlingen en ouders is een onderwerp dat voortdurend op de scholingsagenda moet staan. - Voorstel voor de inrichting van de ICT/IBP organisatie zodat informatiebeveiliging, privacy en (sociale) veiligheid geborgd zijn. Niet alleen moet de staande organisatie worden ingericht, zeg maar de schooluren organisatie maar ook een organisatie die snel reageert op informatiebeveiliging (datalekken) en privacy incidenten op basis van 24/7 IBP principe.

21 Privacy Voorbeelden - Reglementen en protocollen, privacy op school'; - De dagelijkse gang van zaken, een veilige (digitale) leeromgeving; - Inrichting leerlingenadministratie en leerlingvolgsystemen, leerling gegevens in de school; - Afspraken met leveranciers (Bewerkersafspraken), denk o.a. aan leveranciers van leerling administratiesystemen (LAS), leerlingvolgsystemen (LVS), digitaal lesmateriaal of toets- en oefenprogramma s (Kennisnet); - Rechten van ouders en de MR; - Foto s en video s op school - Internet en sociale media, wegwijzer in de digitale wereld. - Jongerenen en sociale media (Mediawijsheid)? Sociale media, gedragscode of een (sociale) mediaprotocol. - Gedragscode voor leerlingen én leerkrachten met daarin de afspraken over digitaal pesten, bedreigingen, schelden en privacy. De grens tussen werk en privé (vastgesteld door de medezeggenschapsraad (MR). - Mediaprotocol waarin ook sociale media. Wat op het schoolplein gebeurt, gaat tenslotte op sociale media verder. - Overstappen naar een andere school. Waarborging privacy bij overstapdossiers (De overdracht van leerlingdossiers van het po naar het vo met bijv. de Overstapservice Onderwijs (OSO). - Gegevens beveiligen. Beveilig alle persoonsgegevens, etc.

22 Informatiebeveiliging - Het risico van verlies van vertrouwelijke gegevens met als gevolg imagoschade voor de school. (Datalek) - Het risico van fraude / ongeautoriseerde toegang tot data en systemen door ontbrekend wachtwoordenbeleid en procedures met als gevolg reputatie en financiële schade. - Het risico van geïnfecteerde data door virussen met als gevolg data inconsistentie of totaal dataverlies.