Dataprotectie op school

Dataprotectie op school ook een taak van het management

Jacques Verleijen

Wat is informatieveiligheid ?

Mogelijke actoren

• Netwerkschijven • Cloud • Backup- en restoremogelijkheden • Encryptie

• Servers • Firewalls • VPN, HTTPS,… • Antivirus software • Gebruikersbeheer

Mogelijke actoren

• Regelgeving • Policy’s • Richtlijnen • Kwaliteitszorg • ….

• Risico gedrag • Bewustmaking • Gedragscode • ….

Waarom dataprotectie ? Uitwisseling van persoonlijke gegevens van leerlingen • Moet vertrouwen geven aan ouders en leerlingen

Scholen moeten voldoen aan de privacy wetgeving: • Bescherming van de gegevens • Verwerken op een verantwoorde wijze

De informatie moet betrouwbaar zijn!!

Nieuwe Europese richtlijn • Administratieve vereenvoudiging (voor bedrijven en diensten) • Meer verantwoording en rekenschap voor de verwerkers • Meldingsplicht over gegevenslekken • Individuele toegang tot eigen gegevens wordt vergemakkelijkt • Recht om vergeten te worden • Grotere bevoegdheden voor de nationale autoriteiten: • Controles • Boetes tot 1 miljoen € of 2% van de jaarlijkse omzet.

België wacht niet zo lang…

Gevoelige informatie en hun dragers • Toetsen, examenvragen en resultaten • Persoonlijke gegevens van leerlingen en personeel • Leerlingvolgsystemen, CLB dossiers • Financiële gegevens, boekhouding • Aanbestedingen, offertes,…. • Informatie op de elektronische leeromgeving • Informatie op websites

Uitdagingen • Het juiste niveau van beveiliging inbouwen • Zonder de openheid te schaden • Zonder de flexibiliteit te beperken

• Focus wijzigen van controle naar risicobeheersing: • Niet alle informatie kan en moet beveiligd worden • Nadruk op specifieke types van informatie

Mogelijke gevolgen • Juridisch • Vervolgingen • Processen

• Financieel • Imagoschade • Persoonlijke schade • Fysiek, psychologisch, moreel, …

Hoe beginnen we eraan? De ISO 27000 normen zijn een goed aanknopingspunt • ISO 27001: • Beschrijft het proces om een beleid in te voeren en te onderhouden • Noodzaak voor certificatie? Nee, maar goede richtlijn voor het management

ISO 27002 ISO 27002: Checklist met aandachtpunten (14 rubrieken en 119 controle-items): 1. Beleid 2. Organisatie

8. Operationele veiligheid 9. Communicatie

3. Human Resources 4. Beheer van bedrijfsmiddelen 5. Toegangsbeveliging 6. Cryptografie

10. Aankoop, ontwikkeling en onderhoud

7. Fysieke beveiliging

14. Naleving en controle

11. Relaties met leveranciers 12. Veiligheidsincidenten 13. Continuïteitsbeheer

Een paar aandachtspunten

Gedragscode ICT • Gedragscode van de Vlaamse overheid • Niet van toepassing op onderwijs instellingen • Nood aan eigen ICT gedragscode • Sommige scholen(groepen/gemeenschappen) hebben dit al

Mobile Device management

• Risico’s • Verlies diefstal… • Geen beveiliging • Geen controle, …

• Bring Your Own Device • Platform onafhankelijk • Controle op school apps.

Wachtwoorden: mijn grootste nachtmerrie Enquête in 2014: 30% van de scholen geconfronteerd met wachtwoord fraude: •Achterhalen van paswoord van leerkracht: 75% •Brute force attack (paswoordkrakers): 5 % •keyloggers: 20 %

Dit is slechts het topje van de ijsberg

Wachtwoorden

• Gebruik een sterk wachtwoord • Geen eigennamen, of andere persoonlijke verwijzingen • Noteer nooit wachtwoorden op papier, of in een bestand • Wijzig het wachtwoord als u er een gekregen heeft om een eerste maal in te loggen • Wachtwoorden doorgeven op een veilige manier • Indien je een vermoeden hebt van misbruik, meldt dit dadelijk.

Praktisch voorbeeld: • M2k,M&Tzs15j • is dit moeilijk te onthouden?

Voor mij heeft dit zin: “Mijn twee kinderen, Mieke en Tom zijn samen 15 jaar.”

Gevaar voor Social engineering

• Informatiesystemen hacken is niet alleen een technische bezigheid. • Hackers zijn uit op menselijke zwakheden • Ken de organisatie(cultuur), zo vind je de zwakke plekken

Dubbele authenticatie

Maak dit verplicht voor leerkrachten!!!!!

Maak noodplannen • Niet enkel technisch, maar vooral op managementniveau: • Analyse: • Kritische bedrijfsprocessen • Risico analyse • Impact

• Planning en implementatie • Testen, evalueren en bijsturen

Besluit

Project iSafetyScan Vult esafety aan…

IsafetyTraining ( 2 pers / schoolgem.) I => ICT: Technische analyse van - het netwerk en - ICT-beleid (bijv BYOD) rond ICT veiligheid I => Informatie & Privacy: Analyse van informatieveiligheid - om zoveel mogelijkheid in orde te zijn met regelgeving (ISO 21000 etc) - Privacycommissie

IsafetyScan Je voert onder begeleiding een Scan uit inzake - ICT technische veiligheid - Informatieveiligheid

IsafetyCertified

Certified iSafetyCoach

• Voor zij die op eigen school en andere scholen een isafetyscan correct kunnen begeleiden en uitvoeren

Project ism met • Vlaamse Toezichtscommissie • EduBIT (BE) • ExtraBit (FR) • Lansweeper • Qualyscom • Higis.eu (Gezondheidszorg)

Meer info en pre-registratie: isafety.info

[email protected]