YOURSAFEtynet school+ Voorkomt aansprakelijkheid bij internet- en computermisbruik Veiligheid op school Scholen moeten pal staan voor een veilige werk- en leeromgeving; een onmisbare randvoorwaarde voor goed onderwijs. Uit talloze onderzoeken blijkt dat leerlingen in een veilige leeromgeving een hogere leeropbrengst realiseren. Deze veiligheid begint met het stellen van duidelijke afspraken die je met elkaar maakt. Dit geldt uiteraard ook voor het ICT beleid van de school. In ons dagelijkse leven is het gebruik van social media, smartphones en tablets inmiddels een niet meer weg te denken fenomeen. Hierin ligt voor schoolorganisaties een steeds grotere uitdaging om deze trend in goede banen te leiden. Als geen andere plaats in onze samenleving is de school het speelveld waar leerlingen aan hun persoonlijke ontwikkeling kunnen werken. De leerlingen varen er wel bij als de grenzen duidelijk zijn en er consequent met overschrijding hiervan wordt omgegaan. Scholen hebben baat bij een expliciete opvatting over wat gewenst ICT beleid is en het uitdragen daarvan. De computernetwerken van scholen zijn meestal wel beveiligd met antivirus- en spam software, terwijl een ICT beleid, wat dient te voldoen aan de privacywetgeving, bijna altijd ontbreekt. Door het ontbreken van ICT beleid, waarin de afspraken en grenzen over het internet- en computergebruik binnen de school zijn vastgelegd, kunnen schoolorganisaties aansprakelijk worden gesteld wanneer grensoverschrijdend internet- en computergedrag heeft plaatsgevonden. Stelling 1:
Zonder ICT beleid is de school, directie, bestuurder of ICT coördinator aansprakelijk voor ongewenst internet- en computergedrag!
Stelling 2:
Internet filteren, reguleren, reglementeren, verwerken, etc. is altijd onderhevig aan de strenge wettelijke privacy wetgeving!*
Conclusie: Geen ICT Beleid of gebruik Privacy wetgeving
=
In dit artikel zal uitgebreid op de juridische aansprakelijkheid worden ingegaan aan de hand van deze twee stellingen. Daarnaast zal informatie worden verstrekt over de softwarematige invoering en handhaving van het ICT beleid overeenkomstig de privacywetgeving.
* België: Wet Verwerking Persoonsgegevens (WVP). Nederland: Wet bescherming persoonsgegevens (Wbp). © Copyright Media Security Networks BV - Rev. 2.0 - 2014
1
Schooldirectie, bestuur en ICT beleid Zonder een duidelijk ICT beleid (met de daarbij behorende procedures) kan een schoolorganisatie, bestuurder of ICT-coördinator aansprakelijk gesteld worden indien zich een strafbaar feit voordoet of er iets gebeurt wat in strijd is met het belang van de schoolorganisatie. Het al dan niet blokkeren van bepaalde websites (lees: seks, gokken, geweld, etc.) is slechts een klein onderdeel van ICT beleid. Het risico van ongewenst internet- en computergebruik gaat dus veel verder dan alleen het beschermen van leerlingen; dit geldt uiteraard ook voor de leerkrachten en de schoolorganisatie.
Enkele voorbeelden van risico’s door ontbrekend of onvoldoende geregeld ICT beleid: •
•
• • • • • •
Gebruik van illegale software (meestal door leerlingen)? De school is aansprakelijk voor de legitimiteit van de door leerlingen gebruikte software. Schadeclaims en boetes kunnen door de Business Software Alliance (BSA) worden opgelegd. Grensoverschrijdend computer- en internetgebruik door leerkrachten en/of leerlingen? Juridisch (wettelijke) grondslag voor terechte of onterechte bewijslast of sanctie ontbreekt. Concreet: Bij ontslag van een medewerker zal een ontslagvergoeding moeten worden voldaan. Ontbreken van juiste ICT procedures? Dwangsom kan worden opgelegd via de Wbp, WVP of privacywetgeving. Imago- en reputatieschade van de school? Wat zijn de consequenties wanneer grensoverschrijdend internetverkeer op school publiekelijk word? Invloed sociale partners, ondernemingsraad (OR), overlegorgaan, etc.? Hebben inspraak op de gevolgen en acties bij ongeregeld ICT beleid. Aansprakelijkheid bestuur, directie en ICT beheer? Wanneer nalatigheid kan worden aangetoond, de bestuurder is aansprakelijk! Is er sprake van een bestaand ICT reglement, en voldoet dit reglement aan de wet- en regelgeving? Meestal zijn deze reglementen niet getoetst aan de wet of sterk ‘verouderd’ en daardoor niet rechtsgeldig. Hoe gaat de school om met nieuwe technologie? Opkomst van tablets, smartphones en internet applicaties, deze nieuwe technologie wordt steeds meer van buiten naar binnen de scholen gebracht, dit heeft consequenties voor hoe scholen hier mee omgaan.
Wat is een veel voorkomend ICT beleid op school? Vanuit de scholen (binnen dezelfde stichting/organisatie): • Onderlinge (school)verschillen van wat wel of niet is toegestaan • ICT beleid ontbreekt vaak door onwetendheid over de risico’s • ICT beleid wordt vaak als betutteling en censuur gezien • ICT beleid wordt meestal afgestemd op de meerderheid van de leerkrachten • ICT beleid wordt meestal (onterecht) gelijk gesteld aan filteren; leerlingen moet je niet ‘dom’ houden Vanuit de stichting/organisatie: • Meestal geen duidelijk ICT beleid of visie vanuit het schoolbestuur • Onsamenhangende regels en afspraken van scholen onderling • Ontbreken van één ICT beleidsvisie naar ‘buiten’ (Wat willen we? Waar staan we voor?) De beslissing om ‘ICT beleid’ in te voeren wordt vaak op leerkrachtenniveau genomen (operationeel) met als uitgangspunt: ´De meerderheid beslist`. Bij deze besluitvorming wordt de rol en het belang van leerlingen, ouders, ICT-coördinator, leerkrachten, bestuur en de organisatie meestal buiten beschouwing gelaten.
Is filteren dé oplossing om ICT beleid uit te voeren? Neen, filteren is slechts één klein onderdeel om de organisatie, leerkrachten en leerlingen te beschermen tegen ongewenst internet- en computergebruik. Zelfs al wordt niet gefilterd of gereguleerd, maak afspraken en regel het ICT beleid volgens de Privacy wetgeving. © Copyright Media Security Networks BV - Rev. 2.0 - 2014
2
Wat is het belang van ICT beleid op school? • • • • • • •
Dat ICT beleid een onderdeel is van het strategisch beleid van de schoolorganisatie Dat de implementatie en procedures voldoen aan de eisen en regels die gesteld worden door de privacywetgeving Dat correct en zorgvuldig met hard- en software dient te worden omgegaan Dat scholen een gerechtvaardigd belang hebben om het ICT beleid in te richten, te reglementeren, reguleren en te controleren Dat rechten en plichten die voortvloeien uit ICT beleid goed moeten worden vastgelegd conform de privacywetgeving Dat onderwijsorganisaties, scholen, leerkrachten, leerlingen en de ouders primair belang hebben in een duidelijk ICT beleid En... welk beleid ook wordt gevoerd, leg altijd vast wat wel of niet is toegestaan
Wat is het doel van ICT beleid? • • • • • •
Voorkomt dat bestuurders, directies en ICT-coördinatoren aansprakelijk worden gesteld bij ongewenst internet- en computergebruik Voorkomt imago- en reputatieschade van de school(organisatie) bij grensoverschrijdend computergedrag Het ontwikkelen van een allesomvattend ICT beleid voor de schoolorganisatie, medewerkers, leerkrachten, leerlingen en ouders Als onderdeel van strategisch beleid (net als verzekeren), risico’s uitsluiten tegen mogelijke aansprakelijkheden Met één ICT ‘gezicht’ naar buiten treden, waar de school(organisatie) voor staat en geeft rugdekking bij grensoverschrijdend ICT gedrag De ontwikkeling van een strategisch ICT beleid wat voldoet aan de privacy wetgeving
Waarom loopt de invoering van ICT beleid vaak achter de feiten aan? •
•
• •
•
Juridische- en technische complexiteit -- scholen weten alles van kennisoverdracht maar zijn geen juristen -- technische- en administratieve integratie is ingewikkeld Steeds wijzigende regel- en wetgeving -- up-to-date blijven is zeer tijdsintensief -- ontbreken van strategisch aanspreekpunt Te volgen juridische procedures en handelingen -- complexiteit van regels, handelingen, procedures, documenten, etc. Onwetendheid van de juridische risico’s -- Aansprakelijkheid van en naar de schoolorganisatie en leerkrachten -- Aansprakelijkheid naar ouders en leerlingen -- Aansprakelijkheid naar licentieverstrekkers o.a. BSA (illegale software/BYOD) Verwachte kosten/investering -- Door het bovenstaande verwacht men relatief hoge kosten, investeringen en inspanningen
Wat is de rol van bestuur, directie en ICT beheer bij de implementatie van ICT beleid Het besluit om de school te beschermen tegen ongewenst computergebruik wordt daarom steeds vaker op bestuurlijk- en directieniveau genomen. Zoals een school is verzekerd tegen brand en voorzien is van een inbraak- en brandalarm, is ICT beleid inmiddels een primair onderdeel geworden binnen het strategisch beleid. Vanuit de perceptie van het bestuur en schoolleiding: Hoe bescherm ik de leerlingen, leerkrachten en de school tegen ongewenst computergebruik. Het begint hierbij met de spelregels waarin het ICT beleid van de school duidelijk is vastgelegd en waarvan alle te volgen procedures voldoen aan de Wet bescherming persoonsgegevens (Wbp/WVP). Duidelijk ICT beleid vanuit directie en bestuur geeft vertrouwen aan waar de school voor staat en biedt rugdekking in geval van grensoverschrijdend internet- of computergebruik. Het nieuwe werken en leren vraagt vanuit de perceptie van de leerkracht en leerling om een duidelijke aanpak: wat is toegestaan zonder het gevoel te hebben te worden ‘betrapt’ of te worden ‘bespioneerd’. Vanuit de school: wat willen we op het gebied van internet- en computergebruik toestaan om de werk- en studievreugde (dus efficiëntie) te bevorderen, maar dan op een zodanige wijze dat dit onze organisatie niet in diskrediet kan brengen?
© Copyright Media Security Networks BV - Rev. 2.0 - 2014
3
Welke rol vervult YourSafetynet school+ bij het ontwikkelen van ICT beleid? De basis van YourSafetynet school+ wordt gevormd door 5 belangrijke pijlers: 1.
Voorziet in alle wettelijke schriftelijke procedures en implementaties, waaronder: • Wet- en regelgeving volgens de privacy wetgeving • Procedures en methodes • Publicatie ICT beleid op een voor iedereen toegankelijke wijze • Integratieprocedures naar de organisatie, leerkrachten, leerlingen, ondernemingsraad (OR) en/of medezeggenschapsraad (MR) • Toegepaste ICT gebruiksreglementen • Accrediteringsprocedures naar de bewerker/systeembeheerder • Voorbeelddocumenten ICT beleid specifiek afgestemd op: - Leerkrachten en Ondersteunend personeel - Leerlingen Primair Onderwijs - Leerlingen Voortgezet of Secundair Onderwijs • Voorziet in alle wettelijke technische implementaties en uitvoering • Voorziet in handhaving van gewenste ICT beleid • Voorziet in ‘Verklaring van Overeenstemming’ en voldoet daarmee als enige aan de Wet bescherming persoonsgegevens (Wbp), Wet Verwerking Persoonsgegevens (WVP) of privacy wetgeving
2. Wettelijke technische implementaties en uitvoering • Gebruikte beveiligingstechnieken (encryptie) voor: - Opslag, Dataverwerking, Communicatie • Geanonimiseerde rapportage en statistieken • Softwarematige controle en beheer • Optie tot selectieve- en individuele maatwerkrapportage • Vaststelling bewaartermijn verwerkte gegevens • Automatische vernietiging verwerkte gegevens einde bewaartermijn • Toegepaste filtermethodieken • Technische implementaties- en registraties • Interactieve controle op overtreding privacywetgeving • Online beschikbaarheid van individueel ingesteld ICT beleid • Beveiligd technisch beheer voor bewerker/systeembeheerder
Screenshot ‘Profiel instellingen’
3. Handhaving gewenst(e) ICT beleid A. Filteren en reguleren • Internetfilters: Porno, Geweld, Drugs, Gokken, Wapens, etc. (link) • Specifieke filtering: eigen black en whitelist categorieën • Mediafilters: Social Media, Games, Skype, P2P, Software, etc. • Blokkeren: Mass-storage (usb/sd-sticks), Cloudstorage, Webcam • Blokkering proxy-websites: websites die de ICT beveiliging kunnen omzeilen • Tijdregulering, selecteer welke categorieën tijdelijk zijn toegestaan (link) - v.b. Social Media wel in de pauze maar niet in de klas (of andersom) • Verwerking/loggen van gegevens over: - Gebruikte bandbreedte - Bezochte websites - Gebruikte USB/SD opslagmedia - Gebruikte software - Alarmscreenshots (onderdeel Anti-pest beleid) • Geïntegreerde ICT procedures
Screenshot ‘Profiel instellingen’
© Copyright Media Security Networks BV - Rev. 2.0 - 2014
4
B. • • • • • •
Extra veiligheidsopties bij Endpoint Clients Screenshot alarm of ICT helpbutton Blokkeer de webcam Blokkeer DVD schrijven Blokkeer USB- en SD opslagmedia Afsluiten bij hinderen YourSafetynet Beveilig laptops die buiten het bereik van het schoolnetwerk gebruikt worden
C. ICT Beleid conform de privacywetgeving • Geïntegreerde ICT gebruiksreglementen specifiek voor: -- Leerkrachten -- Leerlingen Primair Onderwijs -- Leerlingen Voortgezet of Secundair Onderwijs • Voorziet in beleidsprocedures, richtlijnen en aansprakelijkheden naar: -- Ouders/voogd -- Interne organisatie; wat al dan niet is toegestaan -- School, leerkrachten, bestuur en organisatie • Geeft juridische dekking indien het ‘fout’ is gegaan • Wordt automatisch (via updates) aangepast aan de laatste richtlijnen/wetten/procedures • Hierdoor is controle op individueel niveau toegestaan mits de privacywetgeving wordt gerespecteerd
Screenshot ‘Profiel instellingen’
D. Pestprotocol en alarmknop Screenshot ‘ICT Gebruiksreglement’ • Door recente gebeurtenissen heeft de overheid scholen opgedragen een plan van aanpak te ontwikkelen om pesten te voorkomen • Geïntegreerd Anti-pestprotocol, procedures en plan van aanpak conform adviesregels Nationaal Onderwijsprotocol tegen pesten • Anti-pestcontracten beschikbaar voor -- Leerlingen Primair Onderwijs -- Leerlingen Voortgezet of Secundair Onderwijs Screenshot ‘Alarmknop’ • Digitale verklaring waarin leerlingen akkoord gaan met het anti-pestbeleid wat van toepassing is als onderdeel van het ICT-gebruiksreglement • Alarmknop waarmee bedreigende teksten, websites, beelden via Facebook, Skype, etc. worden opgeslagen (endpoint) 4. Bescherming inzake aansprakelijkheden in het kader van Bring Your Own Device (BYOD) Indien een schoolorganisatie toegang verleent tot het computernetwerk dan: • Is de organisatie aansprakelijk voor de legitimiteit van de door medewerkers/leerlingen gebruikte software • Bestaat er onzekerheid of de devices voorzien zijn van adequate antivirussoftware • Kunnen boetes van de Business Software Alliance (BSA) 1000-den €’s bedragen YourSafetynet school+ regelt: • De schriftelijke voorwaarden waarbij medewerkers/gastaccounts toegang krijgen tot de Wi-Fi/hotspot • Noodzakelijke procedures en regels • Conform wettelijke uitspraken • Aanpassing van voorbeelddocumenten in de software bij juridische wetswijzigingen 5. Verklaring van Overeenstemming conform de privacywetgeving Alle regels, procedures, implementaties van YourSafetynet school+ zijn door onafhankelijke advocatenkantoren getoetst aan de wetgeving: België: Wet Verwerking Persoonsgegevens (WVP) Nederland: Wet bescherming persoonsgegevens (Wbp) Tijdens deze evaluatie zijn de volgende criteria van primair belang: • Voldoen aan de wettelijke schriftelijke procedures en implementaties • Voldoen aan de wettelijke technische implementaties en uitvoering © Copyright Media Security Networks BV - Rev. 2.0 - 2014
5
YourSafetynet voldoet als enige aanbieder aan deze zware criteria die door de wetgever zijn gesteld op het gebied van de privacywetgeving en is daardoor voorzien van de ‘Verklaring van Overeenstemming’.
Systeemplatform YourSafetynet school+ Multi-user beheerplatform Door het web-based Multi-user beheerplatform is YourSafetynet school+ zeer eenvoudig in gebruik en beheer. Naast de ICT beheerder (manager die toegang heeft tot alle scholen binnen de organisatie), kan ook de ICT-coördinator van een specifieke school zelf instellingen maken dan wel wijzigen. Uiteraard bestaat de mogelijkheid dat zelfs de leerkracht specifieke aanpassingen kan maken voor zijn/haar groep/ klas of individuele leerling. De gebruikersrechten zijn afgestemd op het niveau van de ICT-er binnen de organisatie. De volgende ICT hiërarchie is uitvoerbaar: • • •
ICT manager/master (alle scholen) ICT coördinator (per school) Leerkracht (per groep of profiel)
Screenshot ‘Overzicht Master’
Door deze opzet wordt voorkomen dat de ICT manager voor iedere (minimale) wijziging in actie dient te komen. YourSafetynet school+ deployment YourSafetynet school+ vereist geen aparte hardware appliances en is geheel gebaseerd op virtual appliances en software: • Voldoet aan de noodzakelijke procedures en regels • Geen aparte hardware appliances vereist • Eenvoudig in gebruik en beheer • Multi-user: ICT-manager, ICT-coördinator en leerkracht • Geheel gebaseerd op virtual appliances en software • Als vereiste van Wbp, centraal ICT beheer van instellingen en controle • Gebruiker-specifieke filtering voor: -- Windows® desktops of laptops Windows Terminal Servers (Microsoft, Citrix) -- Windows® endpoint of clientless gateway filtering -- Non Windows® devices zoals smartphones, tablets en andere mobile device via clientless gateway filtering -- Geschikt voor Windows® Active Directory en OpenLDAP omgevingen.
YourSafetynet: Cloud based management
Componenten Het totale pakket is een volledige softwarematige oplossing en bestaat uit de volgende componenten: •
Management Server Dit onderdeel voorziet in de web-based beheer portal en kan centraal in een datacenter staan (ook wel ‘cloud’). Dit is een virtual appliance en is gekoppeld aan één unieke YourSafetynet licentie.
•
Clientless Filter Gateway Dit onderdeel voorziet in het clientless filteren (met inlogscherm, sessies gekoppeld aan het unieke MAC adres van de machine of device) en staat lokaal in het netwerk (of netwerken bij meerdere fysieke locaties) waar gefilterd moet worden. Doorgaans is dit bijvoorbeeld direct achter een WiFi/Hotspot in het netwerk. Het is ook mogelijk meerdere filter gateways in het netwerk te gebruiken (ongelimiteerd aantal, ongeacht licentie). Dit is ook een virtual appliance en is gerelateerd aan één management server. De filter gateway krijgt zijn instellingen door via deze Management Server (over HTTPS).
© Copyright Media Security Networks BV - Rev. 2.0 - 2014
6
•
Endpoint Client (indien van toepassing) Dit onderdeel voorziet in het filteren op bijvoorbeeld Windows werkstations en/of Terminal Servers en wordt geïnstalleerd op de Windows machine zelf. Filtering vindt lokaal op de machine plaats d.m.v. een lokale proxy. Dit is reguliere software en kan op een onbeperkt aantal Windows machines geïnstalleerd worden.
Conclusies ICT beleid met YourSafetynet school+ • • • • • • •
Filteren is slechts één onderdeel om ongewenst internet- en computergebruik op school te voorkomen Is het enige product wat voldoet aan alle regels en procedures conform de Privacywetgeving en is voorzien van een “Verklaring van Overeenstemming” Voorziet in alle gecertificeerde regels, procedures en criteria in de strijd tegen ongewenst internet- en computergebruik. Door de reguliere updates worden wijzigingen over de privacywetgeving automatisch doorgevoerd in de geïntegreerde voorbeelddocumenten. Voorziet in de regels, procedures en implementatiemethoden om het anti-pest beleid op school te ontwikkelen. Unieke (gepatenteerde) filter- en gebruikersmethoden. Complete oplossing tegen ongewenst internet- en computergebruik van binnenuit. Door het multi-user platform eenvoudig in gebruik en beheer voor de ICT-manager, ICT-coördinator en/of leerkracht.
Live demo Ga voor een Live demo naar: www.yoursafetynet.com/demo/school
Voldoet uw ICT beleid aan de privacywetgeving? Neem voor een gratis ICT-audit contact op met:
[email protected]
Prijsinformatie of binnen uw schoolomgeving testen? Neem voor een geheel vrijblijvende offerte of praktijktest contact op met:
[email protected]
© Copyright Media Security Networks BV - Rev. 2.0 - 2014
7
© Copyright Media Security Networks BV - Rev. 2.0 - 2014
8
