Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer
Ronde van Vlaanderen Onderwijs
Organisatie Informatieveiligheid
Safe@School Willem Debeuckelaere Anne Teughels & Caroline Vernaillen mei 2015
Vlaamse Toezichtcommissie WIE • Wie zijn wij o
o
adviseurs van de VTC
De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer
Opgericht bij E-GOV decreet 18 juli 2008
Verantwoording aan Vlaams Parlement Controleren van stromen van persoonsgegevens die uitgaan van een Vlaamse instantie (cf. decreet openbaarheid bestuur) → ook lokale besturen (gemeentelijk en provinciaal onderwijs) → ook onderwijsinstellingen Hoe: 1° machtigen van die stromen (criteria privacywet – zie verder) 2° adviezen (regelgeving, VDI-decreet) 3° beantwoorden van vragen en begeleiding 4° controletaken: audit
Vlaamse Toezichtcommissie
2
Informatieveiligheid
o De privacywet: wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (WVP) http://vtc.corve.be/wetgeving.php
Vlaamse Toezichtcommissie
3
Informatieveiligheid
Definitie van persoonsgegeven: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon … leerling, ouder, personeel = zeer ruim = niet beperkt tot privacy/persoonlijke levenssfeer
Vlaamse Toezichtcommissie
4
Informatieveiligheid
Vlaamse Toezichtcommissie
5
Informatieveiligheid
Definitie van verantwoordelijke voor de verwerking Niet de IT-dienst Niet de personeelsleden WEL het schoolbestuur = verantwoordelijk voor de naleving van de privacywet
Vlaamse Toezichtcommissie
6
Informatieveiligheid WAAROM
• Omdat behoorlijk bestuur vraagt dat u zorgvuldig omgaat met de gegevens van burgers, leerlingen, personeel • Omdat u bepaalde situaties wil vermijden…
Vlaamse Toezichtcommissie
7
Informatieveiligheid WAAROM
Melding hacking door scholen Kinderen en jongeren zijn een kwetsbare groep.
Vlaamse Toezichtcommissie
8
Bescherming van persoonsgegevens in de hele school • HR: personeelsgegevens! • Communicatie: cookies, sociale media, … • Facilitair: gebouwinfrastructuur, toegang, bewaking • Cultuur: deontologie, awareness, sociale media • ICT: natuurlijk Vlaamse Toezichtcommissie
9
veiligheidsconsulent
Belangrijke rol: veiligheidsconsulent Iedere instantie die een authentieke gegevensbron beheert die persoonsgegevens bevat, iedere instantie die elektronische persoonsgegevens ontvangt of uitwisselt, en iedere entiteit die overeenkomstig artikel 4, § 3, aangewezen is en persoonsgegevens verwerkt, wijst een veiligheidsconsulent aan. De Vlaamse Regering bepaalt de opdrachten en de manier van aanwijzing van die veiligheidsconsulenten. (art. 9 e-govdecreet)
Vlaamse Toezichtcommissie
10
Informatieveiligheid Veiligheidsconsulent en plan: afspraken voor onderwijsinstellingen o Principe: elke onderwijsinstelling een VC o Praktische oplossing: contactpersoon informatieveiligheid en ondersteuning vanuit het ministerie Onderwijs en Vorming Cf. machtigingen o Lukt niet (tijdig)
Vlaamse Toezichtcommissie
13
Informatieveiligheid Veiligheidsconsulent: afspraken voor onderwijsinstellingen o Afspraken overleg VTC - AgODi – onderwijskoepels 20 maart 2013
De vertegenwoordigers van elk onderwijsnet een globale visie hebben hoe ze de informatieveiligheid in de scholen zullen aanpakken. Concrete stappen in de richting van minimale veiligheidsnormen De verschillende onderwijsorganisaties zullen hiervoor ook samenwerken en ideeën omtrent de aanpak uitwisselen. AgODi is bereid om hierbij ondersteuning te bieden. Vlaamse Toezichtcommissie
14
Informatieveiligheid STAND VAN ZAKEN Na verschillende vergaderingen met AgODi en koepels:
● plan van aanpak/concreet stappenplan per koepel, verschillend door de aard van het schoolbestuur
Vlaamse Toezichtcommissie
16
Informatieveiligheid STAND VAN ZAKEN ● Overleg kabinet Onderwijs – 24/02/2015 Deelname VTC aan Ronde van Vlaanderen → stap in het bewustmakingsproces
Vlaamse Toezichtcommissie
17
Informatieveiligheid Veiligheidsconsulent: mogelijkheden voor onderwijsinstellingen o o o o o
Intern (niet ICT verantwoordelijke of directeur!) Extern (niet softwareleverancier!) Per scholengroep (nodige aantal uren per week) Provincie of gemeente Ondersteunen: • Edubit • Onderwijs & Vorming Vlaamse Toezichtcommissie
18
Informatieveiligheid
Voor de gemeenten en provincies kan de veiligheidsconsulent van de gemeente of de provincie optreden. De provincies hebben dus alle een VC, maar bij de gemeenten … http://vtc.corve.be/overzicht.php
Vlaamse Toezichtcommissie
19
Informatieveiligheid Opstellen van een informatieveiligheidsplan !!! Eenzelfde kader voor alle organisaties:
richtsnoeren informatieveiligheid CBPL
http://www.privacycommission.be/sites/privacycommission/files/documents/Richtsnoe ren_CBPL_V%202%200_3.pdf
! risico-analyse ! awareness ! voldoende middelen ! stappenplan: meerjarenplanning ! contract met de verwerker (softawareleverancier, (onder)aannemer)
Vlaamse Toezichtcommissie
24
Handleiding Cybersecurity Belgische Gids voor Cyberveiligheid
De gids is bedoeld als praktisch instrument voor het bedrijfsleven, maar kan zeker ook zijn nut bewijzen in een overheidscontext. Het is een technologieneutrale en beknopte handleiding die verhelderend wil zijn voor het management en die zo ook bruikbaar is voor de informatieveiligheidsconsulent.
Vlaamse Toezichtcommissie
27
Draaiboek Edubit Draaiboek voor goed ICT-beleid Het draaiboek bevat naast algemene teksten (leesbaar voor een directie) en details (voor de ICT-coördinator), een reeks checklists (ondersteund met een online module)...
Vlaamse Toezichtcommissie
28
Aanbeveling privacycommissie ivm datalekken http://www.privacycommission.be/sites/privacycommission /files/documents/aanbeveling_01_2013.pdf
Vlaamse Toezichtcommissie
29
Website “Ik beslis” van de Privacycommissie http://onderwijs.ikbeslis.be/onderwijsprivacy-op-school
Vlaamse Toezichtcommissie
30
informatieveiligheid AANDACHTSPUNTEN
Informatieveiligheid
dus niet alleen persoonsgegevens maar ook o andere vertrouwelijke informatie o de beschikbaarheid en betrouwbaarheid van de informatie voor de werking van de school, voor uitwisseling met overheid ook informatie op papier Vlaamse Toezichtcommissie
31
AANDACHTSPUNTEN
Publiceren van persoonsgegevens: 2 keer nadenken!!
Vlaamse Toezichtcommissie
32
Vlaamse Toezichtcommissie
34
AANDACHTSPUNTEN
Bewustmaking van personeel/leerlingen Paswoordbeleid: - Strikt persoonlijk = niet doorgeven - Degelijk = hoe langer hoe beter, niet gemakkelijk te raden - Wijzigen (vb. 1x/jaar) - Niet opschrijven - Niet automatisch opslaan - ≠ paswoorden voor ≠ toepassingen Vlaamse Toezichtcommissie
36
AANDACHTSPUNTEN
Waar worden de data bijgehouden? Communicatie en opslag in de cloud?!
Vlaamse Toezichtcommissie
37
o Amerikaanse cloud = Vlaamse data naar vreemde mogendheid!! •
2 wijzigingen Foreign Intelligence Surveillance Act (FISA ACT): Patriot Act: “terrorisme” FISA Amendments Act: “verzamelen buitenlandse inlichtingen”! “information with respect to a foreign-based political organization or foreign territory that relates to the conduct of the foreign affairs of the United States.”(§ 1801(e))
• •
entiteit gevestigd is in de VS, een dochteronderneming of kantoor heeft in de VS of op andere wijze continu en systematisch zaken doet in de VS data van “niet-Amerikaanse personen verblijvend in het buitenland” !
•
clouddiensten bedoeld: “remote computing services” !
•
screening kan op grote schaal (door nieuwe grote datacenters van de NSA)
•
ongeacht contractuele bepalingen
Oplossing: end-to-end encryptie en sleutel in eigen handen Meer op http://vtc.corve.be/infoveiligheid.php
Vlaamse Toezichtcommissie
38
informatieveiligheid BESLUIT • Informatieveiligheid is een zaak van de hele school. Er kunnen stappen gezet worden • Linken o www.vlaamsetoezichtcommissie.be o www.privacycommission.be
• Vragen? toezichtcommissie{at}vlaanderen{dot}be
Vlaamse Toezichtcommissie
40
