Privacy en de wet AVG

ParnasSys en de AVG wet

Twee Staps Verifcatie

Stappen AVG volgens Its Learning

De AGV in een notedop

DATALEK - OVERZICHT

Datalek  voorkomen:

• Zorg altijd voor beveiliging van je computer, laptop en mobiele telefoon met een wachtwoord.

• Vergrendel je computer, laptop en mobiele telefoon zodra je deze (even) niet gebruikt.

• Nooit je wachtwoord automatisch laten invullen: Dus altijd opnieuw invoeren (of touch ID met vingerafdruk) na vergrendelen /afsluiten van laptop en mobiele telefoon.

• Bewaar nooit gegevens op je computer/laptop. Werk alleen in de cloudomgeving van Google of Office 365

• Bewaar zo min mogelijk papier met gevoelige informatie. Zit een dossier als een bestand in ParnasSys, de papieren versie vernietigen.

• Stuur geen gevoelige gegevens per mail naar iemand toe. 

• Stuur je een bericht naar meerderen, altijd de mail naar jezelf sturen en de rest in BCC

Alle documentatie van de trainer van PRIMO

Overzicht van personeelsleden die de AVG bijeenkomst op 21 februari 2018 hebben bijgewoond

PP

De tien geboden 

1. Gebruik overal een uniek wachtwoord;

2. Gebruik sterke wachtwoorden of vingerafdruk; 

3. Gebruik 1Password (password manager); 

4. Installeer een virusscanner (ook op Mac!); Op Chromebooks/chromebox hoeft dat niet, zit er al in.

5. Installeer updates automatisch; 

6. Vergrendel je laptop & telefoon; 

7. Gebruik geen onveilige netwerken; (NS, RET, HORECA) 

8. Volg veiligheid policies; 

9. Neem geen risico’s met verdachte e-mails; 

10. Zet “ingelogd blijven” uit als Admin.

Wat doe je vooral wel en wat doe je vooral niet? 

1. Wat is privacy precies? Stel jezelf die vraag. Bedenk je dan ook wat dat betekent voor de school. Privacy is nodig want dan ga je je anders gedragen. 

2. Stel een privacybeleid op. En publiceer dit document. Hierin staat wat je als school vraagt van ouders en leerlingen. (Komt nog van PRIMO)

3. Maak afspraken met leveranciers. Gebruik je bijvoorbeeld een leerlingvolgsysteem? Zorg dat je weet wie waar voor verantwoordelijk is. Bedenk je ook dat alleen de school verantwoordelijk gehouden kan worden voor de gevraagde informatie van de leerling. (Regelt PRIMO voor de scholen)

4. Breng ouders op de hoogte. Een avond organiseren waarin de school uitlegt welke persoonlijke data er wordt opgeslagen is belangrijk. Ook informeren via een schoolgids, ouderportaal of nieuwsbrief behoort tot de mogelijkheden. (Tekst komt van PRIMO)

5. Vraag om toestemming. Zomaar informatie opslaan mag niet. En de school mag alleen informatie opslaan die een doel dient. 

6. Wees duidelijk en helder in wat je opslaat. Zorg ervoor dat alle communicatie over datgeen wat je opslaat door iedereen begrepen kan worden. Maak het duidelijk en ondubbelzinnig. 

7. Informeer ook de leerlingen (meer in VO). Naast ouders is het verstandig ook leerlingen op de hoogte te stellen welke informatie de school opslaat. 

8. Zorg dat je alle informatie goed en veilig opslaat. Zowel fysiek als digitale beveiliging is belangrijk. Denk bijvoorbeeld aan een slot op de serverruimte en een sterk wachtwoord. 

9. Vraag je persoonsgegevens om bijvoorbeeld een schoolreisje te organiseren? Dat mag, maar bedenkt je wel dat de school deze lijst enkel voor dit doel mag gebruiken. Is het reisje voorbij? Vernietig dan hierna de lijst. 

10. Hoe lang heb je bepaalde gegevens nodig? Niet meer nodig? Verwijderen! Dit is dataminimalisatie. 

11. Leerlingen die verhuizen of naar een andere school gaan hebben recht om hun digitale dossier mee te nemen. Zorg dus dat (letterlijk) alle (enkel) digitale persoonsgegevens geëxporteerd kunnen worden. Dit moet naar machine-leesbaar formaat (xml, kommagescheiden, etc.). (Gaat nu netjes via OSO)

12. Ouders/leerlingen hebben het recht om hun gegevens in te zien. Maak het volledig duidelijk hoe zij dit kunnen doen. Hetzelfde geldt voor het verwijderen van gegevens, wijzigen of afschermen. De school moet hier gehoor aan geven. (Inzien hoeft niet meteen, je hebt de tijd om het dossier samen te stellen)

13. Toch zullen niet alle gegevens zomaar aangepast hoeven te worden: de wet schrijft voor een school om het uitoefenen van haar taak bepaalde gegevens moet bewaren.

14. Stel een Functionaris voor de Gegevensbescherming aan. (Stelt PRIMO aan)

15. Maak een Privacy Impact Assessment. Verwijs naar dit document op de site en op alle andere plekken waar je met data omgaat. (Komt van PRIMO)

16. Maak een plan Meldplicht Datalekken.(Komt van PRIMO)

17. Foto’s op de site? Toestemming vragen. Foto’s op sociale media? Ook weer vragen om toestemming. (Wat mij betreft gaan we dit niet jaarlijks vragen (gedoe!), dus geen foto's van kinderen in website, schoolgids, Facebook) 

18. Herinner ouders aan de keuze met betrekking tot toesteming. Doe dit bijvoorbeeld jaarlijks in de nieuwsbrief of via de studiegids. (Als we bovenstaande niet doen, dan hoeven we dit jaarlijks ook niet te vragen)

19. Zorg ervoor dat alle collega’s (onderwijzend, ondersteunend) maar ook het management op de hoogte zijn van de AVG. Het is niet enkel een onderwerp van de afdeling ICT. (Ga naar infobijeenkomsten, lees je in!)

20. Zorg dat de school IT Security Awareness trainingen gaat volgen en dat dit onderdeel wordt van een jaarlijks terugkerend proces. Bewustzijn is belangrijk, verandering van gedrag belangrijker. (Jaarlijks op de agenda!)

Tips voor ICT 

• Wachtwoorden: zorg dat iedereen een sterk wachtwoord kiest. Dit is lastig maar een wachtwoordmanager (zie links) kan helpen. Deze manager zorgt dat wachtwoorden opgeslagen blijven en gewijzigd kunnen worden. Je hoeft ze zelf niet meer te onthouden. 

• Wachtwoorden mogen niet opgeschreven worden. Dit kan gewoon niet. Punt! 

• Wachtwoorden moeten om de x-aantal dagen worden gewijzigd. Dit komt de veiligheid ten goede. Veel collega’s zullen het vervelend vinden om dit te doen, maar het is pas echt vervelend als gevoelige, persoonlijke informatie van de leerlingen buiten de school ligt omdat iemand zijn wachtwoord niet gewijzigd heeft. Probeer om de 60-90 dagen te wijzigen. Zeker niet langer wachten!

• Wachtwoorden die worden gewijzigd mogen niet op het oude lijken. Dus wijzigen van Welkom01 naar Welkom02 en naar Welkom03 zou niet mogelijk moeten zijn. 

• Als een programma dat de school gebruikt “Two-Factor-Authentication” (ook wel Twee-Traps-Beveiliging genoemd) ondersteunt, is dat slim om te gebruiken. Vraag dit na bij de leverancier van de programmatuur. Het zorgt namelijk voor iets dat je weet en iets dat je hebt. Je weet het wachtwoord en je krijgt een sleutel/code toegezonden die je samen met het wachtwoord moet invoeren. (Google, Microsoft en ParnasSys hebben dat, moet je zwelf aanzetten!)

• Iedereen moet een eigen account hebben. Niemand mag een account delen! Dit heeft als reden dat het niet meer te zien is waar een datalek ontstaan is als dit wel gedaan wordt. Stel je voor: collega A logt in met het eigen account maar deelt dit met Collega B. Collega B logt in met het account van A. Het systeem ziet dat het account van Collega A is gebruikt. Er ontstaat een lek omdat onder het account van Collega A iets misging. Wie is er nu verantwoordelijk?

• USB-sticks. Ban deze. Het is een onveilig medium. Die moeten dus weg. Power Point van leerlingen alleen dus via mail of link. We moeten nog wel een oplossing hebben voor ons digitaal rapport!

• Zorg dat USB-stick niet meer kunnen werken in het systeem. Met zogenaamde “policies” op de computersystemen wordt er gezorgd dat USB-sticks niet meer werken. Dit zal ik AVEHA vragen als we een oplossing hebben voor de rapprten! In Google Beheer voor de chromebooks ga ik dit uitzetten.

• Breng collega’s op de hoogte dat USB-sticks echt niet kunnen. En als het commentaar komt dat een mailbox te klein is om bepaalde data te versturen zorg dan dat de mailbox limieten aangepast worden. In plaats bestanden te mailen kun je ook een link van het bestand sturen. Zet deze dan open voor diegene die je het stuurt.

• Cloud: enkel betaalde clouddiensten als Microsoft Office365 gebruiken. En zeker geen privédiensten als de privé Dropbox van collega A of B. 

• Thuiswerken. Mag maar dan alleen beveiligd. Zorg voor een VPN of een Token waarmee gewerkt kan worden. Dit hoeft niet als je volledig in de Cloud werkt of met ParnasSys. Zorg thuis wel  dat je je computer afschermt.

• Dossiers van collega’s of leerlingen naar thuis mailen is verboden. 

• De afdeling ICT is ondersteunend: maak je collega’s het dus niet lastiger maar help hen. Blijf communiceren met elkaar. 

• Bring your own device (BYOD). Lastig verhaal. Maak afspraken hierover. Mag een collega zijn of haar telefoon gebruiken voor zakelijk mail? En wat als deze telefoon kwijt is? Mag deze dan gewist worden? Het is immers een datalek. 

• Bedenk waar risico’s liggen. Schrijf ze op. Neem maatregelen.

Handige links 

• Tien stappenplan Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-biedt-10- stappenplan-voorbereiding-nieuwe-privacywet 

• Tien stappenplan Autoriteit Persoonsgegevens https://jochendenouden.nl/2017/09/26/gdpr-en-avg/ 

• Privacy Impact Assessment (vragenlijst) https://www.norea.nl/download/?id=522

• Meldplicht datalekken https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken

• Over sterke wachtwoorden https://www.linkedin.com/post/edit/een-veilig-wachtwoord-hoe-doe-jedat-jochen-den-ouden

• Lastpass (password manager) https://lastpass.com

• Dashlane (passwordmanager) https://dashlane.com 

• Het lespakket voor het onderwijs (Groep 7/8) maar ook interessant voor docenten https://autoriteitpersoonsgegevens.nl/lespakket 

• Verscherpte aandacht voor https https://autoriteitpersoonsgegevens.nl/nl/nieuws/verscherpte-aandachtap-voor-verouderd-beveiligingsprotocol-sslv2 

• Digitalisering en het onderwijs (o.a. bewaartermijnen etc.) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuweeuropese-privacywetgeving/scholen-de-avg#mag-u-als-school-onderde-avg-beeldmateriaal-van-leerlingen-publiceren-6262

• Links naar gebruikte filmpjes: 

  • Jaywalk of Shame (Privacy in China): https://youtu.be/VJOrlZsNHf4

  • Social Engineering (What is your password): https://www.youtube.com/watch?v=opRMrEfAIiI 

  • De luizenmoeder (vanaf 8.20 min) http://www.dailymotion.com/video/x6dizqw

AVG

Vanaf 25 mei 2018 gaat de nieuwe Europese privacywetgeving in, de Algemene Verordening Gegevensbescherming (AVG). De AVG vervangt de oude Wet bescherming persoonsgegeven (Wbp) en geldt voor heel Europa.

Papier of digitaal maakt niet uit voor de privacy

• Gebruik jij echter gewoon een schriftje, lees in dat geval "opschrijven" of "bewaren"; het onderstaande geldt immers ook voor jou. Er bestaat namelijk geen onderscheid tussen papieren privacy en digitale privacy.

Zo min mogelijk en zo kort mogelijk gegevens bewaren

• Als school ben je straks verplicht om beter te onderbouwen waarom je welke persoonsgegevens van ouders en kinderen wilt verzamelen en verwerken en hoe lang je die gegevens wilt bewaren. Uitgangspunt daarbij is dataminimalisatie: je mag niet meer gegevens vragen en ze niet langer bewaren dan strikt noodzakelijk.

Foto's/video

• Is het opslaan van pasfoto's echt noodzakelijk voor het goed functioneren van de school? Volgens ons niet. Dus weglaten of expliciet toestemming vragen!

Aandachtspunten

• Aandachtspunten die niet meer actueel zijn (bijv. medicijnen die gestopt zijn of gedragsproblematiek die over is) dienen te worden verwijderd en aandachtspunten die niet relevant zijn voor school al helemaal. Als een kind bijv. 's ochtends medicijnen gebruikt mag dat niet bij de TSO worden opgeslagen. Bij goede online systemen kunnen ouders dit zelf up-to-date houden, maar je dient hen daar wel op te wijzen!

Geslacht

• Het is heel gebruikelijk om bij een ouder op te slaan of deze dhr. of mevr. is en bij kinderen jongen meisje. Echter, voor de administratie en de uitvoering van de TSO zijn deze gegevens helemaal niet relevant: Voornaam (of voorletter) plus achternaam volstaan om een persoon te identificeren en te adresseren. Het geslacht doet er eigenlijk niet toe. Weglaten dus.

Expliciete toestemming of gerechtvaardigd belang

• Zolang er geen belang gediend is met het bewaren van bepaalde gegevens (bijv. de genoemde foto's) moet je altijd expliciet toestemming krijgen van ouders. Met expliciete toestemming is in principe 'alles' mogelijk.

• Deze verkrijg je door bij het invullen van het ouderaccount een actieve handeling te vragen, bijv. een vinkje aanklikken of handtekening zetten bij de vraag of men toestemming geeft om pasfoto's te bewaren; ook al heb je dit elders al (passief) opgenomen in de algemene voorwaarden of de overblijfregels. Je moet straks kunnen bewijzen dat je expliciet toestemming hebt gevraagd en dat doe je met dat vinkje of die handtekening.

• Voor het bewaren van aandachtspunten (medicijnen, allergie, gedragsproblematiek enz.) bestaat wel een gerechtvaardigd belang, namelijk de veiligheid en de gezondheid van het kind. Je hebt daarvoor geen actieve toestemming nodig; de passieve toestemming in de voorwaarden of regels volstaat.

Het recht te worden vergeten

• Na beëindiging van het gebruik van persoonsgegevens, hebben burgers in de EU het 'recht te worden vergeten'. Voor school betekent dit dat ouders je straks makkelijker kunnen vragen om gegevens te verwijderen. 

• De gegevens van de kinderen doen er dan niet meer toe. Die kunnen uit je administratie verwijderd worden. Als ouders dit zelf online kunnen doen, dan dien je ze daar op te wijzen. In een goed online systeem kunnen ouders zelf ook hun eigen gegevens verwijderen.

Privacy voor medewerkers

• Het bovenstaande geldt ook voor medewerkers: Alleen die gegevens opslaan die echt nodig zijn en zodra de medewerker gestopt is dan bewaar je alleen nog maar de specificaties van de betaalde vrijwilligersvergoedingen voor het geval de belastingdienst door ooit naar vraagt.

Privacy door medewerkers

• Op hun beurt hebben medewerkers ook een verantwoordelijkheid t.a.v. de privacy van ouders en kinderen. Zorg er voor dat de medewerkers ervan doordrongen zijn dat zaken als aandachtspunten, incidentenlogboek, contactgegevens van gescheiden ouders, vertrouwelijk zijn en ze daar niet mee naar buiten mogen treden. Neem geheimhouding van vertrouwelijke informatie op in het medewerkers-contract.

Maak een dossier "Risico-analyse"

• Je dient bewuster om te gaan met privacy en te onderzoeken waar bij jouw TSO de risico's liggen. We raden je aan om deze risicos's eens te benoemen, vast te leggen en aan te geven wat je hebt gedaan om deze risico's te minimaliseren. Dit is niet verplicht maar help je bewuster om te gaan met privacy.

Fysieke administratie

• Heb je een administratie op papier, bedenk dan wie toegang heeft tot die administratie, tot de ruimte of de kast waar de administratie bewaard wordt. Zorg dat alleen jij, de directeur en de administratie toegang kunnen hebben. Zorg dat de kast of ruimte zijn afgesloten als jij er niet bent en dat medewerkers aandachtspunten op papier weer bij jou inleveren. Denk eens uitgebreid na waar verder privacygevoelige informatie zou kunnen weglekken naar het schoolplein of elders en bedenk maatregelen, voer deze uit en schrijf op wat je gedaan hebt.

Computer administratie

• Hoe is het gesteld met computers die je bij de administratie gebruikt? Wie kennen het wachtwoord? Hoe vaak wijzig je het? Laat je de computer onbeheerd openstaan als je wegloopt? Of log je uit? Hoe goed gaan de tso-medewerkers om met privacy en computer-privacy? Zijn ze 'bewust'? Hebben ze daarin misschien scholing nodig? Noteer met welke maatregelen je de risico's hebt beperkt.

Online administratie

• Heb je een (online) administratie systeem dan kun je in de Bewerkersovereenkomst en/of de Privacybijsluiter zien welke inspanningen de makers ervan zich getroost hebben om de opgeslagen gegevens te beveiligen tegen z.g. datalekkage (dit is het ongewenst kwijtraken van gegevens of gehackt worden).

Meldplicht bij datalekkage

• Is er ondanks alle genomen maatregelen toch sprake van datalekkage dan moet de school, als eindverantwoordelijke, dat in bepaalde gevallen melden.

In het algemeen eist de AVG het volgende:

• Documentatie en beoordeling van de verwerking van alle persoonlijke gegevens en de in gebruik zijnde systemen. Het doel en de rechtmatigheid van de verwerking moeten worden gedefinieerd en u moet zich ervan verzekeren dat er geen persoonlijke gegevens worden verwerkt die niet nodig zijn voor het beoogde doel.

• De organisatorische en technische veiligheid van de verwerking waarborgen en deze kunnen aantonen. De interne processen voor dataopslag en veiligheid beoordelen en documenteren. Garanderen dat uw eigen technologie voldoende technische veiligheid kan leveren, en deze documenteren.

• Indien u gebruikmaakt van diensten van derden, zoals die van ons, om persoonlijke gegevens te verwerken, dient u er zeker van te zijn dat de vereisten voor gegevensverwerking voldoen aan de AVG.

• Wanneer u nieuwe technologie aanschaft die mogelijk een groot risico vormt voor persoonlijke gegevens, dient u een risicoanalyse uit te voeren: een gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment, DPIA). Onze diensten vormen voor u, als bestaande klant, geen nieuwe technologie. Desondanks kan het een goed idee zijn een DPIA uit te voeren. Deze kan u helpen bij het documenteren van de conformiteit.

• Gebruikers (gegevenssubjecten) hebben betere rechten onder de AVG. Onze klanten zullen moeten beschikken over processen voor het ontvangen van verzoeken van gegevenssubjecten en voor het beoordelen van de geldigheid van de verzoeken.

• Een met name belangrijk gegevenssubjectrecht is transparantie en informatie. Zorg dat de informatie die u uw gebruikers biedt over alle vereisten van de AVG eenvoudig toegankelijk is, en duidelijk aangeeft hoe zij hun rechten kunnen uitoefenen. Bij jonge gebruikers dient u er zeker van te zijn dat deze informatie ook beschikbaar is voor de ouders.

Vertrouwelijke berichten en bijlagen sturen

1. Ga op je computer naar Gmail.

2. Klik op Opstellen.

3. Klik rechtsonder in het venster op De vertrouwelijke modus inschakelen (pictogram slotje met klokje)

4. Tip: Als je de vertrouwelijke modus al hebt ingeschakeld voor een e-mail, klik je onderaan de e-mail op Bewerken.

5. Stel een vervaldatum en toegangscode in. Deze instellingen gelden voor zowel de e-mailtekst als eventuele bijlagen. 

   • Als je 'Geen sms-toegangscode' kiest, kunnen ontvangers die de Gmail-app gebruiken het bericht rechtstreeks openen. Ontvangers die geen Gmail gebruiken, krijgen een toegangscode via e-mail.

   • Als je 'Sms-toegangscode' kiest, krijgen ontvangers een toegangscode via sms. Zorg ervoor dat je het telefoonnummer van de ontvanger invoert, niet je eigen telefoonnummer.

6. Klik op Opslaan.

De toegang vroegtijdig intrekken

Je kunt voorkomen dat een ontvanger de e-mail vóór de vervaldatum bekijkt.

1. Open Gmail op je computer.

2. Klik links op Verzonden.

3. Open de vertrouwelijke e-mail.

4. Klik op Toegang intrekken.

Vertrouwelijke berichten sturen in Gmail op je telefoon/tablet: zo doe je dat:

1. Open de Gmail-app op je Android-smartphone of -tablet;

2. Maak een bericht op zoals je gewend bent;

3. Tik in de rechterbovenhoek op de drie puntjes en kies ‘Vertrouwelijke modus’;

4. Stel vervolgens een vervaldatum en eventuele toegangscode in;

5. Ben je klaar? Tik dan op ‘Opslaan’.

Als het goed is staat aan de onderkant van de e-mail dat het bericht beveiligd is. De ontvanger kan de mail zodoende niet doorsturen, kopiëren, printen of downloaden. Vervolgens hoef je de e-mail alleen nog maar te verzenden. Tik hiervoor op het pijltje rechtsboven in het scherm.

Onder het kopje ‘Toegangscode vereisen’ kun je twee opties kiezen. Bij de standaardmodus genereert Google een code die de ontvanger moet invullen om de inhoud van je berichtje te zien. Kies je voor de tweede optie, dan krijgt de ontvanger een toegangscode per sms. Deze dient hij of zij in te vullen om het bericht te kunnen lezen

Een e-mail openen die met de vertrouwelijke modus is verzonden

Als de afzender de e-mail heeft verzonden in de vertrouwelijke modus, geldt het volgende:

• Je kunt het bericht en de bijlagen bekijken tot de vervaldatum of tot de afzender de toegang intrekt.

• Opties om de tekst en bijlagen te kopiëren, te plakken, te downloaden, af te drukken en door te sturen zijn uitgeschakeld.

• Je moet mogelijk een toegangscode invoeren om de e-mail te openen.