Informatiebeveiliging en privacy (IBP)

Scholen maken steeds beter en meer gebruik van ict. Daardoor neemt niet alleen het aantal persoonsgegevens dat scholen gebruiken toe. Ook brengt de afhankelijkheid van ict nieuwe risico’s met zich mee, zoals cybercrime en datalekken. Het beschermen van de persoonsgegevens van leerlingen en medewerkers en daarmee het waarborgen van de privacy, wordt dan ook steeds belangrijker. Schoolbestuurders zijn volgens de wet verplicht om privacy goed te regelen. Vanaf 25 mei 2018 verandert de Wet bescherming persoonsgegevens (Wbp). De nieuwe wet, welke hetzelfde is voor alle Europese landen, heet Algemene Verordening Gegevensbescherming (AVG). 

Wetgeving bepaalt niet alleen onder welke voorwaarden persoonsgegevens gebruikt mogen worden, maar geeft ook aan dat er passende technische en organisatorische maatregelen genomen moeten worden om de persoonsgegevens te beschermen. Informatiebeveiliging is dan ook een belangrijke voorwaarde voor privacy, terwijl omgekeerd het zorgvuldig omgaan met persoonsgegevens noodzakelijk is voor informatiebeveiliging. Beide begrippen staan dan ook naast elkaar, en zijn van elkaar afhankelijk.

Om makkelijk over informatiebeveiliging en privacy te kunnen praten korten we het af tot IBP.
bron: https://maken.wikiwijs.nl/81891/Aanpak_IBP_voor_het_PO_en_VO#!page-2201167 

IBP Aves

Voor IBP Aves verwijs ik naar het document Privacy, gedragsregels en afspraken

Dit document wordt op dit moment bijgewerkt in voorbereiding op de komende Algemene Verordening Gegevensbescherming.

Datalekken

Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat alle organisaties (dus ook onderwijsorganisaties) een datalek moeten melden bij de Autoriteit Persoonsgegevens. In een aantal gevallen moet het datalek ook gemeld worden bij de betrokkenen (de personen van wie de persoonsgegevens zijn gelekt).

Verschil datalek en beveiligingsincident

  • Een beveiligingsincident is een gebeurtenis waarbij de mogelijkheid bestaat dat de vertrouwelijkheid, integriteit of beschikbaarheid van informatie of informatie verwerkende systemen in gevaar is of kan komen.

    Je hebt bijvoorbeeld een email verstuurd naar een verkeerd emailadres. Je hebt meerdere ouders gemaild, maar CC in plaats van BCC gebruikt waardoor alle emailadressen zichtbaar zijn.

  • Een datalek is een beveiligingsincident, waarbij persoonsgegevens verloren raken of onrechtmatig worden verwerkt (opgeslagen, aangepast, verzonden enz.). 

    Je Parnassysaccount is gehackt, je bent in een phising email getrapt, Je verslagen van oudergesprekken stonden op je memorystick welke je verloren bent.

Alle datalekken zijn dus beveiligingsincidenten, maar niet alle beveiligingsincidenten zijn datalekken!

Heb je een vermoeden van een datalek of beveiligingsincedent, meldt dit dan via privacy@aves.nl