Privacy & Security: een zaak van ons samen

Magister draait om de persoonsgegevens van leerlingen. Die gegevens zorgvuldig verwerken en beschikbaar stellen, geeft Magister bestaansrecht. Daarom staan de onderwerpen veiligheid en privacy vanaf dag één centraal. Tijdens Magister Live ging Edwin Persoon dieper in op de manier waarop de gegevens in Magister beveiligd worden en maakte hij scholen bewust van hun eigen verantwoordelijkheid op dit gebied.

Sinds het in werking treden van de Algemene Verordening Gegevensbescherming 2018 (AVG) kan niemand er meer omheen: het beveiligen van data en het waarborgen van de privacy is ook op scholen een absolute prioriteit. De AVG geldt voor iedereen die op enigerlei wijze persoonsgegevens verwerkt of distribueert. Het gaat daarbij niet alleen om de persoonsgegevens van de leerlingen, maar ook die van ouders, collega’s.


Scholen zijn verplicht om zorgvuldig en veilig met persoonsgegevens om te gaan. In het kader van de AVG hebben scholen een verantwoordingsplicht. Dat betekent dat elke school aan moet kunnen tonen welke technische en organisatorische maatregelen er genomen zijn om de privacygevoelige informatie van leerlingen te beschermen. Dat klinkt eenvoudig. Maar het betekent nogal wat in een connected wereld waarin jongens op zolderkamers en criminele beroepshackers op allerlei manieren proberen om data te vinden en te manipuleren.

Allerhoogste prioriteit

Voor Iddink Group zijn thema’s als privacy en informatiebeveiliging cruciaal. Sterker nog: als informatiebeveiliging niet de allerhoogste prioriteit zou krijgen, zou een systeem als Magister wel in kunnen pakken. Dat heeft onder meer geleid tot strakke processen en een goed bemenste Werkgroep Informatie Beveiliging Magister die bovenop het onderwerp zit.


De veiligheid van de software wordt continu in de gaten gehouden, onder meer door regelmatig professionele hackers los te laten op de systemen. Als het gaat om de garantie op beschikbaarheid van de gegevens zelf, volstaat het om te zeggen dat de IT-omgeving vergelijkbaar is met die van banken en verzekeraars.

Edwin Persoon is Director Product Development van Magister. Daarnaast is hij als Information Security Officer (ISO) verantwoordelijk voor de beveiliging van het systeem en de data in Magister. Tijdens Magister Live verzorgde Persoon een boeiende sessie over dit onderwerp. Magisters Information Security Officer maakte meer dan eens duidelijk dat de leerling daarbij voortdurend het uitgangspunt is. Edwin: “Wij zijn bij Magister niet met IT in die zin bezig. Wij zijn bezig met leerlinggegevens. Hoe kunnen we scholen optimaal faciliteren in hun primaire onderwijs processen en tegelijkertijd die gegevens zo goed mogelijk beveiligen? Dát zijn de twee vragen waar het bij ons om draait. Vervolgens is het aan de scholen zelf om op een verantwoorde manier met al die gevoelige leerlinggegevens om te gaan en goed na te denken over de instellingen van Magister.” En juist dáár ontstaan vaak de uitdagingen.

Een seconde is genoeg

Een situatie die we helaas zien in de praktijk, is dat de inloggegevens van een docent in verkeerde handen terecht komt. “Een seconde, meer kost het niet”, waarschuwt Edwin. “Of het gebeurt, is de vraag niet. De vraag is vooral wanneer het gebeurt.” Gelukkig heeft Magister naast detectieve maatregelen ook een eenvoudige prventieve oplossing in de vorm van Twee-Factor-Authenticatie (2FA). Om als docent in te loggen op Magister heb je dan naast een wachtwoord ook een software token nodig om je identiteit vast te stellen. “Ja, je moet een extra handeling verrichten. Maar je dient hier als school écht je verantwoordelijkheid in te nemen. Alleen zo voorkom je niet-geautoriseerde inzage of mutaties van gegevens.”

De FG is geen papieren functie

Naast fysieke beveiligingsmaatregelen is het inrichten van de juiste processen een must. Een eerste stap daarin is bepalen wie binnen de school het juiste aanspreekpunt m.b.t. deze leerlinggegevens. Dat mag geen papieren functie zijn. De Functionaris Gegevensbescherming (FG) is een formele rol met een serieuze (eind)verantwoordelijkheid. De FG waakt als een leeuw over de privacy van leerlingen en docenten. De FG neemt bijvoorbeeld het voortouw in procedures, onderhoudt contact met de Autoriteit Persoonsgegevens en houdt voortdurend in de gaten wat de impact van bepaalde technische keuzes kan zijn op gegevens in relatie tot de privacy van betrokkenen. De FG op de onderwijsinstelling is voor Magister een belangrijk aanspreekpunt. "Zorg ervoor dat de FG bekend is bij Magister, zodat er in het geval van een informatiebeveiligingsincident heel snel gehandeld kan worden."

Autorisatiematrix

Een van de aandachtspunten van de FG is de autorisatiematrix: de matrix van rollen en bevoegdheden waarin nauwkeurig vastgelegd wordt welke rol toegang krijgt tot welke informatie. Edwin: “Het inrichten van zo’n matrix kan de eerste keer best lastig zijn. Wij helpen scholen graag om die matrix goed in te richten. Daarna is het een kwestie van bijhouden. Het is daarbij van belang dat deze inrichting op regelmatige basis geaudit wordt door de FG in combinatie met de inrichtingsverantwoordelijke.”


“Bij ons hadden de conciërges tijdelijk de rol ‘Beheer Totaal’, vertelt een medewerker van een school uit het zuiden van het land tijdens de sessie in Eindhoven. Ook over de gegevens die derde partijen zoals huiswerkinstellingen of aanbieders van bepaalde apps in mogen zien, moet goed nagedacht worden omdat zo’n bedrijf - wanneer er wat vinkjes verkeerd staan - toegang krijgt tot een onvoorstelbare sloot aan gegevens.

Bewustzijn is belangrijk

De aandacht die scholen voor autorisaties en andere informatiebeveilgings- en privacy-gerelateerde zaken hebben, loopt flink uiteen. Sommige mensen die de sessies in Eindhoven, Amsterdam en Zwolle bijwonen, geven aan er bovenop te zitten. Anderen zien het als veel werk en maken soms andere keuzes. “Het is vooral belangrijk”, zegt Edwin, “dat scholen zich bewust zijn van hun plichten en van de risico’s die ze lopen. Ga ermee aan de slag. Denk na over de risico’s en over adequate maatregelen. En zorg dat je altijd kunt laten zien dat je er serieus mee bezig bent, als je te maken krijgt met de Autoriteit Persoonsgegevens.”

Zorgt u ervoor dat de FG bekend is bij Magister, zodat er in het geval van een informatiebeveiligingsincident heel snel gehandeld kan worden. Aanmelden van de functionaris gegevensbescherming kan door een e-mail te sturen naar relatiebeheer@magister.nl