Informatiebeveiliging en privacy (IBP)

De AVG stelt voorwaarden aan de beveiliging van persoonsgegevens. Dat noemen we Informatiebeveiliging en privacy (IBP).

IBP en ict

Scholen maken steeds beter en meer gebruik van ict. Daardoor neemt niet alleen het aantal persoonsgegevens dat scholen gebruiken toe; de afhankelijkheid van ict brengt ook nieuwe risico’s met zich mee, zoals cybercrime en datalekken. Het beschermen van de persoonsgegevens van studenten en medewerkers, en daarmee het waarborgen van de privacy, wordt dan ook steeds belangrijker.

Privacy: wat is dat eigenlijk?

Privacy is een grondrecht. Net als het recht op vrijheid van godsdienst of het recht op vrijheid van meningsuiting. In de Universele Verklaring van de Rechten van de Mens is privacy geborgd als mensenrecht. Privacy is ‘het recht om met rust te worden gelaten, het recht om te weten en te bepalen wat er met gegevens over u gebeurt, en om te weten wie de beschikking over uw gegevens heeft’. Privacybescherming, bescherming van persoonsgegevens dus, is in de AVG vanaf 25 mei 2018 op Europees niveau geregeld. Schoolbestuurders worden hiermee wettelijk verplicht om de privacy op school voor medewerkers en leerlingen te regelen.

“Privacy niet belangrijk vinden omdat je niets te verbergen hebt, is hetzelfde als niet geven om vrijheid van meningsuiting omdat je niets te zeggen hebt.” 
Edward Snowden

Informatiebeveiliging 

Informatiebeveiliging kan omschreven worden als het nemen van maatregelen om het risico op beveiligings- en privacy-incidenten en de eventuele gevolgen daarvan tot een minimum beperken.
Bij informatiebeveiliging wordt rekening gehouden met de beschikbaarheid, de integriteit en de vertrouwelijkheid van (persoons)gegevens. 

Meer weten over informatiebeveiliging en het thema ‘Onderwijs en privacy’? Job Vos (privacy-expert van Kennisnet) legt in deze video uit waarom privacy voor scholen een belangrijk onderwerp is.

5 vuistregels voor het verantwoord omgaan met persoonsgegevens

IBP regel je onder andere om de continuïteit van het onderwijs en de bedrijfsvoering te waarborgen en de privacy van leerlingen en medewerkers te garanderen. Maar op welke gebieden moeten maatregelen genomen worden? Wat zijn de grootste risico’s? Ook hier helpt de privacywetgeving een handje. Artikel 5 van de AVG stelt een aantal basisregels voor het verantwoord omgaan met persoonsgegevens. Om deze makkelijk te onthouden zijn deze door Kennisnet voor het onderwijs samengevat als de 5 vuistregels. Deze lees je op de website van Kennisnet.

Niet voldoen aan de basisregels kan leiden tot een boete van maximaal 20 miljoen euro. 

IBP: beschikbaarheid, integriteit en vertrouwelijkheid

De AVG stelt niet alleen eisen aan het gebruik van persoonsgegevens, maar ook aan de beveiliging ervan. Artikel 24 en 32 gaan over ‘passende technische en organisatorische maatregelen’ om persoonsgegevens te beschermen. Informatiebeveiliging heeft alles te maken met de aspecten beschikbaarheid, integriteit en vertrouwelijkheid. Doordat scholen steeds afhankelijker worden van informatie en ict, worden deze aspecten steeds belangrijker:

  • Beschikbaarheid: centraal hierbij staat de vraag hoe lang we zonder de gegevens kunnen. We kunnen tegen dit aspect aanlopen bij overbelasting van het netwerk of een storing bij een leverancier, zoals EduArte.
  • Integriteit: kloppen de gegevens? Zijn bijvoorbeeld de namen juist gespeld, is het rekeningnummer correct, etc.
  • Vertrouwelijkheid: wie binnen de organisatie mogen de gegevens zien? Er zijn gegevens, die alle medewerkers mogen zien. Voor andere gegevens geldt dat deze maar door een beperkt aantal mensen mogen worden ingezien. 

Niet voldoen aan de eis van passende technische en organisatorische maatregelen kan leiden tot een boete van maximaal 10 miljoen euro.