Communiceren en bewustwording

Jack Haagen, Wim Arendse en Elly Dingemanse

Goed op weg

2

IBP beleid is vastgesteld.

De kapstok is gereed.

Afspraken en procedures

zijn vastgelegd in een

gedragscode.

Maar hoe pak je de

communicatie op?

Bewustwording

Beleid en afspraken zijn niet voldoende.

De mens is vaak de zwakste schakel bij het ontstaan van beveiligingsincidenten en datalekken.

3

Maak medewerkers, ouders en leerlingen bewust van de

risico’s bij het omgaan met persoonsgegevens en het

gebruik van ict.

Weten je medewerkers inmiddels

4

Wat de AVG betekent voor het dagelijkse werk?

Waarom IBP belangrijk is?

Wat een datalek is en hoe het kan ontstaan?

Wat de afspraken zijn over sociale media?

Waar ze verantwoord met persoonsgegevens kunnen werken (in de

cloud)?

Wanneer en Welke persoonsgegevens ze met Wie mogen

uitwisselen?

Waarom je beter kunt delen dan mailen?

Welke voorwaarden er gelden gebruik van beeldmateriaal?

Wie je binnen de organisatie om advies kunt vragen en wie er

verantwoordelijk is voor IBP?

Staat toch allemaal in de gedragscode…

Bewustwording per onderwerp

Versnellingsvraag 44

5

Drie schoolbesturen Dynamiek, Prisma en SPOV (samen 51 locaties) gaan samenwerken op

beleidsmatige en inhoudelijke thema’s.

Waaronder: Informatiebeveiliging en privacy (IBP).

Vanuit een gezamenlijk geformuleerd IBP-beleid is er vraag naar producten om te werken aan

bewustwording.

Bewustwording van de risico’s rondom informatiebeveiliging en privacy moet zorgen voor een

gedragsverandering.

Uitkomsten versnellingsvraag 44

6

Met de uitkomsten van Versnellingsvraag 44 presenteren we een totaal pakket voor bewustwording

over IBP in vorm van nieuwsbrieven, filmpjes en een flyer.

Video’s bij de IBP-berichten

7

https://www.youtube.com/playlist?list=PLQI9hXCcoK1RYAfdrUXfFP4gXBN_GRhLf

Privacy gaat iedereen aan

8

Naast bewustwording bij medewerkers moeten we ook de ouders en de leerlingen niet vergeten

Gewoon beginnen… of toch niet

9

Is er een manier om bewustwording goed aan te pakken of is het een

kwestie van gewoon beginnen?

Gelukkig hoeft het maar 1 keer toch? Of is bewustwording iets wat

regelmatig aandacht vraagt?

Wat kunnen we leren uit ervaringen van anderen? Bijvoorbeeld van de

winnaar van de Awareness award van het MBO in 2017.

Kennismaking

10

Jack Haagen

Projectleider informatiemanagement

Wim Arendse

Adviseur informatiemanagement

Rotterdam - 2016 - Aan de slag

Nog 2 jaar tot de AVG van kracht wordt

Een plan - waar beginnen?

- wat wel, wat niet?

- wat nu, wat later?

Het verhaal van Zadkine - de aanpak

- waarom

- de resultaten

- lessons learned

Wat is Zadkine?

11

Wat is Zadkine

12

MBO - VAVO - Educatie (Taal & Inburgering)

18000 studenten

30 locaties in en rondom Rotterdam

1800 medewerkers

10 MBO scholen

Techniekcollege (samen met Albeda)

VAVO Rijnmond (samen met Albeda)

60 onderwijsteams

Centrale Service Dienst: CvB, HRM, FP&C, Onderwijsplein,

Audit & Control, M&C, F&H, AO en IM/IT.

6000 PC's en 500 laptops en 750 telefoons

500 Applicaties

Het plan - aanleiding

o Heel veel persoonsgegevens en privacygevoelige info

o Bedreiging en gevolgschade steeds complexer

o Impact groter door toenemende publiciteit

o Nieuwe privacy-wetgeving (AVG)

o Meldplicht datalekken

13

Het plan - doel

Praktisch gezien

Aantoonbaar alles doen om privacy van studenten en medewerkers te beschermen

Datalekken voorkomen

Als het toch mis gaat in staat zijn om snel en goed af te handelen (aantoonbaar)

Voorjaar 2016 “IBP Beleidsnotitie vastgesteld”

14

Het plan - focus

Prioriteit voor:

Awareness creëren

Verbeteringen in techniek

Later:

Dataregisters

Verwerkersovereenkomsten

Rechten betrokkenen

Privacyverklaring/Schoolgids/Reglementen

Governance

PDCA

Project “Zadkine Alert! – Informatieveiligheid en privacy”15

Het plan – belang awareness

Technische verbeteringen: Wachtwoordbeleid en implementatie ervan

Schijven encrypten (bitlocker)

In techniek kun je veel bedenken en realiseren net als rondom

beleid en procedures, maar

“Het grootste veiligheidsrisico zit tussen

toetsenbord en bureaustoel”

16

Het plan - awareness

Meldingen systeem inrichten

Enquête (meting)

Media en poster campagne

Awareness sessies

Enquête (meting)

17

Awareness

18

Cyber security

Informatiebeveiliging en Privacy (IBP)

Informatieveiligheid en privacy – IVPBeveiliging wordt voor je geregeld.

Veiligheid creëer je met z’n allen.

Instructies en sancties

Angst en bestraffen

Positieve insteek, met z’n allen werken

aan verbeteringen.Dus niet op basis van angst en bestraffen.

Awareness

“We hebben een schat aan informatie”

19

Awareness

Logo voor herkenbaarheid

4 thema’s (picto’s voor herkenbaarheid)

20Toegang tot PC’s Delen van informatie Mobiel werken Phishing mails

Awareness

Anders dan anders

Route = Aandacht Herkenning Nieuwsgierigheid Erkenning Kennis Gedrag

21

Awareness - gedaan

22

Awareness - gedaan

23

Nieuwsbrief artikelen over: Privacy

Posters

Intranet site en website

Bitlocker (versleuteling)

De tissuebox

Stickers thuis

Awareness sessies

Invullen enquêtes

Wachtwoordbeleid

E-mail berichten over: Incident meldingen systeem

Bitlocker

Enquêtes

Intranet site: Achtergrondinfo

Q&A

Documenten

Awareness - gedaan

24

Prikbordberichten over:

"Wat doe jij met je klompje goud?“

"Geef jij op vakantie zomaar een kopie van je ID?“

"Waarom zou ik een privacy incident melden?“

"Informatieveiligheid en privacy, al die posters. Wat nu?“

"Geef jij (een kopie van) je paspoort weg?“

"Doe jij je USB-stick op slot?“

"Schermvergrendeling“

"Met wie deel jij je inloggegevens?“

"Kan ik deze e-mail openen?“

"Help!!“ (over wat je wel en niet kunt vertellen door de telefoon)

"Wachtwoordstress“ (sterke en zwakke wachtwoorden)

"Oktober is de maand van Informatieveiligheid en privacy“

Awareness - resultaat

o Direct na eerste posters incidentmeldingen

o Veel awareness sessies leverden direct meldingen op

o In totaal 64 incidentmeldingen van okt. 2016 t/m juli 2017

o Twee gemeld bij Autoriteit Persoonsgegevens (datalekken)

o Bij één ervan betrokkenen geïnformeerd

o Voorbeeld - verloren of gestolen laptops en telefoons

- phishing

- persoonsgegevens bij printer/copier

- dossiers in verhuisdozen

25

Awareness - resultaat

o Bekendheid met het onderwerp, communicatie effectiever

o De informatie vanuit andere organisaties helpt

o Privacy berichten in de media ook

o Men signaleert zelf knelpunten, dilemma’s en vraagstukken

o Men weet het IVP-team te vinden

26

Awareness - anders

Wat zouden we mogelijk anders doen

Presentieregistratie bij awareness sessies voor betere sturing

en motiveren

Sessies en meten heeft veel inspanning gekost, kan wellicht

effectiever door combinatie met E-Learning

Mogelijk richting een verplicht karakter

27

Awareness - toekomst

28

Awareness is nooit klaar

Vertrouwelijke informatie op papier gevonden bij de

kopieermachine.

Telefoon gestolen, zonder schermbeveiliging en pincode

met toegang tot de e-mail box van Zadkine.

Dozen met studentendossiers toegankelijk voor

onbevoegden.

Phishing mail waarbij op de link geklikt is en persoonlijke

gegevens zijn ingevuld, o.a. wachtwoord.

Incidenten/casussen als eye-opener

29

Phishing email

30

IVP – huidige acties

o Privacy statement

o Reglementen (social media/ netwerk / wachtwoordgebruik enz)

o Schoolgids

o Dataregisters

o Vraagstukken Verwerkersovereenkomsten

Intake

Delen informatie

Diversen

o Meldingen (afhandelen, optimaliseren, analyseren)

o IVP Governance organisatie

Verschuiving van incidenten naar vragen!

31

IVP – huidige acties

32

1. Wettelijke verplichting

2. Uitvoering overeenkomst

3. Vitaal belang

4. Algemeen belang/

openbaar gezag

5. Gerechtvaardigd belang

6. Toestemming betrokkene

1. Vraag om toestemming

2. Deel alleen met personen die betrokken zijn

3. Minimaliseer de informatie die je deelt met externe partners

4. Verzamel geen gegevens buiten het SIS

5. Let in het bijzonder op bijzondere persoonsgegevens

6. “Vragen staat toch vrij” is niet altijd het geval

7. Sommige zorgmedewerkers delen geen informatie

7 GOUDEN REGELS

33

Ervaringen - aanbevelingen

34

o Zorg voor meldpunt voor start awareness campagne

o Registreer meldingen én neem actie !!

o Zoek collega’s / teams op - ga in gesprek !

o Betrek geïnteresseerde collega’s de beste ambassadeurs

o Pas planning aan n.a.v. vragen / issues

o Zorg dat je gevonden kan worden

o Draagvlak bij bestuur / directie is noodzakelijk

o Maar …. medewerking collega’s werkvloer makkelijker te bereiken

Met dank voor uw aandacht

Aanpak IBP https://kn.nu/IBPonderwijs ibp@kennisnet.nl