Protocol ICT-gedragscode & databeveiliging...

!

!!

Protocol!ICT+gedragscode!&!databeveiliging!

voor$personeel$Stichting$OPO$IJmond$$

!

$$

$oktober$2016$

$ $

$Protocol$ICT>$gedragscode$$&$databeveiliging$voor$personeel$OPOIJmond!

! ! 2$$

$

Inhoud!

! $! $

Inleiding! 3$

1.$ ICT+gedragscode!voor!personeel! 4$1.1$ Waarom!een!gedragscode!ICT! 4$1.2$ Algemeen! 4$1.3$ Gebruik!ICT<middelen! 5$1.4$ E<mailgebruik! 7$1.5$ Internetgebruik! 7$1.6$ Social!Media! 7$1.7$ Datalekken! 8$1.8$ Sancties!en!gevolgen!voor!personeel! 8$

2.$ Opslag,!autorisatie!en!beveiliging!van!data! 9$

Bijlage!1!Veilig!ICT+gebruik!in!10!stappen! 12$

Bijlage!2!Procedure!meldplicht!datalekken! 13$

Bijlage!3!Matrix!opslag,!autorisatie!&!beveiliging! 19$

!!$$$$ $


! ! 3$$

Inleiding!$Dit$protocol$is$een$onderdeel$van$het$beleidsplan$Privacy$($2016)$van$Stichting$OPO$IJmond$en$geeft$naast$een$gedragscode$betreffende$het$omgaan$met$ICT$door$personeel$een$duidelijk$overzicht$van$welk$personeel$toegang$heeft$tot$welke$data$in$welk$programma$en$hoe$dit$is$beveiligd.$ $


! ! 4$$

1.! ICT+gedragscode!voor!personeel! $!

$1.1! Waarom!een!gedragscode!ICT!Deze$ICT$Gedragscode$is$voor$medewerkers$van$Stichting$Openbaar$Primair$Onderwijs$IJmond$(OPO$IJmond).$De$code$is$er$op$gericht$het$gebruik$van$ICT$binnen$OPO$IJmond$veilig,'snel'en'betrouwbaar$te$houden.$Daarvoor$is$het$noodzakelijk$om$met$elkaar$bepaalde$gedragsregels$af$te$spreken.$$Iedereen$aan$wie$toegang$is$verleend$tot$het$OPO$IJmond>netwerk$is$gehouden$aan$de$hieronder$beschreven$$$ICT>gedragsregels.$Het$netwerk$is$eigendom$van$de$OPO$IJmond.$In$geval$van$overtreding$van$één$of$meer$van$de$gedragsregels$kan$de$toegang$tot$ICT>diensten,$waaronder$het$OPO$IJmond>net,$kan$dit$gevolgen$hebben$voor$de$werknemer.$

1.2 Algemeen!Wel!doen!!

• ga$netjes$en$verantwoord$om$met$computerapparatuur$van$school$en$bestuursbureau$• zelf$installeren$van$software$op$hardware$van$OPO$IJmond$is$niet$toegestaan$$• gebruik$fatsoenlijke$taal$en$heb$respect$voor$de$ander$$• wees$je$bewust$van$jouw$en$andermans$privacy:$internet$onthoudt$alles$en$je$krijgt$het$er$

nooit$meer$af$$• houd$je$aan$de$wet:$er$is$auteurs>,$beeld>$en$citaatrecht$$• meld$direct$(ernstige)$ongeregeldheden$bij$de$bovenschoolse$ICT>coördinator$• houd$werk$en$privé$gescheiden$

$$!Wetgeving!Verricht$geen$activiteiten$in$strijd$met$enige$wet,$waaronder$de$Wet$op$Bescherming$Persoonsgegevens$en$de$auteursrechtwetgeving.$$Discriminatie!en!omgangsvorm!Verspreid$geen$discriminerend,$lasterlijk$en/of$beledigend$materiaal.$Ondanks$de$vrijheid$van$meningsuiting$zijn$er$grenzen$aan$het$toelaatbare.$Neem$de$goede$omgangsvormen$in$acht.$Hierbij$geldt$tevens$‘wat$gij$niet$wilt$dat$u$geschiedt,$doe$dat$ook$een$ander$niet’.!

!Niet!doen!!!

• schelden,$bedreigen$of$beschuldigen$$• teksten$of$afbeeldingen$plaatsen$die$jou,$een$ander,$de$school,$het$bestuursbureau$

benadelen$of$schaden$$• boodschappen$plaatsen/verzenden$vanuit$boosheid$of$emotie$$• vertrouwelijke$informatie$plaatsen$op$openbare$plaatsen$• sites$bezoeken$met$geweld,$pornografie$of$goksites!• reclameboodschappen$sturen !• gebruik$voor$commerciële$doeleinden$

$!

! !


! ! 5$$

1.3! Gebruik!ICT+middelen!Onder$ICT<middelen$wordt$verstaan:$alle$middelen$die$een$rol$vervullen$in$informatie>$en$communicatieprocessen.$Het$gaat$hierbij$onder$meer$om$PC’s,$laptops,$tablets,$(mobiele)$telefoons,$printers,$informatiedragers,$kopieerapparatuur,$scanners,$modems,$internettoegang,$e>mail$en$programma’s/computersoftware/apps.$Onder$gegevens$wordt$verstaan:$alle$digitale$informatie$die$zich$al$dan$niet$tijdelijk$bevindt$op$ICT>middelen$van$OPO$IJmond,$waaronder$de$OneDrive$(in$de$cloud).$Dit$is$alle$informatie$die$wordt$gemaakt,$ontvangen,$vermenigvuldigd,$gewijzigd$en/of$verstuurd$door$gebruik$te$maken$van$ICT>middelen.$$a.! ! privé+verkeer!Naast$zakelijk$bel>,$mail>$en$internetverkeer$is$beperkt$privé>verkeer$toegestaan,$mits$dit$niet$ten$koste$gaat$van$de$kwaliteit$van$de$dagelijkse$werkzaamheden$en$de$veiligheidsregels$(zoals$omschreven$in$deze$notitie)$in$acht$worden$genomen. $b.!! toegangscodes!Ga$vertrouwelijk$met$je$toegangscodes$om.$Leen$ze$niet$uit.$$

c.! wachtwoorden!Kies$alleen$niet>vanzelfsprekende$wachtwoorden,$verander$wachtwoorden$regelmatig$en$sla$ze$niet$op.$$Gebruikersnaam$en$wachtwoord$moeten$altijd$verschillend$zijn.$$$d.! opslag!Bewaar$je$gegevens$zo$veel$mogelijk$op$de$OneDrive$of$het$intranet$(SharePoint)$en$niet$op$je$pc$of$laptop.$Een$andere$mogelijkheid$is$de$(school)server,$maar$deze$gegevens$zijn$niet$op$afstand$beschikbaar.$Als$je$je$gegevens$op$deze$plaatsen$bewaart,$blijft$de$schade$aan$je$bestanden$bij$calamiteiten$beperkt:$er$wordt$een$back>up$gemaakt$en$ze$zijn$beter$beveiligd$tegen$onder$andere$virussen.$$

e.! USB+sticks!!Gebruik$alleen$USB>sticks$die$zijn$beveiligd$met$een$wachtwoord,$beperk$het$gebruik$ervan$en$beheer$ze$zorgvuldig.$$f.! beveiliging!Geef$geen$aanleiding$of$gelegenheid$tot$het$kraken$van$computers.$$Stel$op$je$pc,$laptop$en$tablet$een$screensaver$met$wachtwoordbeveiliging$in.$$Gebruik$als$het$even$kan$op$de$thuis>pc$een$firewall$en$installeer$met$regelmaat$updates$van$je$besturingssysteem.!

$g.! pc’s,!laptops!en!tablets!Laat$laptops$en$tablets$niet$onbeheerd$achter$en$leen$ze$niet$uit.$Sla$er$geen$vertrouwelijke$gegevens$in$op.$Meld$diefstal$van$een$apparaat$direct$bij$leidinggevende$en$doe$aangifte$bij$de$politie.$Zorg$dat$bij$afgeschreven$apparaten$de$harde$schijf$leeg$is$voordat$het$apparaat$wordt$afgevoerd.$$h.! illegale!software!Installeer$en/of$gebruik$geen$illegale$en/of$ongewenste$software.$!Hieronder$valt$software$waarvoor$geen$licentierechten$zijn$betaald$terwijl$dat$wel$moet.$$$Noodzakelijke$gratis$software$wordt$alleen$door$de$beheerder$geïnstalleerd.$

i.! virussen!Verspreid$geen$computervirussen$en$dergelijke.$!Installeer$op$de$thuis>pc$minimaal$een$antivirusprogramma$en$zorg$dat$je$de$meest$actuele$antivirusbestanden$hebt.$Wees$behoedzaam$bij$het$openen$van$programma’s$op$internet$en$zorgvuldig$met$het$openen$van$$E>mails.$

$

!


! ! 6$$

j.! ! printen!en!kopiëren!Iedere$werknemer$mag$gebruik$maken$van$de$printers/kopieermachines$die$aanwezig$zijn$op$alle$locaties$van$OPOIJmond,$zolang$het$gebruik$maar$zakelijk$is.$Het$is$de$werknemer$niet$toegestaan$de$printers/kopieermachines$te$gebruiken$voor$privé$en/of$verenigingsdoeleinden.$Gebruik$is$derhalve$verbonden$met$taken$die$voortvloeien$uit$de$functie.$Beperk$het$gebruik$van$de$printer/kopieermachine$zoveel$mogelijk;$denk$aan$het$milieu$en$druk$alleen$het$hoogstnodige$af,$bij$voorkeur$zwart>wit$en$dubbelzijdig.$$ $


! ! 7$$

$

1.4 E+mailgebruik!Het$e>mail$systeem$wordt$voor$schoolgebruik$beschikbaar$gesteld.$Gebruik$is$derhalve$verbonden$aan$functies$en$rollen.$Beperkt$persoonlijk$gebruik$van$het$e>mailsysteem$is$evenwel$toegestaan,$mits$dit$niet$storend$is$voor$de$dagelijkse$werkzaamheden.$$

Verboden!e<mailgebruik!!Het$is$niet$toegestaan$om$het$e>mailsysteem$te$misbruiken$of$te$gebruiken$voor$het$verzenden$van$berichten$met$een$pornografische,$racistische,$discriminerende,$beledigende$of$aanstootgevende$inhoud.$Het$is$niet$toegestaan$om$het$e>mailsysteem$te$gebruiken$voor$het$verzenden$van$berichten$met$een$(seksueel)$intimiderende$inhoud.$Het$is$niet$toegestaan$om$het$e>mailsysteem$te$gebruiken$voor$het$verzenden$van$berichten$die$(kunnen)$aanzetten$tot$haat$en/of$geweld.$Het$is$niet$toegestaan$om$het$e>mail$systeem$te$gebruiken$voor$het$verzenden$van$berichten$die$inbreuk$maken$op$het$auteursrecht.$$

1.5 Internetgebruik!Het$internet$wordt$voor$schoolgebruik$en$werkzaamheden$op$het$bestuursbureau$beschikbaar$gesteld.$Gebruik$is$derhalve$verbonden$aan$functies$en$rollen.$Beperkt$persoonlijk$gebruik$van$het$internet$is$evenwel$toegestaan,$mits$dit$niet$storend$is$voor$de$dagelijkse$werkzaamheden.$$$Verboden!internetgebruik!!Het$is$niet$toegestaan$om$op$internet$sites$te$bezoeken$die$pornografisch,$racistisch,$discriminerend,$beledigend$of$aanstootgevend$materiaal$bevatten.$Noch$is$het$toegestaan$dergelijk$materiaal$te$downloaden$Het$is$niet$toegestaan$om$op$internet$sites$te$bezoeken$die$inbreuk$maken$op$het$auteursrecht.$Noch$is$het$toegestaan$dergelijk$materiaal$te$downloaden.$$Het$is$niet$toegestaan$om$op$internet$sites$te$bezoeken$voor$online$gokken.$Noch$is$het$toegestaan$dergelijk$materiaal$te$downloaden.$Het$is$niet$toegestaan$om$zich$ongeoorloofd$toegang$tot$niet>openbare$bronnen$op$internet$te$verschaffen.$$!

1.6 Social!Media'$ Sociale$media$zoals!Twitter,!Instagram,!Facebook,!YouTube$en$LinkedIn$bieden$de$mogelijkheid$om$te$laten$

zien$dat$je$trots$bent$op$je$school$en$kunnen$een$bijdrage$leveren$aan$een$positief$imago$van$OPO$IJmond.$Van$belang$is$te$beseffen$dat$je$met$berichten$op$sociale$media$(onbewust)$de$goede$naam$van$de$school$en$betrokkenen$ook$kunt$schaden.$Om$deze$reden$vragen$wij$om$bewust$met$de$sociale$media$om$te$gaan.$Essentieel$is$dat$personeel$de$reguliere$fatsoensnormen$in$acht$blijven$nemen$en$alleen$communiceert$in$het$verlengde$van$de$missie$en$visie$van$de$school$en$de$stichting.$

! Gebruik!social!media!door!personeel!tijdens!werksituaties!$ Het$is$personeel$toegestaan$om$kennis$en$informatie$via$social$media$te$delen,$mits$het$geen$vertrouwelijke$

of$persoonlijke$informatie$betreft$en$betrokkenen$niet$schaadt.$Personeelsleden$zijn$persoonlijk$verantwoordelijk$voor$de$inhoud$welke$zij$publiceren$op$de$sociale$media.$$

$ Personeelsleden$dienen$zich$ervan$bewust$te$zijn$dat$de$gepubliceerde$teksten$en$uitlatingen$voor$onbepaalde$tijd$openbaar$zullen$zijn,$ook$na$verwijdering$van$het$bericht.$Het$is$voor$personeel$niet$toegestaan$om$foto>,$film>$en$geluidsopnamen$van$school>$gerelateerde$situaties$op$de$sociale$media$te$zetten$tenzij$betrokkenen$hier$uitdrukkelijk$schriftelijk$toestemming$voor$plaatsing$hebben$gegeven;$$

$ Mochten$personeelsleden$‘vrienden’$zijn$met$leerlingen$op$sociale$media,$dan$dienen$zij$uitdrukkelijk$gepaste$afstand$te$bewaren.$Alle$personeelsleden$nemen$de$fatsoensnormen$in$acht.$Als$fatsoensnormen$worden$overschreden$(bijvoorbeeld:$mensen$pesten,$kwetsen,$stalken,$bedreigen,$zwartmaken$of$anderszins$beschadigen)$dan$neemt$OPO$IJmond$passende$maatregelen.$$

$ Personeelsleden$hebben$een$bijzondere$verantwoordelijkheid$bij$het$gebruik$van$sociale$media:$privémeningen$kunnen$eenvoudig$verward$worden$met$de$officiële$standpunten$van$de$onderwijsinstelling.$


! ! 8$$

Indien$een$personeelslid$deelneemt$aan$een$discussie$die$(op$enigerlei$wijze)$te$maken$heeft$met$Stichting$OPO$IJmond$dient$hij/zij$te$vermelden$dat$hij/zij$medewerker$is$van$een$school$van$de$stichting.$$Als$online$communicatie$dreigt$te$ontsporen$dient$het$personeelslid$direct$contact$op$te$nemen$met$zijn/haar$leidinggevende$om$de$te$volgen$strategie$te$bespreken.$Bij$twijfel$of$een$publicatie$in$strijd$is$met$deze$richtlijnen$neemt$het$personeelslid$contact$op$met$zijn/haar$leidinggevende.$$$Gebruik!social!media!door!personeel!buiten!werksituaties!!Het$is$personeel$toegestaan$om$schoolgerelateerde$onderwerpen$te$publiceren$mits$het$geen$vertrouwelijke$of$persoonsgebonden$informatie$over$de$school,$zijn$medewerkers,$leerlingen,$ouders/verzorgers$en$andere$betrokkenen$betreft.$Tevens$mag$de$publicatie$de$naam$van$de$school$niet$schaden.$$Indien$een$personeelslid$deelneemt$aan$een$discussie$die$(op$enigerlei$wijze)$te$maken$heeft$met$de$onderwijsinstelling$dient$hij/zij$te$vermelden$dat$hij/zij$medewerker$is$van$een$school$van$OPO$IJmond.$Indien$een$personeelslid$over$Stichting$OPO$IJmond$publiceert$dient$hij/zij$het$bericht$te$voorzien$van$de$opmerking$dat$de$standpunten$en$meningen$in$dit$bericht$de$eigen$persoonlijke$mening$zijn$en$los$staan$van$eventuele$officiële$standpunten$van$OPO$IJmond.$Verder$meldt$het$personeelslid$dat$hij$of$zij$niet$verantwoordelijk$is$voor$de$inhoud$en$uitlatingen$van$derden.$$$

1.7! Datalekken!Bij$datalekken$zijn$personeelsleden$(in$het$kader$van$Wbp)$$verplicht$dit$te$melden$volgens$de$procedure$die$in$bijlage$2$is$opgenomen.$$

1.8! Sancties!en!gevolgen!voor!personeel!Personeelsleden$die$in$strijd$handelen$met$dit$protocol$maken$zich$mogelijk$schuldig$aan$plichtsverzuim.$Alle$correspondentie$omtrent$dit$onderwerp$wordt$opgenomen$in$het$personeelsdossier.$Afhankelijk$van$de$ernst$van$de$uitlatingen,$gedragingen$en$gevolgen$worden$rechtspositionele$maatregelen$genomen$welke$variëren$van$waarschuwing,$ontzegging$van$de$toegang$tot$het$OPO$IJmond>net,$berisping,$schorsing$ontslag$en$ontslag$op$staande$voet.$Indien$de$uitlating$van$personeelsleden$mogelijk$een$strafrechtelijke$overtreding$inhoudt$zal$door$Stichting$OPO$IJmond$$aangifte$bij$de$politie$worden$gedaan.$$

!! !


! ! 9$$

!

2.! Opslag,!autorisatie!en!beveiliging!van!data!$De$matrix$in$de$bijlage$geeft$weer$hoe$de$autorisatie$is$geregeld$m.b.t.$de$toegang$tot$drie$typen$persoonlijke$gegevens:$leerlinggegevens,$oudergegevens$en$gegevens$van$personeelsleden.$$$Elk$van$deze$drie$typen$is$uitgesplitst$in$een$aantal$subrubrieken.$$De$matrix$laat$zien,$welke$personen$toegang$hebben$tot$deze$persoonlijke$gegevens.$Daarnaast$is$in$de$matrix$ook$die$software$opgenomen,$waarbij$sprake$is$van$verwerking$van$persoonsgegevens.$Het$is$van$belang,$dat$de$matrix$actueel$gehouden$wordt.$Dit$wordt$uitgevoerd$door$de$bovenschoolse$ICT>coördinator.$Beveiliging$bestaat$in$veel$gevallen$uit$het$toekennen$van$gebruikersnamen$en$wachtwoorden.$Hieronder$volgt$een$beschrijving$hoe$dat$is$geregeld$binnen$de$diverse$software$onderdelen.$!ParnasSys!Bij$ParnasSys$wordt$een$medewerker$in$het$systeem$opgenomen$en$aan$deze$wordt$een$wachtwoord$toegewezen$door$het$systeem.$$De$gebruikersnaam$kan$binnen$ParnasSys$worden$aangepast.$De$schoolleider$is$beheerder$en$voert$aanpassingen$e/o$nieuwe$gebruikers$in$(inclusief$gebruikersrollen).$$Een$wachtwoord$kan$gewijzigd$worden$op$verzoek.$ParnasSys$biedt$de$gebruiker$de$mogelijkheid$om$het$wachtwoord$te$wijzigen.$Daartoe$wordt$een$mail$gezonden$aan$de$gebruiker,$die$via$een$link$het$wachtwoord$dan$kan$aanpassen.$Dit$gebeurt$echter$op$verzoek$en$aan$de$beheerder.$Binnen$ParnasSys$zijn$rollen$verleend$aan$de$gebruiker.$Dit$machtigt$de$gebruikerstoegang$op$onderdelen$van$ParnasSys.$De$matrix$geeft$aan$welke$functie$gemachtigd$is$op$onderdelen.$Registratie$van$een$e>mailadres$binnen$ParnasSys$maakt$het$een$aantal$zaken$mogelijk:$

• Ouders$krijgen$toegang$tot$het$ouderportaal$van$ParnasSys.$$Hier$moet$worden$ingelogd$met$een$door$de$beheerder$ingegeven$gebruikersnaam$en$door$het$systeem$toegewezen$wachtwoord.$$

• Het$ouderportaal$kan$worden$benaderd$voor$het$invullen$van$een$vragenlijst,$of$het$inzien$van$vrijgegeven$toets$resultaten$en$ontwikkelingsbeeld.$$Over$dit$laatste$is$nog$geen$beleid$geformuleerd$door$de$stichting.$$$

• Het$Ouderportaal$wordt$ook$benaderd$door$leerlingen$voor$het$invullen$van$leerling>$vragenlijsten.$$De$inlog$geschiedt$door$de$leerkracht$van$de$leerlingen.$

• Via$het$Ouderportaal$kunnen$informatiemails$naar$ouders$worden$verstuurd.$• Registratie$van$een$e>mailadres$maakt$het$voor$leerkrachten$mogelijk$om$toegang$te$krijgen$

tot$Basispoortfaciliteiten.$$Dit$mailadres$wordt$ingelezen$door$het$Basispoortsysteem.$Er$worden$generieke$machtigingen$verleend$aan$bovenschoolse!medewerkers.$Dit$zijn$de$clusterdirecteuren,$de$onderwijskundig$medewerker$en$de$bovenschoolse$ICT>coördinator.$$$Zij$hebben$inzicht$in$de$gegevens$van$alle$scholen$onder$het$bestuur$en$zijn$zelf$zichtbaar$voor$deze$scholen$als$gebruiker.$$De$clusterdirecteuren$zien$alleen$de$‘eigen’$scholen$en$hebben$toegang$tot$de$modules$Integraal!en$Ultimview.$$De$onderwijskundig$medewerker$ziet$alle$scholen$ook$op$leerling$niveau.$$De$bovenschoolse$ICT>er$heeft$volledige$beheermachtigingen$over$alle$scholen.$$LOVS!Het$LOVS$–$programma$van$CITO$wordt$beheerd$door$een$systeembeheerder$van$de$school.$Deze$logt$in$met$een$gebruikersnaam$en$wachtwoord.$De$overige$gebruikers$loggen$in$met$een$door$de$systeembeheerder$ingestelde$gebruikersnaam$en$wachtwoord.$Ook$binnen$dit$programma$zijn$diverse$rollen$vast$te$leggen,$waarbij$de$machtiging$verschilt$per$rol.$De$Intern$begeleider$en$schoolleider$zullen$veel$meer$gegevens$moeten$kunnen$inzien$op$


! ! 10$$

schoolniveau$dan$een$leerkracht,$die$vooral$de$eigen$groep$en$op$leerling$niveau$de$gegevens$kan$bekijken.$Dit$programma$werkt$binnen$de$Rolfgroep>$omgeving$en$is$geïnstalleerd$op$de$server$van$de$school.$Dit$vormt$een$extra$beveiligingslaag$voor$de$gegevens.$De$gegevens$worden$bij$het$afsluiten$van$het$programma$automatisch$opgeslagen$in$een$veiligheidskopie$op$de$server$van$de$Rolf>groep.$Bij$digitale$toetsing$worden$gegevens$vanuit$de$CITO>portal$automatisch$ingelezen$in$het$programma.$Daarnaast$is$het$mogelijk$een$zgn.$DULT>koppeling$in$te$stellen$met$ParnasSys,$zodat$de$gegevens$ook$vanuit$LOVS$overgedragen$kunnen$worden$naar$ParnasSys.$Dit$laatste$is$echter$alleen$zinvol$als$alle$gegevens$in$LOVS$worden$opgeslagen.$$N.B$Veel$scholen$voeren$een$dubbele$administratie:$zowel$in$LOVS$als$in$ParnasSys,$omdat$de$overdracht$via$de$DULT>koppeling$niet$altijd$vlekkeloos$verloopt,$met$als$gevolg$dubbelen$en$verminking$van$gegevens.$!Dyade!De$programma’s$van$Dyade$zijn$gericht$op$gegevens$aangaande$HRM$en$financiën$van$de$stichting$OPO$IJmond.$De$beveiliging$van$deze$omgeving$is$sterk$beveiligd,$door$periodieke$wachtwoorden.$Alle$bewerkingen$geschieden$in$een$beveiligde$online$omgeving.$Binnen$de$Dyade>omgeving$zijn$diverse$onderdelen,$waar$bij$personen$gemachtigd$kunnen$worden$voor$toegang.$De$accounts$worden$aangevraagd$en$beheerd$door$de$FBA>$of$de$HRM>$medewerker.$$!Basispoort!Om$een$Basispoort$onderdeel$te$mogen$bekijken$is$de$gebruiker$gekoppeld$aan$een$mailadres$en$een$wachtwoord.$Dit$mailadres$wordt$rechtstreeks$ingelezen$uit$ParnasSys$bij$onze$stichting.$Daarbij$worden$ook$de$koppeling$aan$de$groep$en$de$naam$van$de$persoon$ingelezen.$Daarnaast$verleent$Basispoort$een$registratie$en$een$wachtwoord$aan$de$gebruiker.$$Deze$procedure$is$door$de$ROLF>groep$gewijzigd,$middels$het$toegangssysteem$‘QL>Online’.$De$ROLF>groep$is$bij$Basispoort$geregistreerd$als$provider$en$is$gerechtigd$in$de$schoolomgeving$de$standaard$Basispoort$toegang$te$wijzigen$in$de$QL>Online$toegang.$Dit$vormt$een$extra$beveiligingslaag,$omdat$via$het$schoolserver$wordt$ingelogd$op$het$Internet.$Tevens$kan$QL>Online$worden$uitgebreid$met$een$educatieve$beheeromgeving.$De$ROLF>groep$verstrekt$gebruikersnamen$en$wachtwoorden$voor$de$toegang$hiervan.$Dit$werkt$alleen$binnen$het$IP>adres$van$de$school.$Voor$de$leerlingen$is$plaatjes$inlog$mogelijk,$maar$ook$een$inlog$met$pincode.$Dit$zorgt$ervoor,$dat$de$leerlingen$niet$op$elkaars$account$werken.$Buiten$de$school,$dus$buiten$het$netwerk$van$de$school$kan$ingelogd$worden$met$de$standaard$Basispoort$inlog,$zoals$in$de$eerste$alinea$beschreven.$Binnen$de$Basispoort$omgeving$hebben$diverse$uitgeverijen,$na$ondertekening$van$de$overeenkomsten,$overeenkomstig$het$convenant$van$de$PO>raad,$hun$leerkrachtomgeving$beschikbaar$gesteld.$De$toegang$is$gekoppeld$aan$de$groepskoppeling$van$de$leerkracht$uit$ParnasSys.$Waar$nodig$wijst$de$Basispoort$beheerder$van$de$school$(ICT>coach)$de$programma’s$toe$aan$de$betreffende$groepen$en$leerkrachten,$zodat$zij$resultaten$kunnen$inzien$en$adaptief$kunnen$handelen$en$$plannen.$$!!!!!!


! ! 11$$

!!!Office!365!Bij$Office365$worden$tijdelijke$wachtwoorden$uitgedeeld.$De$gebruiker$mag$zelf$een$wachtwoord$aanmaken.$De$gebruiker$kan$verzoeken$om$een$wachtwoordvernieuwing$aan$de$systeembeheerder.$$Deze$zorgt$ervoor$dat$de$gebruiker$zijn$wachtwoord$opnieuw$kan$instellen.$Het$is$echter$ook$mogelijk$de$gebruiker$zelf$zijn$wachtwoord$te$laten$vernieuwen.$Dit$is$een$betaalde$service$en$wordt$op$dit$moment$niet$gehanteerd$door$de$stichting.$De$toegang$tot$het$Intranet$wordt$geregeld$via$beveiligingsgroepen.$Bij$stichting$OPOIJMOND$gebeurt$dat$in$teamgroepen.$Hierdoor$wordt$het$mogelijk$om$de$eigen$schoolomgeving$te$benaderen.$$De$beveiliging$van$omgevingen$wordt$deels$geregeld$met$unieke$machtigingen$en$deels$globale.$De$personen$met$unieke$machtigingen$voor$bepaalde$ingangen$op$het$Intranet$krijgen$toegang$tot$gegevens,$waar$personen$zonder$die$machtiging$dat$niet$krijgen.$Het$overall$beheer$van$zowel$het$mailsysteem,$als$het$Intranet/$SharePoint$wordt$verzorgd$door$de$bovenschoolse$ICT>coördinator$(met$als$achterwacht$de$FBA>$medewerker);$op$schoolniveau$wordt$een$beperkt$beheer$(Power$User)$aangesteld.$Dit$kan$ook$een$Power$User$zijn$voor$een$cluster$van$scholen.$Dit$beheer$heeft$betrekking$op$het$Intranet$van$de$school.$$Taakbeleid.nl!Dit$online>$programma$wordt$benaderd$via$accounts,$die$beheerd$worden$door$de$clusterdirecteuren.$De$toegang$is$met$name$voor$clusterdirecteuren$en$schoolleiders$en$geschiedt$met$gebruikersnaam$en$wachtwoord.$$Wi+Fi!en!schoolnetwerk!In$de$matrix$is$het$gebruik$van$de$middelen$Wi>Fi$of$het$schoolnetwerk$niet$opgenomen,$om$de$reden$dat$veel$gegevens$ook$buiten$deze$netwerken$online$zijn$te$benaderen.$$(Uiteraard$wel$met$beveiligde$inlog)$$$ $


! ! 12$$

Bijlage!1!$$

$

$

$

veilig!ICT+gebruik!in!10!stappen!voor!alle!personeelsleden:!

1. Ga$zorgvuldig$om$met$wachtwoorden.$2. Ken$de$privacyreglementen!voor!leerlingen!en!personeel.$3. Ken$het$protocol!ICT<gedragscode!&!databeveiliging!voor$

personeel.$4. Gebruik$het$internet!&!social!media<protocol$voor$leerlingen.$5. Vraag$altijd$om$schriftelijke!toestemming$om$foto’s,$film$of$

persoonlijke$informatie$publiekelijk$te$delen!$6. Meld!diefstal$van$PC’s,$laptops,$tablets$en$mobiele$$$$$$$$$gegevensdragers$bij$leidinggevende.$!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!voor!schoolleiders:!

7. Gebruik$het$inschrijfformulier$van$OPO$IJmond.$8. Neem$privacy$op$in$het$schoolveiligheidsplan.$9. Neem$privacy$op$in$de$schoolgids.$10. Let$bij$aanschaf$software$op$dat$de$standaard$

bewerkersovereenkomst$is$bijgevoegd.$$$$$

!

$ $


! ! 13$$

Bijlage!2!Procedure!meldplicht!datalekken!(model!VOS+ABB!2016)!

$Deze$procedure$voorziet$in$een$gestructureerde$wijze$voor$het$melden$van$datalekken$in$het$kader$van$de$Wbp.$$Daarnaast$is$er$een$schema$opgenomen$om$te$beoordelen$of$een$datalek$gemeld$moet$worden$aan$de$Autoriteit$Persoonsgegevens$dan$wel$aan$de$betrokkene.$$!Taken,!verantwoordelijkheden!en!bevoegdheden!$1.$Iedere$medewerker$die$direct$of$indirect$kennis$draagt$of$krijgt$van$een$incident$inzake$het$lekken$van$privacygegevens,$is$verplicht$dit$direct$te$melden$aan$het$(lid$van$het)$managementteam.$$2.$Het$managementteam$en$de$systeembeheerder$zijn$verantwoordelijk$voor$het$onderzoeken$van$het$incident.$3.Het$managementteam$is$verantwoordelijk$voor$de$beoordeling$van$het$datalek$en$bij$een$meldplichtige$datalek$voor$het$doen,$aanvullen$en$intrekken$van$de$meldingen$van$datalekken$bij$de$Autoriteit$Persoonsgegevens.$4.$De$systeembeheerder$is$verantwoordelijk$voor$het$ondernemen$van$preventieve$en$repressieve$acties,$daarbij$worden$de$aanwijzingen$van$het$managementteam$in$acht$genomen.$5.$Het$bevoegd$gezag$is$samen$met$het$managementteam$verantwoordelijk$voor$de$actualiteit$van$deze$procedure.$$!Uitvoering!$1.$De$medewerker$die$direct$of$indirect$kennis$draagt$of$krijgt$van$een$incident$inzake$het$lekken$van$privacygegevens$meldt$dit$direct$aan$schoolleider.$De$schoolleider$meldt$het$aan$de$clusterdirecteur$en$de$bovenschools$ICT>er.$Medewerkers$van$het$bestuursbureau$melden$het$bij$het$Hoofd$Beleid$&$Ondersteuning$en$de$bovenschools$ICT>er.$$2.$Een$lid$van$het$managementteam,$in$samenwerking$met$de$BICT>er,$onderzoekt$het$incident.$Hierbij$is$aandacht$voor$de$volgende$aspecten:$$

a.$wat$is$de$aard$van$het$datalek$b.$wat$is$de$oorzaak$dat$dit$incident$heeft$plaatsgevonden$c.$is$er$sprake$van$het$niet$nakomen$van$of$een$tekortkoming$in$de$beveiligingsprocedures$d.$is$de$organisatie$verwijtbaar$e.$van$het$incident$wordt$een$verslag$gemaakt$en$in$intranet/SharePoint$vastgelegd$

3.$Als$er$is$vastgesteld$dat$er$sprake$is$van$een$meldplichtig$datalek$doet$het$managementteam$een$melding$van$het$datalek$aan$de$Autoriteit$Persoonsgegevens.$$4.$Het$managementteam$onderhoudt$contact$met$de$Autoriteit$Persoonsgegevens$over$de$melding$datalekken.$Eventuele$aanwijzingen$van$de$Autoriteit$Persoonsgegevens$worden$vastgelegd$en$opgevolgd.$$!Interne!controle!$1.$Op$basis$van$de,$gedurende$een$jaar,$ontvangen$meldingen$analyseert$het$bevoegd$gezag,$samen$met$het$managementteam$en$met$de$systeembeheerder,$deze$en$stellen$een$verbeterplan$of$>advies$op.$Dit$plan$of$advies$wordt$opgenomen$in$de$jaarlijks$uit$te$brengen$managementrapportage;$$2.$Minimaal$jaarlijks$beoordeelt$het$bevoegd$gezag$of$de$procedure$en$de$uitvoering$nog$met$elkaar$in$overeenstemming$zijn.$Indien$deze$niet$met$elkaar$overeenkomen$wordt$beoordeeld$of$de$procedure$geactualiseerd$moet$worden$of$dat$medewerkers$geïnstrueerd$moeten$worden$op$een$juiste$toepassing$van$de$procedure.$$!Schema!beoordeling!datalek!$Onderstaand$schema$geeft$aan$hoe$een$datalek$wordt$beoordeeld$en$of$deze$gemeld$moet$worden$aan$de$Autoriteit$Persoonsgegevens$en/of$de$betrokkene.$De$stappen$in$het$schema$worden$altijd$doorlopen.$Hiervan$wordt$een$verslag$gemaakt.$


! ! 14$$

$


! ! 15$$

Bijlage:!‘Gegevens!in!de!melding1$Deze$bijlage$bevat$de$gegevens$die$u$op$moet$geven$als$u$een$datalek$meldt$aan$de$Autoriteit$Persoonsgegevens.$Bij$het$formulier$zijn$de$vragen$uit$bijlage$I$bij$de$Europese$Verordening$611/2013$als$uitgangspunt$gehanteerd.$$$Aard!van!de!melding!

1)$Is$dit$een$vervolg$op$een$eerdere$melding?$(Kies$een$van$de$volgende$opties.)$a)$Ja$b)$Nee$

$2)$Wat$is$het$nummer$van$de$oorspronkelijke$melding?$(Beantwoord$deze$vraag$als$u$vraag$1$met$ja$hebt$beantwoord.)$$3)$Wat$is$de$strekking$van$de$vervolgmelding?$(Beantwoord$deze$vraag$als$u$vraag$1$met$ja$hebt$beantwoord,$kies$een$van$de$volgende$opties.)$

a)$Toevoegen$of$wijzigen$van$informatie$betreffende$de$eerdere$melding$b)$Intrekking$van$de$eerdere$melding$

$4)$Wat$is$de$reden$van$intrekking?$(Beantwoord$deze$vraag$als$u$bij$vraag$3$gekozen$heeft$voor$optie$b.)$$Wettelijk!kader!voor!de!melding!

5)$Op$grond$van$welke$wettelijke$bepaling$doet$u$deze$melding?$a)$artikel$34a,$eerste$lid,$van$de$Wet$bescherming$persoonsgegevens$b)$artikel$11.3a,$eerste$lid,$van$de$Telecommunicatiewet$

$Algemene!informatie!en!contactgevens!

6)$Over$welk$bedrijf$of$welke$organisatie$gaat$het?$(Vul$de$onderstaande$gegevens$in.)$a)$Naam$van$het$bedrijf$of$de$organisatie$b)$(Bezoek)adres$c)$Postcode$d)$Plaats$e)$KvK>nummer$

$7)$Door$wie$wordt$het$datalek$gemeld?$(Vul$de$onderstaande$gegevens$in.)$

a)$Naam$van$de$persoon$die$meldt$b)$Functie$van$de$persoon$die$meldt$c)$E>mailadres$van$de$persoon$die$meldt$d)$Telefoonnummer$van$de$persoon$die$meldt$e)$Alternatief$telefoonnummer$van$de$persoon$die$meldt$

$8)$Met$wie$kan$de$Autoriteit$Persoonsgegevens$contact$opnemen$voor$nadere$informatie$over$de$melding?$(Vul$de$onderstaande$gegevens$in$indien$dit$iemand$anders$is$dan$de$melder$van$het$datalek.)$

a)$Naam$contactpersoon$b)$Functie$van$de$contactpersoon$c)$E>mailadres$van$de$contactpersoon$d)$Telefoonnummer$van$de$contactpersoon$e)$Alternatief$telefoonnummer$van$de$contactpersoon$

$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$1$Bijlage$Beleidsregels$‘De$meldplicht$datalekken$in$de$Wbp’,$Autoriteit$Persoonsgegevens.$


! ! 16$$

$9)$In$welke$sector$is$het$bedrijf$of$de$organisatie$actief?$$Gegevens!over!het!datalek!

10)$Geef$een$samenvatting$van$het$incident$waarbij$de$inbreuk$op$de$beveiliging$van$persoonsgegevens$zich$heeft$voorgedaan.$$11)$Van$hoeveel$personen$zijn$persoonsgegevens$betrokken$bij$de$inbreuk?$(Vul$de$aantallen$in.)$

a)$Minimaal:$(vul$aan)$b)$Maximaal:$(vul$aan)$

$12)$Omschrijf$de$groep$mensen$van$wie$persoonsgegevens$zijn$betrokken$bij$de$inbreuk.$$13)$Wanneer$vond$de$inbreuk$plaats?$(Kies$een$van$de$volgende$opties$en$vul$waar$nodig$aan.)$

a)$Op$(datum)$b)$Tussen$(begindatum$periode)$en$(einddatum$periode)$c)$Nog$niet$bekend$

$14)$Wat$is$de$aard$van$de$inbreuk?$(U$kunt$meerdere$mogelijkheden$aankruisen.)$

a)$Lezen$(vertrouwelijkheid)$b)$Kopiëren$c)$Veranderen$(integriteit)$d)$Verwijderen$of$vernietigen$(beschikbaarheid)$e)$Diefstal$f)$Nog$niet$bekend$

$15)$Om$welk$type$persoonsgegevens$gaat$het?$(U$kunt$meerder$mogelijkheden$aankruisen.)$

a)$Naam>,$adres>$en$woonplaatsgegevens$b)$Telefoonnummers$c)$E>mailadressen$of$andere$adressen$voor$elektronische$communicatie$d)$Toegangs>$of$identificatiegegevens$(bijvoorbeeld$inlognaam$/$wachtwoord$of$klantnummer)$e)$Financiële$gegevens$(bijvoorbeeld$rekeningnummer,$creditcardnummer)$f)$Burgerservicenummer$(BSN)$of$sofinummer$g)$Paspoortkopieën$of$kopieën$van$andere$legitimatiebewijzen$h)$Geslacht,$geboortedatum$en/of$leeftijd$i)$Bijzondere$persoonsgegevens$(bijvoorbeeld$ras,$etniciteit,$criminele$gegevens,$politieke$overtuiging,$vakbondslidmaatschap,$religie,$seksuele$leven,$medische$gegevens)$j)$Overige$gegevens,$namelijk$(vul$aan)$$

16)$Welke$gevolgen$kan$de$inbreuk$hebben$voor$de$persoonlijke$levenssfeer$van$de$betrokkenen?$(U$kunt$meerdere$mogelijkheden$aankruisen.)$

a)$Stigmatisering$of$uitsluiting$b)$Schade$aan$de$gezondheid$c)$Blootstelling$aan$(identiteits)fraude$d)$Blootstelling$aan$spam$of$phishing$e)$Anders,$namelijk$(vul$aan)$

$!


! ! 17$$

Vervolgacties!naar!aanleiding!van!het!datalek!

17)$Welke$technische$en$organisatorische$maatregelen$heeft$uw$organisatie$getroffen$om$de$inbreuk$aan$te$pakken$en$om$verdere$inbreuken$te$voorkomen?$$Inlichten!van!de!betrokkenen!

18)$Heeft$u$het$datalek$gemeld$aan$de$betrokkenen$of$bent$u$van$plan$dat$te$gaan$doen?$(Kies$een$van$de$volgende$opties.)$

a)$Ja$b)$Nee$c)$Nog$niet$bekend$

$19)$Wanneer$heeft$u$het$datalek$gemeld$aan$de$betrokkenen,$of$wanneer$gaat$u$dit$doen?$(Beantwoord$deze$vraag$als$u$vraag$18$met$ja$hebt$beantwoord.$Kies$een$van$de$volgende$opties$en$vul$waar$nodig$aan.)$

a)$Ik$heb$het$datalek$aan$de$betrokkenen$gemeld$op$(datum)$b)$Ik$ga$het$datalek$aan$de$betrokkenen$melden$op$(datum)$c)$Nog$niet$bekend$

$20)$Wat$is$de$inhoud$van$de$melding$aan$de$betrokkenen?$(Letterlijke$weergave,$beantwoord$deze$vraag$als$u$vraag$18$met$ja$hebt$beantwoord.)$$21)$Hoe$veel$betrokkenen$heeft$u$in$kennis$gesteld$of$gaat$u$in$kennis$stellen?$(Beantwoord$deze$vraag$als$u$vraag$18$met$ja$hebt$beantwoord.)$$22)$Welk$communicatiemiddel$of$welke$communicatiemiddelen$gebruikt$u$of$gaat$u$gebruiken$bij$het$in$kennis$stellen$van$de$betrokkenen?$(Beantwoord$deze$vraag$als$u$vraag$18$met$ja$hebt$beantwoord.)$$23)$Waarom$ziet$u$af$van$het$melden$van$het$datalek$aan$de$betrokkenen?$(Beantwoord$deze$vraag$als$u$vraag$18$met$nee$hebt$beantwoord.$Kies$een$van$de$onderstaande$opties$en$vul$waar$nodig$aan.)$

a)$De$technische$beschermingsmaatregelen$die$ik$heb$getroffen$bieden$voldoende$bescherming$om$de$melding$aan$de$betrokkene$achterwege$te$kunnen$laten$b)$Het$is$onwaarschijnlijk$dat$het$datalek$ongunstige$gevolgen$zal$hebben$voor$de$persoonlijke$levenssfeer$van$de$betrokkene,$want:$(vul$aan)$c)$Ik$heb$zwaarwegende$redenen$om$de$melding$aan$de$betrokkene$achterwege$te$laten,$namelijk:$(vul$aan)$d)$Anders,$namelijk:$(vul$aan)$

$Technische!beschermingsmaatregelen!

24)$Zijn$de$persoonsgegevens$versleuteld,$gehasht$of$op$een$andere$manier$onbegrijpelijk$of$ontoegankelijk$gemaakt$voor$onbevoegden?57$(Kies$een$van$de$volgende$opties$en$vul$waar$nodig$aan.)$

a)$Ja$b)$Nee$c)$Deels,$namelijk:$(vul$aan)$

$25)$Als$de$persoonsgegevens$geheel$of$deels$onbegrijpelijk$of$ontoegankelijk$zijn$gemaakt,$op$welke$manier$is$dit$dan$gebeurd?$(Beantwoord$deze$vraag$als$u$bij$vraag$24$gekozen$heeft$voor$optie$a$of$optie$c.$Als$u$gebruik$heeft$gemaakt$van$encryptie,$licht$dan$ook$de$wijze$van$versleutelen$toe.)$$!


! ! 18$$

Internationale!aspecten!

26)$Heeft$de$inbreuk$betrekking$op$personen$in$andere$EU>landen?$(Kies$een$van$de$volgende$opties.)$a)$Ja$b)$Nee$c)$Nog$niet$bekend$

$27)$Heeft$uw$bedrijf$of$organisatie$het$datalek$gemeld$bij$toezichthouders$in$een$of$meer$andere$EU>landen?$

a)$Ja,$namelijk:$(vul$aan)$b)$Nee$

$Vervolgmelding!

28)$Is$naar$uw$mening$deze$melding$compleet?$(Selecteer$een$van$de$onderstaande$opties.)$a)$Ja,$de$vereiste$informatie$is$verstrekt$en$er$is$geen$vervolgmelding$nodig$b)$Nee,$er$komt$later$een$vervolgmelding$met$aanvullende$informatie$over$deze$inbreuk$$

$$$$$

!

!

!$ $


! ! 19$$

Bijlage!3!Matrix!opslag,!autorisatie!&!beveiliging!$$

Matrix'bij'protocol'opslag,'autorisatie'en'beveiliging

persoonlijk softwareGegevens:

behe

er

plan

ning/en/control

Functie/////

Concierge X X XAdministratief'medeweker X X X X X X X X X X XArrangement'uitvoerder X X XOnderwijs'assistent X X X X X XKlassenassistent X X X X X X XOproepkracht X X X X X XVakleerkracht X ' X XLeerkracht X X X X X X X X X X X X X X XIntern'Begeleider X X X X X X X X X X X X X X X XICTECoach X X X X X X X X XSchoolleider X X X X X X X X X X X X X X X X X X X X X x X X X X XClusterdirecteur X X X X X X X X X X X X X X X XPenningmeester'OR X XOuders XLeerlingen X XMREleden X

Secretariaat'bestuursbureau X X X XBestuursecretaris X X XOnderwijskundig'beleidmedewerker X X X X X X X X XBovenschools'ICTEcoördinator X X X X X X X X XFinancieel'beleidsmedewerker/business'intelligence X X X X X X x X X X Xfinancieel'medewerker X x X XHRM'medewerker X X X X x x X XPersoneelsadministratie X X X X x X X XJuridisch'medewerker X X X XHoofd'beleid'en'ondersteuning X X X X X X X X X X XBestuurder X X X X X X X X X X X X

Taakb.nlPersoneelOuders'leerlingen Office/365DyadeRollen/in/LOVSLOVSRollen/in/ParnassysParnassys Basispoort

//////////////////////////////Scholen

//////na

wGgegeven

s

/////resultaten

/////zorgdossier

/////LAS

/G/gegevens

/////Zorgdossier

/////ban

kgegeven

s

/////persoon

lijk/do

ssier

/////V

erzuim

registratie

/////Loo

pbaand

ossier

/////fun

ctione

ren

/////Leerling/volgsysteem

//////Integraal

/////U

ltimview

/////O

uderpo

rtaal

////Beh

eer

/////A

dministratie

/////Integraal/sc

hoolleider

/////Intern/be

geleider

/////Leerkracht

/////Leerkracht/b

eperkt

/////w

ebfin

ancieel

/////Leerlingresulta

ten

/////G

roep

sresultaten

/////Zelfevaluatie

/////Beh

eer///IC

T/coördina

tor

/////Schoo

lleider

/////V

erzuim

man

ager

/////G

roep

sleerkracht

////////////////////////////Bestuur

/////Beh

eeraccou

nt/Sha

rePo

int

/////M

ailsysteem

/Office/365

/////Sha

rePo

int/O

nline

/////Beh

eer/a

ccou

nts

/////geb

ruiker

/////facturen

/////Beh

eeraccou

nt

/////Leerkrachtaccou

nt

/////leerlingaccoun

t

/////Beh

eeraccou

nt

/////Intern/be

geleider

/////You

force/selfservice

/////M

anagem

ent/rap

portages

Protocol ICT-gedragscode & databeveiliging...

Documents

Transcript of Protocol ICT-gedragscode & databeveiliging...