Online proctoring: Kan het ook anders? Hoe zit het met de AVG?

Vanwege de coronacrisis geven onderwijsinstellingen al een geruime tijd les op afstand, en dit zal voorlopig ook nog wel even blijven. Daar hoort het toetsen van studenten en leerlingen ook bij, en het lijkt erop dat de toetsing op afstand moet gebeuren. Diverse onderwijsinstellingen willen in dat kader gebruik gaan maken van online surveillance-software, wat ook wel ‘online proctoring’ wordt genoemd. Dit roept privacyvragen op zoals: hoe zit het met de AVG? Zijn er geen minder ingrijpende toetsingsalternatieven zodat er geen online surveillance-software gebruikt hoeft te worden? Waar moet ik aan voldoen volgens de AVG als ik wel online proctoring wil toepassen? Hier bestaat binnen de onderwijspraktijk vooralsnog veel onduidelijkheid over. Er zijn zelfs Kamervragen gesteld over het gebruik van surveillance-software bij toetsen. Ook hebben studenten al aangegeven erg bezorgd te zijn over hun privacy.

In deze blog zullen wij als Lumen Group ingaan op de vraag of online proctoring de juiste aanpak is vanuit privacyperspectief, en of er wellicht betere alternatieven bestaan. Daarnaast zullen we stilstaan bij de verwerkingsgrondslag waarvan wij denken dat die van toepassing is op het gebruik van online proctoring, indien toch hiervoor wordt gekozen. Tot slot zullen wij toelichten aan welke AVG-vereisten men nog meer moet denken bij het gebruik van online proctoring.

Waarom is ‘online proctoring’ een ingrijpend middel voor privacy van studenten en leerlingen?

Online proctoring ligt in het verlengde van de ‘klassieke’ toetsing in een klaslokaal of gymzaal waarbij een surveillant meekijkt, maar dan op een meer ingrijpende manier voor de privésfeer van studenten/leerlingen. Online proctoring wordt namelijk gebruikt om fraude gedurende een toets te herkennen en te voorkomen. In dit kader zal bij online proctoring de identiteit van de kandidaat vastgesteld worden en om het toetsingsproces te bewaken wordt er gebruik gemaakt van “live video streams”. Dit wordt vaak gerealiseerd door de webcam van de laptop in te schakelen, het scherm van de laptop te delen en de camera van een smartphone te richten op de omgeving waar de leerling de toets aflegt. 

Online proctoring kan als (erg) ingrijpend worden gezien voor de privacy van studenten/leerlingen. Online proctoring vindt namelijk plaats in de vertrouwde omgeving, waarbij de student of leerling letterlijk in de gaten wordt gehouden. Daarnaast worden de opgenomen beelden verwerkt binnen een proces waar de student/leerling in eerste instantie geen zicht op heeft en waarbij algoritmes ook beslissingen nemen aan de hand van beeldanalyse. Dit verwerkings- en beslissingsproces is vaak niet goed duidelijk voor studenten/leerlingen. Dit blijkt ook niet altijd even goed uit de privacyverklaring van de aanbieders van online proctoring.

Deze situatie vraagt dus om een juiste borging van de privacy van de student of leerling, maar ook is een gepaste beveiliging van het systeem vereist. In dit kader moet online toetsen op afstand worden uitgevoerd op een fraudebestendige manier, maar met respect voor de privacy én met inachtneming van de juiste veiligheidsmaatregelen. Omdat online proctoring dus een zeer ingrijpend middel is, levert dit naar ons idee waarschijnlijk een hoog privacyrisico op. Hierdoor is een DPIA (Data Protection Impact Assessment) verplicht. Lumen Group kan helpen bij het verrichten van deze DPIA.

Is online proctoring de beste privacyoplossing, of zijn er minder ingrijpende alternatieven?

Het is dus duidelijk dat online proctoring een ingrijpende inmenging in de privésfeer van studenten/leerlingen is. Daarom raden wij aan om zeker eerst te kijken naar alternatieven voor online proctoring. Naast de inzet van online proctoring zijn er ook mogelijk andere opties om de kwaliteit van het onderwijs te borgen en fraude tegen te gaan bij jouw onderwijsinstelling. Hiermee wordt dus hetzelfde doel bereikt, maar dan met minder ingrijpende middelen. Denk hierbij aan het aanpassen van de toetsingsvormen door middel van openboektentamens en essayopdrachten. Deze kunnen dan door plagiaatscanners (zoals Turnitin) of tekstanalysesoftware (zoals Ans) op verdachte zaken achteraf worden gecontroleerd. Dit is een minder ingrijpend middel dan online proctoring. Het gebruik van deze minder ingrijpende alternatieven ligt hiermee dan ook voor de hand en raden wij ook aan vanuit privacyperspectief.

Welke verwerkingsgrondslag moet ik gebruiken voor online proctoring?

Als een onderwijsinstelling toch gebruik wil maken van online proctoring, dan moet hiervoor een verwerkingsgrondslag voor worden gevonden. De AVG biedt verschillende grondslagen voor het verwerken van persoonsgegevens. Voor online proctoring lijken een drietal grondslagen relevant, namelijk: (A) de taak van het algemeen belang voor de onderwijsinstelling, (B) de toestemming van de student of leerling en (C) het gerechtvaardigd belang. Deze grondslagen worden hieronder in het kader van online proctoring uiteengezet, waarbij wij zullen aangeven hoe aannemelijk wij het gebruik van de diverse grondslagen vinden.  

A) Taak van algemeen belang

De eerste mogelijkheid om als verwerkingsgrondslag te gebruiken voor online procotoring is de uitoefening van een taak van algemeen belang. Deze grondslag ligt naar onze mening niet voor de hand. Voor deze grondslag zal het doel van online proctoring (het voorkomen van fraude) namelijk in overeenstemming moeten zijn met het doel die een publieke taak omvat. Weliswaar kan het verzorgen van onderwijs en het afnemen van toetsen aangemerkt worden als een publieke taak waarvoor een grondslag bestaat in de wet, maar dit levert geen grondslag op voor het doel om fraude te voorkomen. Het doel van online proctoring is niet direct verenigbaar met het doel van de publieke taak van een onderwijsinstelling, omdat online proctoring een ingrijpende inmenging in de privésfeer van studenten/leerlingen is. Wij zijn van mening dat het wenselijk is dat het gebruik van online proctoring een op zichzelf staande belangenafweging krijgt. Hierbij moet dan worden nagegaan of de rechten en vrijheden van studenten/leerlingen niet zwaarder wegen dan het noodzakelijk, gerechtvaardigd belang van de onderwijsinstelling. Het lijkt ons niet wenselijk dat de rechten en vrijheden van studenten/leerlingen niet centraal staan bij het gebruik van online proctoring door te kiezen voor de taak van algemeen belang als grondslag. Daarom lijkt deze verwerkingsgrondslag geen uitkomst te bieden voor online proctoring.

B) Toestemming

De tweede mogelijkheid om een grondslag te gebruiken voor de verwerking bij online proctoring betreft het vragen van de toestemming van leerlingen/studenten. Afgevraagd kan worden of de toestemming van een student of leerling een gangbare en werkbare grondslag is. Naar onze mening lijkt dit niet het geval te zijn, omdat een toestemming vrij gegeven moet zijn volgens de AVG. In deze kwestie kunnen er twijfels bestaan in hoeverre een student/leerling de keuze om een toets op afstand te weigeren als ‘vrij’ ervaart. Omdat de weigering voor het geven van toestemming betekent dat de student of leerling hierdoor een studievertraging oploopt, zal de student/leerling deze keuze niet snel maken en is deze toestemming dan ook niet vrij gegeven.

Een andere reden wat de gangbaarheid en werkbaarheid van deze grondslag in de weg kan staan, heeft te maken met de gevallen waarin studenten/leerlingen geen toestemming geven. In dergelijke gevallen moet de onderwijsinstelling een beschikbaar alternatief bieden en vaak is dit niet of lastig beschikbaar. Wanneer een groep studenten/leerlingen die geen toestemming hebben verleend beperkt in omvang is, dan zou een beschikbaar alternatief kunnen zijn dat deze studenten/leerlingen fysiek de toets komen afleggen op school. Het Kabinet sluit de mogelijkheid immers niet uit dat studenten/leerlingen toetsen kunnen afleggen op school wanneer dit noodzakelijk is. Hierbij moeten de veiligheidsmaatregelen en adviezen uiteraard wel in acht worden genomen ten behoeve van de gezondheid van de studenten/leerlingen en medewerkers.

C) Gerechtvaardigd belang

Een andere mogelijkheid als grondslag voor online proctoring is het gerechtvaardigd belang. Hierbij is dan geen voorafgaande toestemming van de student/leerling nodig. Deze grondslag is naar onze mening de meest gangbare grondslag voor online proctoring waarop onderwijsinstellingen zich moeten baseren.

Maak een belangenafweging

Om gerechtvaardigd belang als grondslag te gebruiken zal er voorafgaand een belangenafweging moeten plaatsvinden. Hierbij moet dan een afweging worden gemaakt tussen het doel van de gegevensverwerking en de rechten en vrijheden van de studenten/leerlingen. Wanneer het belang van de onderwijsinstelling om online proctoring te gebruiken zwaarder weegt dan de rechten en vrijheden van de studenten/leerlingen, dan kan er een (geldig) beroep worden gedaan op het gerechtvaardigd belang. Deze belangenafweging dient wel voldoende onderbouwd te worden om de noodzakelijkheid om online proctoring te gebruiken te kunnen bepalen.

Stel belang van onderwijsinstelling vast

Onderdeel van de belangenafweging is dat wordt vastgesteld en onderbouwd waarom de onderwijsinstelling een belang heeft bij online proctoring, en dat dit belang gerechtvaardigd is. Een onderwijsinstelling zou de volgende belangen kunnen hebben:

  1. Controleren wat de identiteit is van de student/leerling (wie maakt de toets?);
  2. Vaststellen dat er tijdens het maken van het toets geen fraude is gepleegd;
  3. Vaststellen dat de student/leerling niet langer bezig is met de toets dan het daarvoor gegeven tijdskader.

Noodzakelijkheid en proportionaliteit

Wanneer kan worden vastgesteld dat de onderwijsinstelling een belang heeft bij online proctoring, moet vervolgens worden gekeken naar de noodzakelijkheid en proportionaliteit van online proctoring. Zo zal moeten worden onderbouwd en aangetoond dat online proctoring noodzakelijk is om het belang van de onderwijsinstelling te bereiken. Daarnaast zal moeten worden gekeken of de inzet van online proctoring proportioneel is. Dit houdt in dat er gekeken moet worden of het gebruik van online proctoring in verhouding staat tot het doel dat de onderwijsinstelling nastreeft. Daarnaast moet ook gecheckt worden of er mindere ingrijpende middelen voor de hand liggen om het belang van de onderwijsinstelling te behartigen. Denk hierbij bijvoorbeeld aan aangepaste toetsingsvormen, zoals wij ook al eerder aangaven.

Om de noodzakelijkheid van online proctoring verder te kunnen aantonen is het naar onze mening van belang om vast te stellen of studenten/leerlingen de mogelijkheid hebben om wel of niet de toetsen fysiek op locatie te kunnen maken. Hierbij zullen de overheidsmaatregelen uiteraard een rol spelen. De overheid sluit momenteel de mogelijkheid om toetsen fysiek op school af te leggen immers niet uit. Heeft een school de mogelijkheid om op een veilige manier de toetsen fysiek af te nemen, dan zal de noodzakelijkheid om op afstand te toetsen minder waarschijnlijk zijn. Hier bestaat er mogelijk geen noodzakelijk gerechtvaardigd belang.

Als de noodzakelijkheid en proportioneel voldoende zijn onderbouwd, dan is er sprake van een gerechtvaardigd belang waarbij het belang van de onderwijsinstelling zwaarder weegt dan de rechten en vrijheden van studenten/leerlingen. Let er op dat het wel altijd van belang is dat de studenten/leerlingen de mogelijkheid hebben om de werkwijze van het toetsen op afstand in te zien en te controleren. Dit kan bijvoorbeeld door heldere en transparante beschrijving in de privacyverklaring.

Bied mogelijkheid tot bezwaar

De AVG (art. 21 AVG) geeft studenten/leerlingen de mogelijkheid om bezwaar aan te tekenen tegen de beslissing van de onderwijsinstelling om online proctoring in te zetten. Studenten/leerlingen kunnen in specifieke situaties onderbouwd bezwaar aanvoeren tegen online proctoring. De onderwijsinstelling zal elk bezwaar afzonderlijk moeten beoordelen om te kijken of er nog steeds dwingende gerechtvaardigde gronden bestaan voor de inzet van online proctoring. Hierbij moet worden beoordeeld of voor de specifieke situatie het belang bij online proctoring zwaarder weegt dan de belangen, rechten en vrijheden van de student/leerling. Indien deze niet bestaan, dan zal de onderwijsinstelling de verwerking van persoonsgegevens in kwestie moeten staken en daarmee de inzet van online proctoring. Zoals hierboven besproken, zal de beslissing om de verwerking te staken minder waarschijnlijk zijn wanneer aan een student/leerling écht geen alternatief geboden kan worden, zoals het fysiek afleggen van de toets op locatie.

Aan welke AVG-vereisten moet ik nog meer denken bij online proctoring?

Naast een verwerkingsgrondslag moet de onderwijsinstelling ook voldoen aan andere AVG-verplichtingen wanneer het gaat om online proctoring. Hieronder tref je de belangrijkste uitgangspunten.

Voer een DPIA uit

Zoals ook eerder vermeld, raden wij allereerst aan voorafgaand het inzet van online proctoring een DPIA (Data Protection Impact Assessment – een privacy risicoanalyse) uit te voeren om de privacy- en informatiebeveiligingsrisico’s inzichtelijk te maken en deze door middel van beheersmaatregelen te mitigeren of te elimineren. Bij het inzet van online proctoring worden veel persoonsgegevens verwerkt en kan sprake zijn van een niet-transparant proces, waarbij gebruik wordt gemaakt van algoritmes. Hierdoor lijkt sprake te zijn van hoge privacy- en informatiebeveiligingsrisico’s. Daarom vereist het inzetten van online proctoring strenge maatregelen en lijkt een DPIA verplicht te zijn. Lumen Group heeft veel ervaring met het uitvoeren van een DPIA en kan ook  jouw organisatie hierbij van dienst zijn.

Let bij de DPIA vooral op het beginsel van dataminimalisatie. De AVG schrijft voor dat de verzameling van persoonsgegevens beperkt wordt tot het minimale voor zover noodzakelijk voor de uitvoering van de taak in kwestie. Dit betekent dus onder andere dat er strikte bewaartermijnen van video opnames bepaald moeten worden. Slechts in uitzonderlijke gevallen zouden deze beelden geraadpleegd kunnen worden, zoals bij een verdenking van fraude.

Informeer betrokkenen

Daarnaast raden wij aan om een privacyverklaring en -beleid op te stellen waarin de onderwijsinstelling aangeeft hoe zij omgaat met persoonsgegevens met betrekking tot online proctoring. Geef daarbij specifiek aan op welk wijze (beslisregels) algoritmes worden ingezet. Uiteraard is het mogelijk dat de bestaande verklaring en beleid hiermee worden aangevuld.

Selecteer de applicatie zorgvuldig

Ook raden wij aan om zorgvuldig te zijn in het kiezen van de applicatie of tool die zal worden gebruikt voor het inzetten van online proctoring. In onze eerdere blog kun je teruglezen waar je op moet letten bij het kiezen van tools en applicaties. SURF maakte reeds een privacyrisico analyse over de beschikbare documentatie van drie online proctoring software aanbieders (Proctorio, ProctorExam en RPnow). Deze analyse kun je hier terugvinden.

Meer weten?

Wij hopen met het schrijven van deze blog een antwoord te hebben gegeven op de voornaamste vragen als het neerkomt op het gebruik van online surveillance-software. Mocht je naar aanleiding van deze blog nog een vraag hebben, stel deze dan gerust door te mailen naar info@lumengroup.nl of te bellen naar 030 – 889 65 75. Voor meer informatie over de AVG in het onderwijs verwijzen wij je graag naar onze andere blogs op de website van Lumen Group. Meer informatie over de AVG en het lesgeven op afstand kun je vinden in onze webinar. De webinar kun je terugkijken via deze link.

Waar moet ik op letten bij het kiezen van applicaties voor (video)bellen en chatten?

Vanwege de Coronacrisis bevinden wij ons met z’n allen in een staat van bereidheid om het ‘reguliere’ leven zo goed mogelijk te laten verlopen. Dit vergt een behoorlijke aanpassingsvermogen van iedereen. Werken op afstand of lesgeven op afstand als alternatief voor werken op kantoor of regulier onderwijs wordt door veel organisaties nu al een tijdje toegepast. Hierbij wordt er gebruik gemaakt van verschillende applicaties zoals Zoom, Skype, Teams, Hangout of andere (soms gratis) applicaties voor de onderlinge communicatie. In dit artikel geven we je een overzicht van risico’s op het gebied van privacy en informatiebeveiliging en hoe je hiermee kunt omgaan.

Ga zorgvuldig op met persoonsgegevens, ook tijdens de Coronacrisis

Waar voorheen je het werk kon laten op kantoor of school, neem je nu je werk mee naar je woon- of slaapkamer. De grenzen van werk en privé worden hiermee virtueel verlegd wanneer deelnemers van een videobelgesprek een kijkje krijgen in een groot gedeelte van eenieders leven wat normaal gesproken verborgen blijft. Naast je (directe) collega’s of leerlingen kunnen ook de aanbieders van de (gratis) applicaties meekijken door jouw persoonsgegevens te gebruiken.

Ook brengt het Coronavirus met zich mee dat er nieuwe risico’s ontstaan. Veel criminelen willen gebruik maken van de coronastress door in te spelen op de angsten van mensen. Denk hierbij aan phishing e-mails gericht op het bestrijden van het coronavirus (zie hierover ook onze blogpost). Maar denk ook aan het fenomeen “Zoom-Bombing”, waarbij onbekende deelnemers zich aansluiten bij een videobelgesprek en ongewenste beelden laten zien. Dit kan het imago van jouw organisatie schaden. Kortom, dit vraagt alertheid van iedereen.

Het mag dan ook duidelijk zijn dat in deze crisis het zorgvuldig omgaan met persoonsgegevens nog steeds even belangrijk blijft. De AVG blijft hierom onverkort van kracht en verplicht je om verantwoord om te gaan met de persoonsgegeven van jouw medewerkers of leerlingen. Zelfs in tijden zoals wij deze nu meemaken.

Waar moet ik op letten bij het kiezen van applicaties voor (video)bellen en chatten?

Vanuit dit kader is de organisatie uiteindelijk zelf verantwoordelijk voor verwerking en dus ook de gekozen applicatie, maar wij willen in het kader van onze dienstverlening wel advies verlenen vanuit een privacy perspectief.

Algemeen uitgangspunt

Het is belangrijk om aan te geven dat het gebruik van applicaties altijd een zekere mate van privacy- en informatiebeveiligingsrisico’s met zich mee brengt. Onafhankelijk van de beveiligingsmaatregelen raden wij aan om altijd rekening te houden met het bestaan deze risico’s. Het risico dient afgewogen te worden tegen het doel en de omstandigheden. Daarbij is het van belang om de volgende hoofdvraag in het achterhoofd te houden:

“Wat wil je bereiken met het gebruik van de dienst of applicatie en weegt het doel zwaarder dan het risico?”

Maak bij het beantwoorden deze vraag altijd onderscheid tussen ‘reguliere’ persoonsgegevens, zoals NAW-gegevens en ‘bijzondere’ persoonsgegevens, zoals gezondheidsgegevens. De AVG vereist bij bijzondere persoonsgegevens een hoger beschermingsniveau ongeacht het gebruik van deze persoonsgegevens binnen de organisatie of hierbuiten.

Hulpvragen

Hieronder staat een overzicht van een aantal hulpvragen die gebruikt kunnen worden om privacy- en informatiebeveiligingsrisico’s inzichtelijk te maken en deze vervolgens af te wegen tegen het doel van het gebruik.

VRAGENTOELICHTING
Is de communicatie versleuteld? Kijk naar de versleuteling van berichten/communicatie (“AES 256 bit TLS” bijvoorbeeld).
Worden wachtwoorden onherleidbaar gemaakt? Kijk naar de methode wat gebruikt wordt om wachtwoorden onherleidbaar te maken (“hashing”).
Worden gesprekken afgeschermd door unieke vergader-ID’s? Bekijk of de optie bestaat om vergader-ID’s te gebruiken en hiermee vergaderingen af te schermen.
Wordt er voldaan aan de AVG? Beoordeel in hoeverre een dienst in overeenstemming is met de AVG.
Waar vindt de gegevensverwerking plaats? Ga na waar de gegevensverwerking plaats vindt. Bij voorkeur in de EU/EER.  
Is er sprake van een beveiligingsstandaard? Check of de leverancier/app voldoen aan een beveiligingsstandaard (“ISAE 3402 type 2, SOC 2 type 2, ISO 27001/2, NEN7510, NTA7516”).  
Is er sprake van beveiligde verbinding op het internet? Ga na of je je bevindt op een beveiligde verbinding op het internet (“HTTPS”).  
Worden er bijzondere/gevoelige (persoons)gegevens verwerkt? Ga na of het beveiligingsniveau van een applicatie voldoende is om bijzondere/gevoelige gegevens te bespreken of te delen.  
Hoe zit het met de toegang tot microfoon, camera, GPS of het adresboek van een toestel? Controleer welke onderdelen van een toestel noodzakelijk zijn en welke niet. Zo zal het GPS vaak niet noodzakelijk zijn.  
Worden persoonsgegevens met derden gedeeld?  Controleer of persoonsgegevens door de aanbieder wordt gedeeld met derden en maak uw afweging hierin of u dit accepteert door de risico’s te bepalen.  
Zijn de privacyvoorwaarden transparant? Controleer of de voorwaarden over privacy van de aanbieder transparant zijn in de privacy statements.  
Wat is het verdienmodel van de aanbieder van de applicatie? Ga na of je moet betalen voor het gebruik van de applicatie. Is de applicatie ‘gratis’? Dan wordt in de meeste gevallen ‘betaald’ met je persoonsgegevens.
Is er een acceptabele verwerkersovereenkomst?Kijk daarbij naar de formele AVG-vereisten en of jouw organisatie de contractuele risico’s wilt accepteren, en in welke mate. Onderhandel altijd als dit nodig is.
Maakt de applicatie gebruik van tracking cookies?Controleer in het privacy statement of in de cookie policy of de applicatie gebruik maak van tracking cookies.

Vragen bij het kiezen van een applicatie. Let op: deze vragen zijn niet uitputtend en slechts indicatief bedoeld om ondersteuning te bieden! Deze vragen hoeven dus niet leidend te zijn voor jouw keuze.

AVG en les geven op afstand

Mocht je nog meer willen weten over de AVG en lesgeven op afstand of waar je op moet letten bij het selecteren van tools en apps, dan kun je ook onze webinar terugkijken. Dat kan via deze link. Onder aan de pagina kun je ook de sheets met alle informatie terugvinden.

Welke privacy- en informatiebeveiligingsrisico’s bestaan er rondom de applicatie Zoom?

Wij krijgen veel vragen privacy- en informatiebeveiligingsrisico’s rondom het gebruik van de applicatie Zoom. Op dit moment raden wij het gebruik van Zoom af. De redenen hiertoe som ik hieronder voor je op.

  • Tot voor kort was de privacyverklaring van Zoom niet volledig transparant over wat zij deden.
  • Zoom verkoopt geen gegevens door, maar Zoom stelt haar platform wel beschikbaar voor ad-tech bedrijven (o.a. Google) om advertentietools te plaatsen.
  • Zoom plaatst ook cookies van derde partijen die helpen bij het voornoemde.
  • Door middel van “Zoom-bombing” is het als buitenstaander mogelijk om in een videogesprek binnen te dringen. Ongewenste beelden kunnen dan gedeeld worden wanneer de instellingen van een gesprek niet goed zijn ingesteld. Vanaf 4 april heeft Zoom een wachtkamer ingericht om dit te voorkomen. 
  • Zoom stuurde tot voor kort nog informatie door aan Facebook.
  • Tot voor kort was het ook mogelijk voor de gastheer van een gesprek om te controleren of deelnemers een Zoom gespreksvenster weg klikken (niet meer opletten).
  • Zoom maakt automatisch gebruik van gemeenschappelijke benaming van bestanden die online op servers worden opgeslagen nadat videogesprekken zijn opgenomen. Deze bestanden kunnen makkelijk gevonden worden in zoekmachines wanneer gezocht wordt naar de (algemene) bestandsnamen.
  • Er is geen sprake van versleuteling van (video)gesprekken wanneer er gebruik wordt gemaakt van de handige functies van Zoom zoals het opnemen van de gesprekken via de cloud.
  • Zoom maakt gebruik van een type versleuteling (AES-128) wat afgeraden wordt vanwege de herleidbaarheid van de teksten die versleuteld worden.
  • Zoom heeft naar aanleiding van het toegenomen gebruik van de applicatie per ongeluk twee Chinese servers ingeschakeld waarmee niet-Chinese klanten verbonden werden.

Uitgangspunt Lumen Group

Zoom heeft haar privacyverklaring wel reeds aangepast en inmiddels enkele technische verbeterpunten doorgevoerd, maar of dit tot een werkelijke privacy- en beveiligingsverbetering heeft geleid weten we nog niet. Wij zijn op dit moment in afwachting van de nieuwe, technische informatie hierover. Wij willen namelijk graag weten of Zoom haar aangepaste beleid ook daadwerkelijk heeft geoperationaliseerd en naleeft. Tot er meer duidelijkheid hierover is blijven wij kritisch over het gebruik van Zoom. Gelet op het feit dat er ook meer privacyvriendelijke alternatieven bestaan voor Zoom (zoals Jitsi en Microsoft Teams), raden wij het gebruik van Zoom af.

Voor meer informatie over de risico’s rondom Zoom, dan kun je dat hier verder lezen. Wil je toch Zoom gebruiken? Neem dan in ieder geval de maatregelen zoals deze zijn beschreven op deze website.

Hoe maak ik een risico-afweging om uiteindelijk een applicatie te kiezen?

De keuze voor een applicatie is niet altijd gemakkelijk en wij zijn van mening dat het raadzaam is om een dergelijke keuze op bestuursniveau een centrale keuze voor de hele organisatie te maken. Zo voorkom je dat er op verschillende organisatieniveaus een applicatie gekozen wordt zonder dat er voldoende aandacht is besteed aan de privacy- en informatiebeveiligingsrisico’s. Zoals eerder besproken is een goede afweging tussen het doel van het gebruik van de applicatie en de (eventuele) privacy- en informatiebeveiligingsrisico’s die deze applicatie met zich meebrengt erg belangrijk.

Geschiktheid applicatie voor jouw organisatie

Allereerst is het belangrijk om goed in kaart te brengen wat jouw organisatie nodig heeft op het gebied van communicatie en samenwerking. Aan de hand van de eisen die je als organisatie aan een applicatie stelt, kun je bepalen welke applicaties relevant zijn voor het gebruik hiervan op langer termijn. Het zou namelijk zonde zijn als je bepaalde privacy- en informatiebeveiligingsrisico’s hebt geaccepteerd van een applicatie die later niet meer gebruikt wordt. Dit kan bijvoorbeeld het geval zijn wanneer je in eerste instantie gesprekken voerde met enkele deelnemers in een applicatie, maar op korte termijn erachter komt dat de gekozen applicatie niet geschikt is voor gesprekken met meer dan tien deelnemers terwijl je dit wel graag wilt.

Sluiten verwerkersovereenkomst

Nadat de vereisten bekend zijn, is het tijd om de privacy- en informatiebeveiligingsrisico’s inzichtelijk te maken en deze vervolgens af te wegen tegen het doel van jullie gebruik. Als de risico’s bekend zijn en je hebt deze afgewogen tegen het doel van het gebruik, dan kun je als organisatie de keuze maken of je een applicatie wel of niet gaat gebruiken. Wanneer je een bepaald applicatie wel gaat gebruiken, dan willen wij benadrukken dat het sluiten van een verwerkersovereenkomst met de aanbieder essentieel is. Hierin staan duidelijke afspraken met betrekking tot het gebruik van persoonsgegevens door zowel jouw organisatie als door de aanbieder die in lijn zijn met de AVG. Zorg er altijd voor dat je de overeenkomst inhoudelijk hebt gecheckt. Kijk daarbij naar de formele AVG-vereisten en of jouw organisatie de contractuele risico’s wilt accepteren, en in welke mate. Onderhandel altijd als dit nodig is. Sluit daarnaast zoveel mogelijk aan bij leveranciers die gebruik maken van erkende modelovereenkomsten (zoals het Privacy Convenant 3.0 voor het onderwijs).

Data Protection Impact Assessment (“DPIA”)

Een DPIA (Data Protection Impact Assessment) kan helpen bij het inzichtelijk maken van (hoge) privacyrisico’s inzichtelijk en helpen om te bezien of de app in lijn met de AVG. Aan de hand van een DPIA kun je vervolgens bepalen of je bepaalde risico’s wel of niet accepteert. Het kan zelfs zo zijn dat een DPIA verplicht is, zorg er dus voor dat je dit altijd onderzoekt. Mocht je een applicatie duurzaam en integraal willen doorlichten voordat je de keuze maakt, dan kan Lumen Group als onderdeel van haar dienstverlening ondersteuning aanbieden bij het toepassen van een DPIA.

Welke privacyvriendelijke applicaties bestaan er?

Hieronder zullen wij aangeven  van welke applicaties bekend zijn hoe privacyvriendelijk zij daadwerkelijk zijn. Wij hebben hier een onderscheid gemaakt tussen applicaties die verschillende doeleinden kunnen worden gebruikt, zoals communicatie over ‘bijzondere’ persoonsgegevens (gezondheidsgegevens), lesgeven op afstand en regulier videobellen..

Gezondheidsgegevens

Op de website van Zorg van Nu (een initiatief van het ministerie van Volksgezondheid, Welzijn en Sport) wordt uitgebreid ingegaan op alternatieven voor het veilig communiceren van bijzondere gegevens zoals medische gegevens. Zo wordt er gesproken over de applicaties Siilo, de KPN Zorg Messenger en de Zorgapp. Via deze link kan je hierover meer lezen.

Les geven op afstand en regulier videobellen

Op dit moment adviseren wij om Microsoft Teams te gebruiken voor les geven op afstand en regulier videobellen. Als gevolg van een onderhandeling met het Rijk heeft Microsoft enige tijd geleden haar privacyvoorwaarden wereldwijd aangepast en verbeterd. Microsoft verwerkt alleen nog maar persoonsgegevens voor slechts drie (legitieme) doelen, waarvan er geen één een commercieel doel is. Daarnaast verwerkt Microsoft persoonsgegevens ook niet meer voor profiling, data analytics, marktonderzoek of advertenties. De verbeterde privacyvoorwaarden zijn opgenomen in de licentievoorwaarden (Online Service Terms – OST) die vanaf januari 2020 gelden. Het is wel goed om te vermelden dat deze aanpassing geldt voor de Office 365 Enterprise-versie, maar ook voor de Business versie voor het midden- en kleinbedrijf. De aanpassingen gelden niet voor de Windows 10 Enterprise of de mobiele apps van Office.

Ons advies luidt dan ook: Gebruik van Microsoft Office via een zakelijke licentie, maar niet via de mobiele app of Windows 10 Enterprise. Uiteraard zijn er ook andere privacyvriendelijke opties voor videobellen, zoals Jitsi en Signal. Hierover kun je meer lezen op de website van Bits of Freedom op deze pagina (algemeen) en deze pagina (Jitsi). Let op: ons advies is enkel indicatief bedoeld en hoeft niet leidend te zijn. Wellicht zijn andere aspecten voor jouw organisatie meer van doorslaggevend belang.

Meer weten?

Heb je vragen of wil je meer weten? Neem dan contact met ons op. Wij helpen graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

Pas op voor phishing! Juist tijdens de Coronacrisis.

Momenteel werkt Nederland thuis in verband met het Coronavirus. Dit vergt veel aanpassingsvermogen van iedereen en roept nieuwe situaties in het leven. Ook cybercriminelen hebben dit in de gaten. Afgelopen tijd was al vaker te lezen in het nieuws (zoals bijvoorbeeld: Politie, FD.nl en RTL Nieuws) dat cybercriminelen phishingberichten versturen als gevolg van de Coronacrisis. Ook een aantal van onze klanten is hierdoor inmiddels getroffen. Phishing kan grote gevolgen hebben, zoals bijvoorbeeld een datalek of gijzeling van de systemen. Kortom, pas op voor phishing, juist in de Coronacrisis. In deze blog geven we aan waar je op moet letten en wat je moet doen om phishing van jouw gegevens te voorkomen.

Wat is phishing en hoe herken je phishing?

Phishing is een vorm van internetfraude, wat bestaat uit het oplichten van mensen door via een valse e-mail, appbericht, SMS of zelfs QR-code persoonlijke en gevoelige gegevens ‘binnen te hengelen’ en afhandig te maken. Makers van phishingberichten gaan steeds professioneler te werk, waardoor de kans op phishing ook bij jou of jouw organisatie kan voorkomen.

Een phishingbericht ziet er uit als een gewone e-mail, app of SMS waarin cybercriminelen zich voordoen als bijvoorbeeld je bank, overheidsinstelling, postbedrijf, webwinkel of een collega. Er wordt een verzoek gedaan om op linkjes te klikken, bijlages te openen, geld over te maken of gegevens in te vullen. Op die manier kunnen cybercriminelen zorgen voor de verspreiding van virussen of geldsommen aftroggelen. Via phishingbericht kan een cybercrimineel ook toegang krijgen tot je systemen, met de persoonlijke gegevens die daarin te vinden zijn. Het systeem wordt dan als ware gehackt. Dit kan leiden tot een potentieel datalek.

Wat kun je doen om phishing van jouw gegevens te voorkomen?

Als je een phishingbericht krijgt, is het van belang dat je direct op de juist manier handelt. Hieronder geven wij aan wat je moet doen als je een phishingbericht ontvangt:

  • Reageer nooit op e-mails of appjes met verzoeken om persoonlijke inlogcodes of pincode. Banken, creditcard maatschappijen en bijvoorbeeld webshops vragen hier nooit om. Ontvangt je zo’n e-mail? Verwijder deze dan meteen. Klik in geen geval op een link die in de e-mail staat.
  • Krijg je betaalverzoeken van onbekenden, klik deze dan niet aan.
  • Stuur jouw bankpas niet op. Jouw bank zal hier nooit om vragen. Als je een nieuwe pas krijgt, vraagt de bank altijd om jouw oude pas door te knippen en weg te gooien.
  • Stuur ook nooit een kopie van jouw identiteitsbewijs op. Criminelen kunnen jouw BSN-nummer gebruiken om een bankpas aan te vragen.
  • Geef nooit zomaar persoonlijke gegevens over de telefoon.
  • Wil je een betaalverzoek doen, log dan in op jouw eigen bankapp of de website van jouw bank en doe daar de betaling. Geef ook aan bij de koper dat je op deze manier betaalt. Vaak zal de fraudeur dan al afhaken en geen verdere actie ondernemen.
  • Vertrouw je een link niet helemaal, check hem via de website checkjelinkje.nl.
  • Zorg dat wachtwoorden veilig zijn en verander ze regelmatig. Wees er zeker van dat jouw computer de laatste software- en beveiligingsupdates heeft gehad.

Meer informatie over phishing vind je terug op de website van de Politie.

Wat moet ik als organisatie doen als mijn medewerker is getroffen door phishing?

Eerder schreven wij een blog over hoe je als organisatie moet handelen zodra iemand uit jouw organisatie op een phishinglink heeft geklikt. Meer informatie hierover en welke stappen je moet nemen als organisatie lees je hier.

Meer weten?

Heb je vragen of wil je meer weten? Neem dan contact met ons op. Wij helpen graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.