Effectief AVG kennis en bewustwording waarborgen tijdens de coronamaatregelen

Juist in tijden van corona is het erg van belang om kennis en bewustwording rondom privacy- en informatiebeveiliging actueel te houden. Waar gewerkt wordt, worden fouten gemaakt. Ook op het gebied van privacy. Zeker nu leraren (deels) op afstand werken en lesgeven, wordt de kans op bijvoorbeeld datalekken vergroot. Vooral omdat ze dit waarschijnlijk ook in de toekomst blijven doen.

Lumen Group heeft daarom in samenwerking met Academy4Learning een online leerlijn (door)ontwikkeld, genaamd ’AVG in het klaslokaal: praktische handvatten voor kennis en bewustwording’. Deze leerlijn bestaat uit een e-learning, met aanvullend een verdiepende opfriscursus. We merken in toenemende mate interesse vanuit PO, VO en MBO voor deze online leerlijn, en met goede redenen!

Waarom kiezen voor onze online leerlijn?

De e-learning is een erg effectief middel om binnen het hele lerarenteam kennis en bewustwording te vergroten. Leraren kunnen overal ter wereld en in hun eigen tijd met de e-learning aan de slag, wat juist nu heel handig is. Op laagdrempelige wijze wordt – op basis van lastige juridische termen – een praktisch denkkader aangereikt omtrent de AVG. Ook kunnen leraren vanuit huis de informatie op hun eigen tempo tot zich nemen en worden daarnaast echt uitgedaagd om meer na te denken over de privacy in het klaslokaal. De opfriscursus biedt verdieping in de onderwerpen over privacy- en informatiebeveiliging in relatie tot de AVG. Dit gebeurt aan de hand van praktijkvoorbeelden en actuele thema’s.

Na het doorlopen van de online leerlijn hebben de deelnemers kennis genomen van een praktisch én toepasbaar denkkader, hebben ze veel praktijkvoorbeelden gezien en zijn ze beter op de hoogte hoe ze om kunnen gaan met persoonsgegevens.

Waaruit bestaat de online leerlijn?

De online leerlijn loopt gedurende een periode van 12 maanden. Leraren starten met het basisdeel van ± 45 minuten, waarbij ze op een praktische manier worden meegenomen in de AVG. Na afronding van deze e-learning ontvangen deelnemers een deelcertificaat, als bewijs dat ze hebben deelgenomen.

Vervolgens wordt er 10 maanden lang iedere maand een nieuw thema beschikbaar gesteld, waarin dieper wordt ingegaan op de materie en actualiteiten. Hierbij komen thema’s als veilig thuiswerken, omgaan met rechten van betrokkenen en wachtwoorden aan bod.  Na de afronding van alle casuïstiek ontvangen deelnemers een certificaat van afronding, wat bijdraagt aan de aantoonbaarheid.

Interessant voor het bestuur: Rapportage van de vorderingen

Het is mogelijk dat de voortgang van de leraren wordt gemonitord aan de hand van een dashboard of (anonieme) rapportage. Zo kan bijvoorbeeld het bestuur op schoolniveau zien wat de vorderingen zijn. Daarbij is zichtbaar op welke vragen er goed gescoord wordt en met welke vragen de deelnemers meer moeite hebben. Dit biedt de mogelijkheid voor het voeren van verdere gesprekken over privacy- en informatiebeveiliging, zodat bewustwording op diverse manieren in de onderwijsorganisatie wordt gebracht. Ook draagt een dashboard of rapportage bij aan de aantoonbaarheid dat de onderwijsorganisatie privacy- en informatiebeveiliging serieus neemt en hierop actie onderneemt.

Meer weten?

Download de Flyer of vraag een demo aan. Voor andere vragen kunt u contact opnemen via info@academy4learning.nl.  Goed om te weten: bestaande klanten van Lumen Group ontvangen 30% korting.

Hoe kan je de NTA 7516 toepassen met het gemak van gewoon e-mailen?

Bij Lumen Group hebben wij de afgelopen tijd gemerkt dat ‘veilig mailen’ een steeds actueler onderwerp is geworden. Mede naar aanleiding van de publicatie van de NTA 7516 krijgen wij in toenemende mate hierover vragen.  Met de publicatie van de NTA 7516 op 15 mei 2019 is er voor het per e-mail versturen van persoonlijke gezondheidsinformatie een veldnorm in het leven geroepen. Dit houdt in dat Iedere professional die persoonlijke gezondheidsinformatie per e-mail wil versturen, gebruik moet maken van een NTA 7516-veilig e-mail product én ook zelf moet voldoen aan de eisen van de NTA 7516.

In de praktijk kan dit tot problemen leiden. Wanneer de ontvanger van jouw e-mails vanwege vertragende beveiligingsmaatregelen moeite moet doen om ze te vinden, te openen en te lezen, dan gaat tot wel 30% van de door jou gestuurde berichten verloren. En dat terwijl de informatie in de e-mails juist zo belangrijk is! Zo schiet gegevensbescherming dus makkelijk z’n doel voorbij. Maar het kan ook anders: veilig mailen met het grootste gemak voor zowel de verzender als de ontvanger.

Wij vroegen Yvonne Hoogendoorn (CEO bij SecuMailer) om wat meer uitleg te geven in deze blog. SecuMailer heeft namelijk als initiatiefnemer voor de NTA 7516 een slimme oplossing voor veilig e-mailen, die zorgt dat zowel de ontvanger als de verzender moeiteloos en veilig kunnen blijven e-mailen.

Yvonne Hoogendoorn van SecuMailer over de NTA 7516 en veilig mailen:

Wie, wat, waar van de NTA 7516

  • Wie: Professionals die e-mails versturen met persoonlijke gezondheidsinformatie.
  • Wat: Digitale veiligheidseisen om privacy en doktersgeheim in e-mails te garanderen.
  • Waar: Gewoon in je mailbox en tijdens het e-mailverkeer.
  • Waarom: Om het lekken van persoonlijke gegevens te voorkomen.
  • Wanneer: Als je een e-mail verstuurt.
  • Hoe: Met de slimme beveiliging van SecuMailer die je niet merkt.

Word jij ook gek van al die ophaalberichten in je mail?

De afgelopen jaren is er in de zorg veel elektronische informatie uitgewisseld in portalen. Dit was nodig omdat e-mail verkeer niet veilig te versturen was. Een logische stap was om ook berichten bedoeld voor patiënten in een portaal te plaatsen. Hier kan zowel de patiënt of een andere zorg professional via een ophaalbericht  naar het portaal klikken en dan met een extra code of wachtwoord het bericht inzien. Hartstikke lastig vaak, en soms zelfs onmogelijk. Denk maar aan mijn berichtenbox van de overheid, dat is ook nooit een fijne ervaring.

Het goede nieuws is: Dit is niet meer nodig.

Door te kiezen voor SecuMailer voorkom je dat de beveiliging van e-mail door de ontvangers als ‘gedoe’ wordt ervaren. Het gebruik van portalen, fileshare servers en/of lokale plug-ins is namelijk niet nodig met SecuMailer. Je krijgt hiermee een oplossing die zoveel mogelijk lijkt op de ‘gewone’ manier van e-mailen, echter met de garantie van versleutelde aflevering.

Veel organisaties kijken nu naar een portaaloplossing voor veilig e-mailen omdat ze dit al vaker hebben gezien. De grote nadelen voor de ontvanger en de grote belasting voor de eigen ICT omgeving zijn echter goede redenen om de moderne oplossing voor veilig e-mailen zonder ophaalberichten en portalen te overwegen.

Maar hoe doe je dat dan met het beroepsgeheim van de (zorg)professional?

De artseneed werd in 1878 ingevoerd in Nederland en sinds dien is het dus al goed gebruik dat medische informatie niet zomaar bij de verkeerde persoon terecht komt. Niets nieuws dus dat ook per e-mail niet zomaar medische gegevens verstuurd kunnen worden. De zorgprofessional moet eerst vaststellen dat de ontvanger recht heeft op de informatie.

De eerste keer dat een patiënt bij een dokter komt moet hij zich inschrijven. Het BSN-nummer wordt vastgelegd, de identiteit wordt gecontroleerd met een officieel identiteitsbewijs en de adresgegevens worden in het medisch dossier gezet. Daarna hoef je bij je huisarts echt niet iedere keer je paspoort te laten zien.

Twee Factor Authenticatie. Maximaal 4 x per jaar

Voor vertrouwelijke e-mails kan het vaststellen van de identiteit van de ontvanger op de volgende manier. De zorg professional (of in ieder geval de organisatie) heeft e-mailadres en telefoonnummer van de ontvanger. De identiteit van de ontvanger kan je dan controleren door een combinatie van een e-mail en een bericht naar de telefoon.

Vanaf dat moment is zorgvuldig aangetoond dat de ontvanger is wie hij zegt te zijn en via het e-mailadres veilig te bereiken is. Alle e-mails kunnen vanaf dan veilig in de mailbox van de ontvanger komen. Na 90 dagen is het weer nodig om opnieuw een combinatie van e-mail en bericht op de telefoon te sturen.

Wettelijk kader

Sinds mei 2020 zijn er nieuwe regels voor veilig e-mailen met persoonlijke gezondheidsinformatie. Die zijn vastgelegd in de NTA 7516 veilig e-mailen in de zorg. Deze regels zijn gebaseerd op de volgende wettelijke kaders:

De AVG:

Privacywetgeving die verplicht tot het nemen van voldoende technische en organisatorische maatregelen om te voorkomen dat vertrouwelijke gegevens in verkeerde handen komen. E-mail moet volgens deze wet versleuteld verstuurd worden.

De WGBO:

Dit is de wet op de geneeskundige behandelovereenkomst. Hierin is het beroepsgeheim van de zorg professional vastgelegd. Omdat deze twee wetten ten grondslag liggen aan de NTA 7516, hoeft de NTA 7516 zelf geen wet te zijn, maar zijn de eisen wel verplicht voor iedereen de een medisch beroepsgeheim heeft. Veel lagere overheden en ministeries gaan ook met de regels van de NTA 7516 werken, omdat zij ook regelmatig persoonlijke gezondheidsinformatie nodig hebben of versturen.

Eisen Forum standaardisatie:

De open standaarden voor veilig digitaal internetverkeer die het forum standaardisatie oplegt aan (semi)overheden zijn ook toegepast in de NTA 7516 eisen. Ook dit is een reden waarom veel gemeenten en ministeries de NTA 7516 norm voor veilig e-mailen willen gaan toepassen.

Meer weten?

Mocht je naar aanleiding van deze blog nog een vraag hebben, stel deze dan gerust door te mailen naar info@lumengroup.nl of te bellen naar 030 – 889 65 75. Ook kun je direct contact opnemen met Yvonne Hoogendoorn via de website van SecuMailer.

Schoolmusicals in groep 8: Mag een livestream vanuit AVG-perspectief?

Nu de periode van schoolmusicals weer is aangebroken krijgen wij van steeds meer basisscholen de vraag of zij deze mogen livestreamen via een platform zoals Zoom, Youtube, Google Meet of Microsoft Teams. Het is vanwege de coronamaatregelen helaas niet altijd mogelijk om alle ouders in één zaal bij elkaar te laten komen. In deze blog zullen wij ingaan op wat er komt kijken bij het livestreamen van beelden waarop leerlingen te zien zijn.

Mag de schoolmusical gestreamd of opgenomen worden vanuit AVG-perspectief?

Ja dit mag, mits ouders toestemming geven hiervoor. Wanneer scholen de musical live willen streamen, dan verwerken zij beeldmateriaal van leerlingen. Dit geldt ook voor het opnemen van de livestream. De Autoriteit Persoonsgegevens heeft expliciet bepaald dat voor het verwerken van beeldmateriaal van minderjarigen toestemming van de ouders is vereist. Een ouder zal voor het geven van toestemming goed geïnformeerd moeten worden, zodat bekend is waar de toestemming op toeziet, en de ouder zo een weloverwogen keuze kan maken.

Het feit dat de beelden in een ‘besloten’ online omgeving wordt gestreamd, zoals op een besloten Meet- of Teams-sessie, is hierbij niet relevant. Het uitgangspunt blijft dat toestemming nodig is voordat de beelden van een leerling gestreamd worden.

Is een nieuwe toestemming nodig?

Vaak hebben scholen al eerder specifieke toestemming gevraagd en verkregen van ouders voor het maken en publiceren van beeldmateriaal. Opnieuw vragen van toestemming is niet noodzakelijk wanneer het streamen van een musical verenigbaar is met de doelen die scholen hebben gesteld voor het verwerken van beeldmateriaal, en zoals deze zijn gecommuniceerd richting de ouders. Dit kan van toepassing zijn wanneer een van de doelen voor het verwerken van beeldmateriaal het opnemen van de schoolmusical in groep 8 is. Dit is per school verschillend en hangt dus af hoe breed de geformuleerde doelen waren waarvoor ouders al toestemming hebben gegeven.

Redelijke verwachting van privacy bij de ouders

Of een doel verenigbaar is, wordt door de school zelf bepaald door vast te stellen of de nieuwe verwerking (het livestreamen van de musical) onder de redelijke verwachting van privacy van de ouders (of leerling) valt. De wijze waarop de ouder is geïnformeerd bij een eerder gegeven toestemming is hierbij bepalend.

Bij het geven van de toestemming voor het maken van beeldmateriaal, had niemand vooraf verwacht dat het livestreamen van een musical nodig zou zijn door bijvoorbeeld het Coronavirus. Het livestreamen van de musical kan hierdoor een andere context in het kader van beeldverwerking met zich meebrengen dan waar in eerste instantie over is gecommuniceerd richting de ouders. Zo zal bij het opnemen van een musical doorgaans enkel een camera gebruikt worden die de beelden lokaal opslaat, en bij een livestream zullen beelden (tijdelijk) worden opgeslagen op de servers van platformen zoals die van Google of Microsoft. Als een ouder bij het geven van een eerdere toestemming niet goed geïnformeerd is over de verschillende kenmerken van de beeldverwerking, dan kan het streamen van de musical niet vallen onder de redelijke verwachting van privacy van de ouders (of leerling). In dit geval zou de school dus opnieuw moeten vragen om toestemming van de ouders.

Welke passende (technische) maatregelen moet de school treffen?

Wanneer scholen de musicals gaan livestreamen, dan moeten zij volgens de Autoriteit Persoonsgegevens wel goede beschermingsmaatregelen nemen. Navraag bij de AP door Lumen Group leert dat met het laatste wordt bedoeld: het nemen van passende technische en organisatorische maatregelen.

Scholen moeten bijvoorbeeld gebruik maken van unieke uitnodigingslinks die gekoppeld zijn aan een ouder. Ook moeten scholen kiezen voor adequaat technisch beveiligde videodiensten, en zal er een verwerkersovereenkomst afgesloten moeten worden met de leverancier. Scholen moeten ook nadenken over of ze de livestream willen opslaan en hoe lang de beelden bewaard blijven.

Het is van belang om de ouders te vragen om de livestream of opnames die zij zelf hiervan maken, beperkt te houden tot een huishoudelijke kring, en deze niet via bijvoorbeeld social media of in groepschats te delen. Wanneer ouders de beelden wel delen, dan worden ze daarmee zelf verantwoordelijk voor de beelden die ze verspreiden.  

Alternatieve oplossing

Het kan goed zijn dat niet alle ouders toestemming geven voor de livestream. Dit betekent dat de livestream niet door kan gaan, tenzij live-editen een optie is. Hierbij zullen de kinderen waarvan de ouders geen toestemming hebben gegeven voor de livestream, onherkenbaar moeten gemaakt. Een alternatieve oplossing voor de livestream kan zijn om de schoolmusical op meerdere dagen te laten plaatsvinden, om zo de hoeveelheid ouders te verspreiden. Zo krijgen alle ouders van leerlingen de mogelijkheid om haar of zijn kind te zien optreden en hiervan zelf foto’s en films te maken. Ook hierbij is het van belang om de ouders te vragen om de livestream of opnames die zij zelf hiervan maken, beperkt te houden tot een huishoudelijke kring (zie ook hierboven).

Meer weten?

Mocht je naar aanleiding van deze blog nog een vraag hebben, stel deze dan gerust door te mailen naar info@lumengroup.nl of te bellen naar 030 – 889 65 75. Voor meer informatie over de AVG in het onderwijs verwijzen wij je graag naar onze andere blogs op de website van Lumen Group.

 

 

Even voorstellen: Mariëlle

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Mariëlle Schwarze. We stelden haar wat vragen, zodat je haar meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group? 

Bij Lumen Group is mijn functie Management Assistente. In deze functie ben ik de duizendpoot die mijn collega’s ondersteunt bij de dagelijkse werkzaamheden op administratief-, commercieel-, organisatorisch- en procesmatig vlak. Dit alles in nauwe samenwerking en overleg met mijn collega’s.

Hoe zien jouw werkdagen er ongeveer uit?

Bij Lumen Group beginnen we elke dag met een gezamenlijke (online) dagstart, waarin we bespreken wat er voor iedereen die dag op de planning staat en van wie je evt. hulp nodig hebt. Daarna ga ik aan de slag met mijn taken, die variëren van agendabeheer tot facturatie en van het organiseren van events tot het bijhouden van de website of administratieve werkzaamheden. Geen dag is hetzelfde en flexibiliteit is geboden, maar dat is juist wat ik zo mooi aan deze functie vind.

Waarom heb je ervoor gekozen om bij Lumen Group te gaan werken? 

Ik wilde graag werken bij Lumen Group omdat de uitdaging van het helpen opbouwen en meegroeien in een jonge onderneming me mooi leek. Het kunnen uitbouwen en meer vorm geven van mijn functie, de collega’s binnen het team en de sfeer onderling spraken me meteen Daarnaast heb ik de ruimte om mijn mening en ideeën in te brengen en zo bij te dragen aan de ontwikkeling van deze organisatie. Naast onze eigen werkzaamheden en verantwoordelijkheden werken we veel samen en kijken we gezamenlijk hoe we tot het beste resultaat kunnen komen.

Wat zijn jouw 3 opvallendste eigenschappen? 

Ik ben nogal een “doener”; een aanpakker die de schouders eronder zet en niet terugdeinst voor nieuwe of onbekende zaken. Gewoon proberen en kijken of het lukt, fouten maak je om te leren. Verder ben ik toegewijd/ gedisciplineerd; als ik doelen stel, dan ga ik ervoor om die te bereiken. Dat zie je zowel terug in mijn werk alsook in mijn privéleven. Tenslotte omschrijft men mij vaak als creatief. Dit uit zich onder andere in het vinden van oplossingen, tijdens brainstorms of bij het organiseren van projecten. Een eigenschap die als Management Assistente prima van pas komt.

Heb je misschien nog een leuke boodschap voor de lezers van deze nieuwsbrief?

Niet iedere dag is mooi, maar er zit zeker iets moois in elke dag als je je best doet om het te zien.

 

Even voorstellen: Árpád

Even Voorstellen: Arvin

 

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Arvin Khozooei. We stelden hem wat vragen, zodat je hem meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

Arvin: Binnen Lumen Group vervul ik de functie van een Privacy Consultant/ Functionaris Gegevensbescherming (FG). Hierbij adviseer ik opdrachtgevers op het gebied van privacywet- en regelgeving en dan met name over de Algemene Verordening Gegevensbescherming (“AVG”). Ook begeleid ik de opdrachtgevers in de implementatie van privacywet- en regelgeving door middel van het uitvoeren van analyses en opstellen van rapportages. Hier komt ook een vorm van toezicht op de naleving van deze wet- en regelgeving bij kijken.

Hoe zien jouw werkdagen er ongeveer uit?

Arvin: Mijn werkdag vangt aan met een kop koffie en de invulling van mijn agenda met de taken van die dag nadat ik mijn ontvangen berichten heb doorgenomen. Vervolgens ga ik in overleg met mijn collega’s waarin we de dag starten en de agenda punten voor die dag van eenieder bespreken. Dit zorgt ervoor dat we op de hoogte zijn van elkaars werkzaamheden en dat wij elkaar hierbij kunnen helpen indien nodig. Na de dagstart hou ik mij met name bezig met mijn eigen taken. De taken kunnen variëren van het beantwoorden van klantvragen en het beoordelen van een privacyreglement van een organisatie, tot het opstellen van rapportages over de compliance van privacywetgeving binnen een organisatie.

Waarom heb je ervoor gekozen om bij Lumen Group te gaan werken? 

Arvin: Ik heb voor Lumen Group gekozen als werkgever, omdat ik mijzelf graag bekend maak met diverse werkprocessen binnen een organisatie. Naast de mogelijkheid om mijzelf verder te ontwikkelen tot een privacy-specialist, biedt Lumen Group mij ook de mogelijkheid om betrokken te zijn met de groei van de organisatie als een gerenommeerde consultancy- en projectorganisatie, exclusief gericht op de terreinen van privacy en informatiebeveiliging. Ik maak hier graag deel van uit door mijn opgedane kennis tijdens mijn master Law & Technology toe te passen bij Lumen Group.

Wat zijn jouw 3 opvallendste eigenschappen? 

Arvin: Een groot verantwoordelijkheidsgevoel is een kenmerk dat mijn toewijding aan mijn werk verklaart. Verder ben ik zorgvuldig in mijn doen en nalaten wat ertoe leidt dat details aan mij moeilijk ontgaan. Tot slot zou men kunnen zeggen dat ik filantropisch ben vanwege mijn sterke gevoel voor gelijkwaardige basis- of grondrechten voor eenieder.

Heb je misschien nog een leuke boodschap voor de lezers van deze nieuwsbrief?

Arvin: Een gelezen kans om als mens te groeien, leest zichzelf niet voor. Deze dient gelezen te worden.

 

Online proctoring: Kan het ook anders? Hoe zit het met de AVG?

Vanwege de coronacrisis geven onderwijsinstellingen al een geruime tijd les op afstand, en dit zal voorlopig ook nog wel even blijven. Daar hoort het toetsen van studenten en leerlingen ook bij, en het lijkt erop dat de toetsing op afstand moet gebeuren. Diverse onderwijsinstellingen willen in dat kader gebruik gaan maken van online surveillance-software, wat ook wel ‘online proctoring’ wordt genoemd. Dit roept privacyvragen op zoals: hoe zit het met de AVG? Zijn er geen minder ingrijpende toetsingsalternatieven zodat er geen online surveillance-software gebruikt hoeft te worden? Waar moet ik aan voldoen volgens de AVG als ik wel online proctoring wil toepassen? Hier bestaat binnen de onderwijspraktijk vooralsnog veel onduidelijkheid over. Er zijn zelfs Kamervragen gesteld over het gebruik van surveillance-software bij toetsen. Ook hebben studenten al aangegeven erg bezorgd te zijn over hun privacy.

In deze blog zullen wij als Lumen Group ingaan op de vraag of online proctoring de juiste aanpak is vanuit privacyperspectief, en of er wellicht betere alternatieven bestaan. Daarnaast zullen we stilstaan bij de verwerkingsgrondslag waarvan wij denken dat die van toepassing is op het gebruik van online proctoring, indien toch hiervoor wordt gekozen. Tot slot zullen wij toelichten aan welke AVG-vereisten men nog meer moet denken bij het gebruik van online proctoring.

Waarom is ‘online proctoring’ een ingrijpend middel voor privacy van studenten en leerlingen?

Online proctoring ligt in het verlengde van de ‘klassieke’ toetsing in een klaslokaal of gymzaal waarbij een surveillant meekijkt, maar dan op een meer ingrijpende manier voor de privésfeer van studenten/leerlingen. Online proctoring wordt namelijk gebruikt om fraude gedurende een toets te herkennen en te voorkomen. In dit kader zal bij online proctoring de identiteit van de kandidaat vastgesteld worden en om het toetsingsproces te bewaken wordt er gebruik gemaakt van “live video streams”. Dit wordt vaak gerealiseerd door de webcam van de laptop in te schakelen, het scherm van de laptop te delen en de camera van een smartphone te richten op de omgeving waar de leerling de toets aflegt. 

Online proctoring kan als (erg) ingrijpend worden gezien voor de privacy van studenten/leerlingen. Online proctoring vindt namelijk plaats in de vertrouwde omgeving, waarbij de student of leerling letterlijk in de gaten wordt gehouden. Daarnaast worden de opgenomen beelden verwerkt binnen een proces waar de student/leerling in eerste instantie geen zicht op heeft en waarbij algoritmes ook beslissingen nemen aan de hand van beeldanalyse. Dit verwerkings- en beslissingsproces is vaak niet goed duidelijk voor studenten/leerlingen. Dit blijkt ook niet altijd even goed uit de privacyverklaring van de aanbieders van online proctoring.

Deze situatie vraagt dus om een juiste borging van de privacy van de student of leerling, maar ook is een gepaste beveiliging van het systeem vereist. In dit kader moet online toetsen op afstand worden uitgevoerd op een fraudebestendige manier, maar met respect voor de privacy én met inachtneming van de juiste veiligheidsmaatregelen. Omdat online proctoring dus een zeer ingrijpend middel is, levert dit naar ons idee waarschijnlijk een hoog privacyrisico op. Hierdoor is een DPIA (Data Protection Impact Assessment) verplicht. Lumen Group kan helpen bij het verrichten van deze DPIA.

Is online proctoring de beste privacyoplossing, of zijn er minder ingrijpende alternatieven?

Het is dus duidelijk dat online proctoring een ingrijpende inmenging in de privésfeer van studenten/leerlingen is. Daarom raden wij aan om zeker eerst te kijken naar alternatieven voor online proctoring. Naast de inzet van online proctoring zijn er ook mogelijk andere opties om de kwaliteit van het onderwijs te borgen en fraude tegen te gaan bij jouw onderwijsinstelling. Hiermee wordt dus hetzelfde doel bereikt, maar dan met minder ingrijpende middelen. Denk hierbij aan het aanpassen van de toetsingsvormen door middel van openboektentamens en essayopdrachten. Deze kunnen dan door plagiaatscanners (zoals Turnitin) of tekstanalysesoftware (zoals Ans) op verdachte zaken achteraf worden gecontroleerd. Dit is een minder ingrijpend middel dan online proctoring. Het gebruik van deze minder ingrijpende alternatieven ligt hiermee dan ook voor de hand en raden wij ook aan vanuit privacyperspectief.

Welke verwerkingsgrondslag moet ik gebruiken voor online proctoring?

Als een onderwijsinstelling toch gebruik wil maken van online proctoring, dan moet hiervoor een verwerkingsgrondslag voor worden gevonden. De AVG biedt verschillende grondslagen voor het verwerken van persoonsgegevens. Voor online proctoring lijken een drietal grondslagen relevant, namelijk: (A) de taak van het algemeen belang voor de onderwijsinstelling, (B) de toestemming van de student of leerling en (C) het gerechtvaardigd belang. Deze grondslagen worden hieronder in het kader van online proctoring uiteengezet, waarbij wij zullen aangeven hoe aannemelijk wij het gebruik van de diverse grondslagen vinden.  

A) Taak van algemeen belang

De eerste mogelijkheid om als verwerkingsgrondslag te gebruiken voor online procotoring is de uitoefening van een taak van algemeen belang. Deze grondslag ligt naar onze mening niet voor de hand. Voor deze grondslag zal het doel van online proctoring (het voorkomen van fraude) namelijk in overeenstemming moeten zijn met het doel die een publieke taak omvat. Weliswaar kan het verzorgen van onderwijs en het afnemen van toetsen aangemerkt worden als een publieke taak waarvoor een grondslag bestaat in de wet, maar dit levert geen grondslag op voor het doel om fraude te voorkomen. Het doel van online proctoring is niet direct verenigbaar met het doel van de publieke taak van een onderwijsinstelling, omdat online proctoring een ingrijpende inmenging in de privésfeer van studenten/leerlingen is. Wij zijn van mening dat het wenselijk is dat het gebruik van online proctoring een op zichzelf staande belangenafweging krijgt. Hierbij moet dan worden nagegaan of de rechten en vrijheden van studenten/leerlingen niet zwaarder wegen dan het noodzakelijk, gerechtvaardigd belang van de onderwijsinstelling. Het lijkt ons niet wenselijk dat de rechten en vrijheden van studenten/leerlingen niet centraal staan bij het gebruik van online proctoring door te kiezen voor de taak van algemeen belang als grondslag. Daarom lijkt deze verwerkingsgrondslag geen uitkomst te bieden voor online proctoring.

B) Toestemming

De tweede mogelijkheid om een grondslag te gebruiken voor de verwerking bij online proctoring betreft het vragen van de toestemming van leerlingen/studenten. Afgevraagd kan worden of de toestemming van een student of leerling een gangbare en werkbare grondslag is. Naar onze mening lijkt dit niet het geval te zijn, omdat een toestemming vrij gegeven moet zijn volgens de AVG. In deze kwestie kunnen er twijfels bestaan in hoeverre een student/leerling de keuze om een toets op afstand te weigeren als ‘vrij’ ervaart. Omdat de weigering voor het geven van toestemming betekent dat de student of leerling hierdoor een studievertraging oploopt, zal de student/leerling deze keuze niet snel maken en is deze toestemming dan ook niet vrij gegeven.

Een andere reden wat de gangbaarheid en werkbaarheid van deze grondslag in de weg kan staan, heeft te maken met de gevallen waarin studenten/leerlingen geen toestemming geven. In dergelijke gevallen moet de onderwijsinstelling een beschikbaar alternatief bieden en vaak is dit niet of lastig beschikbaar. Wanneer een groep studenten/leerlingen die geen toestemming hebben verleend beperkt in omvang is, dan zou een beschikbaar alternatief kunnen zijn dat deze studenten/leerlingen fysiek de toets komen afleggen op school. Het Kabinet sluit de mogelijkheid immers niet uit dat studenten/leerlingen toetsen kunnen afleggen op school wanneer dit noodzakelijk is. Hierbij moeten de veiligheidsmaatregelen en adviezen uiteraard wel in acht worden genomen ten behoeve van de gezondheid van de studenten/leerlingen en medewerkers.

C) Gerechtvaardigd belang

Een andere mogelijkheid als grondslag voor online proctoring is het gerechtvaardigd belang. Hierbij is dan geen voorafgaande toestemming van de student/leerling nodig. Deze grondslag is naar onze mening de meest gangbare grondslag voor online proctoring waarop onderwijsinstellingen zich moeten baseren.

Maak een belangenafweging

Om gerechtvaardigd belang als grondslag te gebruiken zal er voorafgaand een belangenafweging moeten plaatsvinden. Hierbij moet dan een afweging worden gemaakt tussen het doel van de gegevensverwerking en de rechten en vrijheden van de studenten/leerlingen. Wanneer het belang van de onderwijsinstelling om online proctoring te gebruiken zwaarder weegt dan de rechten en vrijheden van de studenten/leerlingen, dan kan er een (geldig) beroep worden gedaan op het gerechtvaardigd belang. Deze belangenafweging dient wel voldoende onderbouwd te worden om de noodzakelijkheid om online proctoring te gebruiken te kunnen bepalen.

Stel belang van onderwijsinstelling vast

Onderdeel van de belangenafweging is dat wordt vastgesteld en onderbouwd waarom de onderwijsinstelling een belang heeft bij online proctoring, en dat dit belang gerechtvaardigd is. Een onderwijsinstelling zou de volgende belangen kunnen hebben:

  1. Controleren wat de identiteit is van de student/leerling (wie maakt de toets?);
  2. Vaststellen dat er tijdens het maken van het toets geen fraude is gepleegd;
  3. Vaststellen dat de student/leerling niet langer bezig is met de toets dan het daarvoor gegeven tijdskader.

Noodzakelijkheid en proportionaliteit

Wanneer kan worden vastgesteld dat de onderwijsinstelling een belang heeft bij online proctoring, moet vervolgens worden gekeken naar de noodzakelijkheid en proportionaliteit van online proctoring. Zo zal moeten worden onderbouwd en aangetoond dat online proctoring noodzakelijk is om het belang van de onderwijsinstelling te bereiken. Daarnaast zal moeten worden gekeken of de inzet van online proctoring proportioneel is. Dit houdt in dat er gekeken moet worden of het gebruik van online proctoring in verhouding staat tot het doel dat de onderwijsinstelling nastreeft. Daarnaast moet ook gecheckt worden of er mindere ingrijpende middelen voor de hand liggen om het belang van de onderwijsinstelling te behartigen. Denk hierbij bijvoorbeeld aan aangepaste toetsingsvormen, zoals wij ook al eerder aangaven.

Om de noodzakelijkheid van online proctoring verder te kunnen aantonen is het naar onze mening van belang om vast te stellen of studenten/leerlingen de mogelijkheid hebben om wel of niet de toetsen fysiek op locatie te kunnen maken. Hierbij zullen de overheidsmaatregelen uiteraard een rol spelen. De overheid sluit momenteel de mogelijkheid om toetsen fysiek op school af te leggen immers niet uit. Heeft een school de mogelijkheid om op een veilige manier de toetsen fysiek af te nemen, dan zal de noodzakelijkheid om op afstand te toetsen minder waarschijnlijk zijn. Hier bestaat er mogelijk geen noodzakelijk gerechtvaardigd belang.

Als de noodzakelijkheid en proportioneel voldoende zijn onderbouwd, dan is er sprake van een gerechtvaardigd belang waarbij het belang van de onderwijsinstelling zwaarder weegt dan de rechten en vrijheden van studenten/leerlingen. Let er op dat het wel altijd van belang is dat de studenten/leerlingen de mogelijkheid hebben om de werkwijze van het toetsen op afstand in te zien en te controleren. Dit kan bijvoorbeeld door heldere en transparante beschrijving in de privacyverklaring.

Bied mogelijkheid tot bezwaar

De AVG (art. 21 AVG) geeft studenten/leerlingen de mogelijkheid om bezwaar aan te tekenen tegen de beslissing van de onderwijsinstelling om online proctoring in te zetten. Studenten/leerlingen kunnen in specifieke situaties onderbouwd bezwaar aanvoeren tegen online proctoring. De onderwijsinstelling zal elk bezwaar afzonderlijk moeten beoordelen om te kijken of er nog steeds dwingende gerechtvaardigde gronden bestaan voor de inzet van online proctoring. Hierbij moet worden beoordeeld of voor de specifieke situatie het belang bij online proctoring zwaarder weegt dan de belangen, rechten en vrijheden van de student/leerling. Indien deze niet bestaan, dan zal de onderwijsinstelling de verwerking van persoonsgegevens in kwestie moeten staken en daarmee de inzet van online proctoring. Zoals hierboven besproken, zal de beslissing om de verwerking te staken minder waarschijnlijk zijn wanneer aan een student/leerling écht geen alternatief geboden kan worden, zoals het fysiek afleggen van de toets op locatie.

Aan welke AVG-vereisten moet ik nog meer denken bij online proctoring?

Naast een verwerkingsgrondslag moet de onderwijsinstelling ook voldoen aan andere AVG-verplichtingen wanneer het gaat om online proctoring. Hieronder tref je de belangrijkste uitgangspunten.

Voer een DPIA uit

Zoals ook eerder vermeld, raden wij allereerst aan voorafgaand het inzet van online proctoring een DPIA (Data Protection Impact Assessment – een privacy risicoanalyse) uit te voeren om de privacy- en informatiebeveiligingsrisico’s inzichtelijk te maken en deze door middel van beheersmaatregelen te mitigeren of te elimineren. Bij het inzet van online proctoring worden veel persoonsgegevens verwerkt en kan sprake zijn van een niet-transparant proces, waarbij gebruik wordt gemaakt van algoritmes. Hierdoor lijkt sprake te zijn van hoge privacy- en informatiebeveiligingsrisico’s. Daarom vereist het inzetten van online proctoring strenge maatregelen en lijkt een DPIA verplicht te zijn. Lumen Group heeft veel ervaring met het uitvoeren van een DPIA en kan ook  jouw organisatie hierbij van dienst zijn.

Let bij de DPIA vooral op het beginsel van dataminimalisatie. De AVG schrijft voor dat de verzameling van persoonsgegevens beperkt wordt tot het minimale voor zover noodzakelijk voor de uitvoering van de taak in kwestie. Dit betekent dus onder andere dat er strikte bewaartermijnen van video opnames bepaald moeten worden. Slechts in uitzonderlijke gevallen zouden deze beelden geraadpleegd kunnen worden, zoals bij een verdenking van fraude.

Informeer betrokkenen

Daarnaast raden wij aan om een privacyverklaring en -beleid op te stellen waarin de onderwijsinstelling aangeeft hoe zij omgaat met persoonsgegevens met betrekking tot online proctoring. Geef daarbij specifiek aan op welk wijze (beslisregels) algoritmes worden ingezet. Uiteraard is het mogelijk dat de bestaande verklaring en beleid hiermee worden aangevuld.

Selecteer de applicatie zorgvuldig

Ook raden wij aan om zorgvuldig te zijn in het kiezen van de applicatie of tool die zal worden gebruikt voor het inzetten van online proctoring. In onze eerdere blog kun je teruglezen waar je op moet letten bij het kiezen van tools en applicaties. SURF maakte reeds een privacyrisico analyse over de beschikbare documentatie van drie online proctoring software aanbieders (Proctorio, ProctorExam en RPnow). Deze analyse kun je hier terugvinden.

Meer weten?

Wij hopen met het schrijven van deze blog een antwoord te hebben gegeven op de voornaamste vragen als het neerkomt op het gebruik van online surveillance-software. Mocht je naar aanleiding van deze blog nog een vraag hebben, stel deze dan gerust door te mailen naar info@lumengroup.nl of te bellen naar 030 – 889 65 75. Voor meer informatie over de AVG in het onderwijs verwijzen wij je graag naar onze andere blogs op de website van Lumen Group. Meer informatie over de AVG en het lesgeven op afstand kun je vinden in onze webinar. De webinar kun je terugkijken via deze link.

Waar moet ik op letten bij het kiezen van applicaties voor (video)bellen en chatten?

Vanwege de Coronacrisis bevinden wij ons met z’n allen in een staat van bereidheid om het ‘reguliere’ leven zo goed mogelijk te laten verlopen. Dit vergt een behoorlijke aanpassingsvermogen van iedereen. Werken op afstand of lesgeven op afstand als alternatief voor werken op kantoor of regulier onderwijs wordt door veel organisaties nu al een tijdje toegepast. Hierbij wordt er gebruik gemaakt van verschillende applicaties zoals Zoom, Skype, Teams, Hangout of andere (soms gratis) applicaties voor de onderlinge communicatie. In dit artikel geven we je een overzicht van risico’s op het gebied van privacy en informatiebeveiliging en hoe je hiermee kunt omgaan.

Ga zorgvuldig op met persoonsgegevens, ook tijdens de Coronacrisis

Waar voorheen je het werk kon laten op kantoor of school, neem je nu je werk mee naar je woon- of slaapkamer. De grenzen van werk en privé worden hiermee virtueel verlegd wanneer deelnemers van een videobelgesprek een kijkje krijgen in een groot gedeelte van eenieders leven wat normaal gesproken verborgen blijft. Naast je (directe) collega’s of leerlingen kunnen ook de aanbieders van de (gratis) applicaties meekijken door jouw persoonsgegevens te gebruiken.

Ook brengt het Coronavirus met zich mee dat er nieuwe risico’s ontstaan. Veel criminelen willen gebruik maken van de coronastress door in te spelen op de angsten van mensen. Denk hierbij aan phishing e-mails gericht op het bestrijden van het coronavirus (zie hierover ook onze blogpost). Maar denk ook aan het fenomeen “Zoom-Bombing”, waarbij onbekende deelnemers zich aansluiten bij een videobelgesprek en ongewenste beelden laten zien. Dit kan het imago van jouw organisatie schaden. Kortom, dit vraagt alertheid van iedereen.

Het mag dan ook duidelijk zijn dat in deze crisis het zorgvuldig omgaan met persoonsgegevens nog steeds even belangrijk blijft. De AVG blijft hierom onverkort van kracht en verplicht je om verantwoord om te gaan met de persoonsgegeven van jouw medewerkers of leerlingen. Zelfs in tijden zoals wij deze nu meemaken.

Waar moet ik op letten bij het kiezen van applicaties voor (video)bellen en chatten?

Vanuit dit kader is de organisatie uiteindelijk zelf verantwoordelijk voor verwerking en dus ook de gekozen applicatie, maar wij willen in het kader van onze dienstverlening wel advies verlenen vanuit een privacy perspectief.

Algemeen uitgangspunt

Het is belangrijk om aan te geven dat het gebruik van applicaties altijd een zekere mate van privacy- en informatiebeveiligingsrisico’s met zich mee brengt. Onafhankelijk van de beveiligingsmaatregelen raden wij aan om altijd rekening te houden met het bestaan deze risico’s. Het risico dient afgewogen te worden tegen het doel en de omstandigheden. Daarbij is het van belang om de volgende hoofdvraag in het achterhoofd te houden:

“Wat wil je bereiken met het gebruik van de dienst of applicatie en weegt het doel zwaarder dan het risico?”

Maak bij het beantwoorden deze vraag altijd onderscheid tussen ‘reguliere’ persoonsgegevens, zoals NAW-gegevens en ‘bijzondere’ persoonsgegevens, zoals gezondheidsgegevens. De AVG vereist bij bijzondere persoonsgegevens een hoger beschermingsniveau ongeacht het gebruik van deze persoonsgegevens binnen de organisatie of hierbuiten.

Hulpvragen

Hieronder staat een overzicht van een aantal hulpvragen die gebruikt kunnen worden om privacy- en informatiebeveiligingsrisico’s inzichtelijk te maken en deze vervolgens af te wegen tegen het doel van het gebruik.

VRAGENTOELICHTING
Is de communicatie versleuteld? Kijk naar de versleuteling van berichten/communicatie (“AES 256 bit TLS” bijvoorbeeld).
Worden wachtwoorden onherleidbaar gemaakt? Kijk naar de methode wat gebruikt wordt om wachtwoorden onherleidbaar te maken (“hashing”).
Worden gesprekken afgeschermd door unieke vergader-ID’s? Bekijk of de optie bestaat om vergader-ID’s te gebruiken en hiermee vergaderingen af te schermen.
Wordt er voldaan aan de AVG? Beoordeel in hoeverre een dienst in overeenstemming is met de AVG.
Waar vindt de gegevensverwerking plaats? Ga na waar de gegevensverwerking plaats vindt. Bij voorkeur in de EU/EER.  
Is er sprake van een beveiligingsstandaard? Check of de leverancier/app voldoen aan een beveiligingsstandaard (“ISAE 3402 type 2, SOC 2 type 2, ISO 27001/2, NEN7510, NTA7516”).  
Is er sprake van beveiligde verbinding op het internet? Ga na of je je bevindt op een beveiligde verbinding op het internet (“HTTPS”).  
Worden er bijzondere/gevoelige (persoons)gegevens verwerkt? Ga na of het beveiligingsniveau van een applicatie voldoende is om bijzondere/gevoelige gegevens te bespreken of te delen.  
Hoe zit het met de toegang tot microfoon, camera, GPS of het adresboek van een toestel? Controleer welke onderdelen van een toestel noodzakelijk zijn en welke niet. Zo zal het GPS vaak niet noodzakelijk zijn.  
Worden persoonsgegevens met derden gedeeld?  Controleer of persoonsgegevens door de aanbieder wordt gedeeld met derden en maak uw afweging hierin of u dit accepteert door de risico’s te bepalen.  
Zijn de privacyvoorwaarden transparant? Controleer of de voorwaarden over privacy van de aanbieder transparant zijn in de privacy statements.  
Wat is het verdienmodel van de aanbieder van de applicatie? Ga na of je moet betalen voor het gebruik van de applicatie. Is de applicatie ‘gratis’? Dan wordt in de meeste gevallen ‘betaald’ met je persoonsgegevens.
Is er een acceptabele verwerkersovereenkomst?Kijk daarbij naar de formele AVG-vereisten en of jouw organisatie de contractuele risico’s wilt accepteren, en in welke mate. Onderhandel altijd als dit nodig is.
Maakt de applicatie gebruik van tracking cookies?Controleer in het privacy statement of in de cookie policy of de applicatie gebruik maak van tracking cookies.

Vragen bij het kiezen van een applicatie. Let op: deze vragen zijn niet uitputtend en slechts indicatief bedoeld om ondersteuning te bieden! Deze vragen hoeven dus niet leidend te zijn voor jouw keuze.

AVG en les geven op afstand

Mocht je nog meer willen weten over de AVG en lesgeven op afstand of waar je op moet letten bij het selecteren van tools en apps, dan kun je ook onze webinar terugkijken. Dat kan via deze link. Onder aan de pagina kun je ook de sheets met alle informatie terugvinden.

Welke privacy- en informatiebeveiligingsrisico’s bestaan er rondom de applicatie Zoom?

Wij krijgen veel vragen privacy- en informatiebeveiligingsrisico’s rondom het gebruik van de applicatie Zoom. Op dit moment raden wij het gebruik van Zoom af. De redenen hiertoe som ik hieronder voor je op.

  • Tot voor kort was de privacyverklaring van Zoom niet volledig transparant over wat zij deden.
  • Zoom verkoopt geen gegevens door, maar Zoom stelt haar platform wel beschikbaar voor ad-tech bedrijven (o.a. Google) om advertentietools te plaatsen.
  • Zoom plaatst ook cookies van derde partijen die helpen bij het voornoemde.
  • Door middel van “Zoom-bombing” is het als buitenstaander mogelijk om in een videogesprek binnen te dringen. Ongewenste beelden kunnen dan gedeeld worden wanneer de instellingen van een gesprek niet goed zijn ingesteld. Vanaf 4 april heeft Zoom een wachtkamer ingericht om dit te voorkomen. 
  • Zoom stuurde tot voor kort nog informatie door aan Facebook.
  • Tot voor kort was het ook mogelijk voor de gastheer van een gesprek om te controleren of deelnemers een Zoom gespreksvenster weg klikken (niet meer opletten).
  • Zoom maakt automatisch gebruik van gemeenschappelijke benaming van bestanden die online op servers worden opgeslagen nadat videogesprekken zijn opgenomen. Deze bestanden kunnen makkelijk gevonden worden in zoekmachines wanneer gezocht wordt naar de (algemene) bestandsnamen.
  • Er is geen sprake van versleuteling van (video)gesprekken wanneer er gebruik wordt gemaakt van de handige functies van Zoom zoals het opnemen van de gesprekken via de cloud.
  • Zoom maakt gebruik van een type versleuteling (AES-128) wat afgeraden wordt vanwege de herleidbaarheid van de teksten die versleuteld worden.
  • Zoom heeft naar aanleiding van het toegenomen gebruik van de applicatie per ongeluk twee Chinese servers ingeschakeld waarmee niet-Chinese klanten verbonden werden.

Uitgangspunt Lumen Group

Zoom heeft haar privacyverklaring wel reeds aangepast en inmiddels enkele technische verbeterpunten doorgevoerd, maar of dit tot een werkelijke privacy- en beveiligingsverbetering heeft geleid weten we nog niet. Wij zijn op dit moment in afwachting van de nieuwe, technische informatie hierover. Wij willen namelijk graag weten of Zoom haar aangepaste beleid ook daadwerkelijk heeft geoperationaliseerd en naleeft. Tot er meer duidelijkheid hierover is blijven wij kritisch over het gebruik van Zoom. Gelet op het feit dat er ook meer privacyvriendelijke alternatieven bestaan voor Zoom (zoals Jitsi en Microsoft Teams), raden wij het gebruik van Zoom af.

Voor meer informatie over de risico’s rondom Zoom, dan kun je dat hier verder lezen. Wil je toch Zoom gebruiken? Neem dan in ieder geval de maatregelen zoals deze zijn beschreven op deze website.

Hoe maak ik een risico-afweging om uiteindelijk een applicatie te kiezen?

De keuze voor een applicatie is niet altijd gemakkelijk en wij zijn van mening dat het raadzaam is om een dergelijke keuze op bestuursniveau een centrale keuze voor de hele organisatie te maken. Zo voorkom je dat er op verschillende organisatieniveaus een applicatie gekozen wordt zonder dat er voldoende aandacht is besteed aan de privacy- en informatiebeveiligingsrisico’s. Zoals eerder besproken is een goede afweging tussen het doel van het gebruik van de applicatie en de (eventuele) privacy- en informatiebeveiligingsrisico’s die deze applicatie met zich meebrengt erg belangrijk.

Geschiktheid applicatie voor jouw organisatie

Allereerst is het belangrijk om goed in kaart te brengen wat jouw organisatie nodig heeft op het gebied van communicatie en samenwerking. Aan de hand van de eisen die je als organisatie aan een applicatie stelt, kun je bepalen welke applicaties relevant zijn voor het gebruik hiervan op langer termijn. Het zou namelijk zonde zijn als je bepaalde privacy- en informatiebeveiligingsrisico’s hebt geaccepteerd van een applicatie die later niet meer gebruikt wordt. Dit kan bijvoorbeeld het geval zijn wanneer je in eerste instantie gesprekken voerde met enkele deelnemers in een applicatie, maar op korte termijn erachter komt dat de gekozen applicatie niet geschikt is voor gesprekken met meer dan tien deelnemers terwijl je dit wel graag wilt.

Sluiten verwerkersovereenkomst

Nadat de vereisten bekend zijn, is het tijd om de privacy- en informatiebeveiligingsrisico’s inzichtelijk te maken en deze vervolgens af te wegen tegen het doel van jullie gebruik. Als de risico’s bekend zijn en je hebt deze afgewogen tegen het doel van het gebruik, dan kun je als organisatie de keuze maken of je een applicatie wel of niet gaat gebruiken. Wanneer je een bepaald applicatie wel gaat gebruiken, dan willen wij benadrukken dat het sluiten van een verwerkersovereenkomst met de aanbieder essentieel is. Hierin staan duidelijke afspraken met betrekking tot het gebruik van persoonsgegevens door zowel jouw organisatie als door de aanbieder die in lijn zijn met de AVG. Zorg er altijd voor dat je de overeenkomst inhoudelijk hebt gecheckt. Kijk daarbij naar de formele AVG-vereisten en of jouw organisatie de contractuele risico’s wilt accepteren, en in welke mate. Onderhandel altijd als dit nodig is. Sluit daarnaast zoveel mogelijk aan bij leveranciers die gebruik maken van erkende modelovereenkomsten (zoals het Privacy Convenant 3.0 voor het onderwijs).

Data Protection Impact Assessment (“DPIA”)

Een DPIA (Data Protection Impact Assessment) kan helpen bij het inzichtelijk maken van (hoge) privacyrisico’s inzichtelijk en helpen om te bezien of de app in lijn met de AVG. Aan de hand van een DPIA kun je vervolgens bepalen of je bepaalde risico’s wel of niet accepteert. Het kan zelfs zo zijn dat een DPIA verplicht is, zorg er dus voor dat je dit altijd onderzoekt. Mocht je een applicatie duurzaam en integraal willen doorlichten voordat je de keuze maakt, dan kan Lumen Group als onderdeel van haar dienstverlening ondersteuning aanbieden bij het toepassen van een DPIA.

Welke privacyvriendelijke applicaties bestaan er?

Hieronder zullen wij aangeven  van welke applicaties bekend zijn hoe privacyvriendelijk zij daadwerkelijk zijn. Wij hebben hier een onderscheid gemaakt tussen applicaties die verschillende doeleinden kunnen worden gebruikt, zoals communicatie over ‘bijzondere’ persoonsgegevens (gezondheidsgegevens), lesgeven op afstand en regulier videobellen..

Gezondheidsgegevens

Op de website van Zorg van Nu (een initiatief van het ministerie van Volksgezondheid, Welzijn en Sport) wordt uitgebreid ingegaan op alternatieven voor het veilig communiceren van bijzondere gegevens zoals medische gegevens. Zo wordt er gesproken over de applicaties Siilo, de KPN Zorg Messenger en de Zorgapp. Via deze link kan je hierover meer lezen.

Les geven op afstand en regulier videobellen

Op dit moment adviseren wij om Microsoft Teams te gebruiken voor les geven op afstand en regulier videobellen. Als gevolg van een onderhandeling met het Rijk heeft Microsoft enige tijd geleden haar privacyvoorwaarden wereldwijd aangepast en verbeterd. Microsoft verwerkt alleen nog maar persoonsgegevens voor slechts drie (legitieme) doelen, waarvan er geen één een commercieel doel is. Daarnaast verwerkt Microsoft persoonsgegevens ook niet meer voor profiling, data analytics, marktonderzoek of advertenties. De verbeterde privacyvoorwaarden zijn opgenomen in de licentievoorwaarden (Online Service Terms – OST) die vanaf januari 2020 gelden. Het is wel goed om te vermelden dat deze aanpassing geldt voor de Office 365 Enterprise-versie, maar ook voor de Business versie voor het midden- en kleinbedrijf. De aanpassingen gelden niet voor de Windows 10 Enterprise of de mobiele apps van Office.

Ons advies luidt dan ook: Gebruik van Microsoft Office via een zakelijke licentie, maar niet via de mobiele app of Windows 10 Enterprise. Uiteraard zijn er ook andere privacyvriendelijke opties voor videobellen, zoals Jitsi en Signal. Hierover kun je meer lezen op de website van Bits of Freedom op deze pagina (algemeen) en deze pagina (Jitsi). Let op: ons advies is enkel indicatief bedoeld en hoeft niet leidend te zijn. Wellicht zijn andere aspecten voor jouw organisatie meer van doorslaggevend belang.

Meer weten?

Heb je vragen of wil je meer weten? Neem dan contact met ons op. Wij helpen graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

Pas op voor phishing! Juist tijdens de Coronacrisis.

Momenteel werkt Nederland thuis in verband met het Coronavirus. Dit vergt veel aanpassingsvermogen van iedereen en roept nieuwe situaties in het leven. Ook cybercriminelen hebben dit in de gaten. Afgelopen tijd was al vaker te lezen in het nieuws (zoals bijvoorbeeld: Politie, FD.nl en RTL Nieuws) dat cybercriminelen phishingberichten versturen als gevolg van de Coronacrisis. Ook een aantal van onze klanten is hierdoor inmiddels getroffen. Phishing kan grote gevolgen hebben, zoals bijvoorbeeld een datalek of gijzeling van de systemen. Kortom, pas op voor phishing, juist in de Coronacrisis. In deze blog geven we aan waar je op moet letten en wat je moet doen om phishing van jouw gegevens te voorkomen.

Wat is phishing en hoe herken je phishing?

Phishing is een vorm van internetfraude, wat bestaat uit het oplichten van mensen door via een valse e-mail, appbericht, SMS of zelfs QR-code persoonlijke en gevoelige gegevens ‘binnen te hengelen’ en afhandig te maken. Makers van phishingberichten gaan steeds professioneler te werk, waardoor de kans op phishing ook bij jou of jouw organisatie kan voorkomen.

Een phishingbericht ziet er uit als een gewone e-mail, app of SMS waarin cybercriminelen zich voordoen als bijvoorbeeld je bank, overheidsinstelling, postbedrijf, webwinkel of een collega. Er wordt een verzoek gedaan om op linkjes te klikken, bijlages te openen, geld over te maken of gegevens in te vullen. Op die manier kunnen cybercriminelen zorgen voor de verspreiding van virussen of geldsommen aftroggelen. Via phishingbericht kan een cybercrimineel ook toegang krijgen tot je systemen, met de persoonlijke gegevens die daarin te vinden zijn. Het systeem wordt dan als ware gehackt. Dit kan leiden tot een potentieel datalek.

Wat kun je doen om phishing van jouw gegevens te voorkomen?

Als je een phishingbericht krijgt, is het van belang dat je direct op de juist manier handelt. Hieronder geven wij aan wat je moet doen als je een phishingbericht ontvangt:

  • Reageer nooit op e-mails of appjes met verzoeken om persoonlijke inlogcodes of pincode. Banken, creditcard maatschappijen en bijvoorbeeld webshops vragen hier nooit om. Ontvangt je zo’n e-mail? Verwijder deze dan meteen. Klik in geen geval op een link die in de e-mail staat.
  • Krijg je betaalverzoeken van onbekenden, klik deze dan niet aan.
  • Stuur jouw bankpas niet op. Jouw bank zal hier nooit om vragen. Als je een nieuwe pas krijgt, vraagt de bank altijd om jouw oude pas door te knippen en weg te gooien.
  • Stuur ook nooit een kopie van jouw identiteitsbewijs op. Criminelen kunnen jouw BSN-nummer gebruiken om een bankpas aan te vragen.
  • Geef nooit zomaar persoonlijke gegevens over de telefoon.
  • Wil je een betaalverzoek doen, log dan in op jouw eigen bankapp of de website van jouw bank en doe daar de betaling. Geef ook aan bij de koper dat je op deze manier betaalt. Vaak zal de fraudeur dan al afhaken en geen verdere actie ondernemen.
  • Vertrouw je een link niet helemaal, check hem via de website checkjelinkje.nl.
  • Zorg dat wachtwoorden veilig zijn en verander ze regelmatig. Wees er zeker van dat jouw computer de laatste software- en beveiligingsupdates heeft gehad.

Meer informatie over phishing vind je terug op de website van de Politie.

Wat moet ik als organisatie doen als mijn medewerker is getroffen door phishing?

Eerder schreven wij een blog over hoe je als organisatie moet handelen zodra iemand uit jouw organisatie op een phishinglink heeft geklikt. Meer informatie hierover en welke stappen je moet nemen als organisatie lees je hier.

Meer weten?

Heb je vragen of wil je meer weten? Neem dan contact met ons op. Wij helpen graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

Terugkijken: webinar ‘AVG en lesgeven of afstand’

Door het Coronavirus werkt heel Nederland digitaal. Ook een groot deel van de leerlingen en studenten krijgen inmiddels les op afstand. Het is snel gelukt dit voor elkaar te krijgen. Veel scholen gebruiken hiervoor Zoom, Skype, Teams, Hangout of andere (gratis) applicaties. Hierbij worden ook persoonsgegevens verzameld.

Toch is privacybescherming zeker nu ook van belang. Want hoe zit het met de privacy van de gebruikers? Is gratis wel écht gratis? Waar moet ik op letten bij het selecteren van de applicaties? Waar moet ik op letten bij het gebruik van digitale leermiddelen?

Wij krijgen een toenemend aantal vragen van onze klanten en ouders hierover. Daarom hebben wij in samenwerking met Academy4Learning op donderdag 26 maart 2020 een kosteloze webinar gegeven over de AVG en lesgeven op afstand. De webinar kun je hieronder terugkijken.

Wegens de vele deelnemers, vragen en reacties zagen wij de webinar als een succes. Daarom hebben wij de webinar nogmaals gegeven.

Webinar terugkijken?

Hieronder kun je de webinar terugkijken:

Sheets behorende bij de webinar

Hieronder kun je de PowerPoints-sheets downloaden die zijn gebruikt tijdens de webinar. Hierin zijn ook hyperlinks opgenomen die leiden naar de informatie en tools.

Handige informatie en links

Hieronder vind je de verwijzingen uit het webinar “AVG en lesgeven op afstand”