We hebben de zomervakantie nog niet eens volledig achter ons gelaten en in toenemende mate komen er al weer (vermeende) datalekken bij ons Datalek Loket binnen (gemiddeld 7 per week). Voorbeelden van (vermeende) datalekken die wij als Lumen Group en als FG/DPO in ons werk tegenkomen zijn:

• In een openbare prullenbak is een groot aantal papieren dossiers gestopt met vertrouwelijke en bijzondere personeelsgegevens (waarmee kinderen vervolgens spelen en van de papieren iets bouwen in de speeltuin).
• Iemand is zijn telefoon kwijt die hij/zij ook voor je werk gebruikt met daarin telefoonnummers van collega’s.
• Door een fout in het toekennen of intrekken van toegangsrechten in een systeem met persoonsgegevens hebben onbevoegden toegang.
• Een (onbeveiligde) werklaptop is gestolen in de trein.
• Iemand stuurt een e-mail met persoonsgegevens naar een verkeerd e-mailadres.
• Het netwerk is gehackt en niet uit te sluiten is dat persoonsgegevens worden ingezien of gestolen.
• Kopiëren door onbevoegden van gemaakte camerabeelden van een diefstal (dat vervolgens op social media weer wordt gedeeld).
• Per ongeluk openbaar zetten van een bestand of directory met persoonsgegevens of juist door dit per ongeluk op internet te publiceren.
• Overnemen van persoonlijke mailbox door hackers / phishing (waarna geldsommen worden gevraagd aan alle aanwezigen in de mailbox).
• Op de gang zetten van dozen papieren dossiers met personeelsgegevens en klantgegevens.
• Open laten staat van een website met directe toegang tot een systeem met persoonsgegevens door niet af te sluiten op een computer in de openbare bibliotheek.

Dit geeft ons aan dat de bewustwording groeit en illustreert tevens de absolute noodzaak van de naleving van de AVG/GDPR en het risicobeheer daaromheen. Veel organisaties zijn daarin flinke slagen aan het maken, maar er zijn ook nog veel organisaties die (veel) te weinig doen.

Organisaties lopen risico’s als zij bij een onverhoopt datalek niet kunnen laten zien (‘show’) dat dit een incident is, dat plaatsvindt binnen een omgeving waarin privacy- en informatiebeveiliging alle aandacht krijgt.

De Autoriteit Persoonsgegevens (AP) kan bij een gemeld datalek getriggerd worden een onderzoek uit te voeren. Als daarin vervolgens geen structurele aanpak blijkt voor privacy en informatiebeveiliging, kan zij direct een boete toekennen bij voldoende ernst. Ook gebeurt het regelmatig dat reputatieschade wordt opgelopen door een organisatie doordat de feiten rondom het datalek in de pers zijn gekomen.

De AP, maar ook de FG/DPO, zal vragen naar structureel getroffen maatregelen en bewijs waaruit dit werkt. Ofwel; ‘show me, don’t tell me’.

Er komen allerlei soorten datalekken bij ons binnen. Kleine, maar ook grote en ‘tamelijk onhandige’ datalekken, zoals bijvoorbeeld waarbij personeelsdossiers in openbare prullenbakken worden aangetroffen.Dit maakt ons werk interessant maar liever voorkomen we datalekken met elkaar. Toch?

Uiteraard geldt ‘waar gehakt wordt vallen spaanders’ maar veelal is dit te voorkomen door het vergroten van de bewustwording van medewerkers. Heeft u ook een datalek? Neem dan snel contact met ons Datalek Loket om dit met elkaar te bespreken via 030- 889 65 75 of datalekloket@lumengroup.nl. Snel handelen voorkomt vaak veel erger!

Wilt u werken aan structurele verbeteringen in uw AVG aanpak, dan kunnen wij u als Lumen Group hierbij uiteraard ook verder helpen.

Er zijn meerdere aanbieders van AVG-software voor het onderwijs. Lumen Group kent de verschillende aanbieders vanuit het werkveld. Wij denken graag met jullie mee. Welke pakketten zijn er, waar moet je op letten en welk pakket is het meest geschikt voor jullie situatie? Wij zitten hier dus objectief en onafhankelijk in, en lichten af en toe uiteenlopende AVG softwareprogramma’s uit. Dit keer EasyPrivacy, vanwege de koppeling met de PDCA.

EasyPrivacy is een online systeem, waarmee alle privacyverplichtingen voor scholen inzichtelijk zijn en worden vertaald naar praktische beheersmaatregelen. EasyPrivacy levert overzicht en inzicht en je kunt op transparante wijze verantwoording afleggen. Elke school heeft zijn eigen dashboard en voor het bestuur is alles samengebracht in één duidelijk overzicht.

Proeflicentie

EasyPrivacy bevat een bibliotheek met veel standaarddocumenten en templates. De FG kan op afstand meelezen, zodat deze op efficiënte wijze de naleving van de AVG kan monitoren. Je kunt kosteloos een proeflicentie aanvragen. Meer informatie? Klik hier.

Iedereen is nog steeds druk met de implementatie van de AVG. Er worden grote stappen gezet en er begint steeds meer structuur te komen. Sommige zijn net gestart met de inrichting van een PDCA (Plan-Do-Check-Act) cyclus. Dit zorgt ervoor dat je als onderwijsinstelling doorlopend aantoonbaar ‘AVG proof’ zal zijn. Meer weten of vragen hierover? Neem gerust contact met ons op.

Ondertussen ontwikkelt Lumen Group zich ook hard door. We hebben er veel nieuwe onderwijsklanten bijgekregen (PO, VO, MBO en Samenwerkingsverbanden). Ook voor wat betreft kennisdeling en het beschikbaar stellen van best practices maken wij grote stappen. Dit is vooral te danken aan het feit dat we veel onderwijsklanten hebben en hierdoor veel AVG/IBP vragen, issues en beveiligingsissues tegenkomen. Wij willen voorkomen dat verschillende scholen het wiel proberen uit te vinden. Wij zien het als één van onze taken binnen het FG abonnement om naast goed toezicht en advies, waarde toe te voegen door kennis en kunde te delen.

Voorbeelden hiervan zijn:

• Onze doorontwikkelde AVG Zelftoets. Deze ontvangen jullie binnenkort. De toets stelt jullie in staat om een goede risico-inschatting te maken van de ontwikkelingen rondom AVG en IBP. Het is de bedoeling deze Zelftoets in te vullen en te bespreken met o.a. de FG. Uit ervaring weten wij dat dit een krachtig instrument is om te kijken hoe jouw organisatie ervoor staat. De AVG Zelftoets zal ook centraal staan in de FG rapportage besprekingen die wij komende tijd met iedere onderwijsorganisatie gaan voeren.
• Een interactief platform met AVG FAQ voor onderwijs. Een eerste ‘bètaversie’ hiervan zal spoedig verschijnen en is gebaseerd op praktijkervaring en externe bronnen. Het is de bedoeling dat we deze database aan blijven vullen met nieuwe vragen & antwoorden. Wij laten het weten zodra de lijst online staat.
• Op 21 maart (Deventer) en 28 maart (Woerden) organiseren wij samen met Verus twee landelijke AVG kennissessies specifiek voor schooldirecteuren. De bijeenkomst is kosteloos voor onze abonnementhouders en geïnteresseerden. Klik hier voor meer informatie en aanmelden.
• Op 14 juni organiseren we een bijeenkomst specifiek voor samenwerkingsverbanden (PO/VO). Deze bijeenkomst vindt plaats in Utrecht. Het is een ronde tafel met vooral als doel om van elkaar te leren. De samenwerkingsverbanden in ons netwerk worden hier nog apart over geïnformeerd.

Onze FG-ers zullen jullie komende maanden allemaal (weer) bezoeken. We nemen dan ook de bovenstaande en andere ontwikkelingen met elkaar door.

De Autoriteit Persoonsgegevens heeft onlangs een bericht gepubliceerd over het dataregister. Een universeel onderwerp binnen de verantwoordingsplicht, maar deze publicatie bevat een aantal aanbevelingen die in lijn liggen met de aanpak in het onderwijs.

De 5 aanbevelingen in het kort:

1. Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren.
2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
5. Maak duidelijk welk doel bij welke verwerking hoort.

Klik hier voor het bericht van de AP met een uitgebreidere beschrijving van sommige aanbevelingen.

Er zijn meerdere aanbieders van AVG-software voor scholen. Lumen Group kent de verschillende aanbieders en we denken graag mee over welk pakket het meest geschikt is voor jullie situatie. Wij zitten daar dus objectief en onafhankelijk in. Wel zijn we zelf erg enthousiast over Cupella AVG Risicoscan, waar we dan ook graag wat meer over vertellen.

Cupella AVG Risicoscan

Cupella heeft online software ontwikkeld, waarmee alle privacy verplichtingen voor scholen inzichtelijk zijn en vertaald worden naar praktische beheersmaatregelen. RisicoScan AVG levert overzicht en inzicht en je kunt op transparante wijze verantwoording afleggen. Elke school heeft zijn eigen dashboard en voor het bestuur is alles samengebracht in één duidelijk overzicht.

50% korting opstartkosten

RisicoScan AVG bevat een bibliotheek met alle Kennisnet-documenten. De FG kan op afstand meelezen, zodat deze op efficiënte wijze de naleving van de AVG kan monitoren. Klanten van Lumen Group krijgen tot 1 november 2018 50% korting op de opstartkosten. Gebruik de actiecode LG18 bij je aanmelding. Je kunt ook eerst een proeflicentie aanvragen. Meer informatie? Klik hier.