Oktober 2016 was de Maand van de Informatiebeveiliging en Privacy (IBP). Maar bij Kennisnet staat IBP het hele jaar door hoog in het vaandel; dit jaar nog meer dan voorgaande jaren. Onder andere omdat we druk doende waren om IBP goed in te richten voor Kennisnet en onze diensten voor het onderwijs.

Op elke school wordt ict gebruikt en daarbij worden ook persoonsgegevens van leerlingen verwerkt. Het is daarom belangrijk dat scholen continue aandacht besteden aan de informatiebeveiliging en privacy © Rodney Kersten

Kennisnet voldoet aan dé internationale standaard

Het resultaat is dat Kennisnet onlangs het zogeheten ISO 27001:2013 certificaat heeft gehaald. Dit betekent dat wij voldoen aan dé internationale standaard voor het beveiligen van informatie. Je school kan er daardoor op vertrouwen dat wij bij de ontwikkeling en het beheer van onze diensten, zoals Entree Federatie en de Overstap Service Onderwijs (OSO), informatiebeveiliging en privacy goed hebben geregeld. En dat gegevens die daarmee worden verwerkt - bijvoorbeeld van leerlingen - goed zijn beschermd.

Nu we het certificaat op zak hebben, delen we de kennis en ervaring die wij hebben opgedaan graag met scholen en leveranciers, om zo de informatiebeveiliging in de hele onderwijsketen naar een voldoende hoog niveau te brengen. Dat is belangrijk, want met elkaar dragen we zorg voor privacygevoelige gegevens; voor die van leerlingen in het bijzonder.

De ISO 27001 norm gaat hand in hand met de ISO 27002 norm. Samen bestaan ze uit meer dan 100 maatregelen. Die hoef je niet allemaal in één keer in te voeren. Maar je moet op zijn minst afwegen of ze voor jouw situatie en organisatie van toepassing zijn en of ze op korte termijn belangrijk zijn. Dat is geen gemakkelijke opgave. Toen wij er anderhalf jaar geleden bij Kennisnet mee aan de slag gingen, zagen we al snel door de bomen het bos niet meer.

Sommige maatregelen hebben namelijk een vage omschrijving. Andere maatregelen zijn helder en hebben bekende technische oplossingen. Het is dan verleidelijk om juist díe maatregelen eruit te pakken, en daar serieus mee aan de slag te gaan. Dat is ook precies wat er gebeurde. Na 9 maanden hadden we een perfect uitgedacht toegangs- en wachtwoordbeleid. Maar verder eigenlijk nog niets...

Pragmatische aanpak voor IBP

Gelukkig kregen we hulp van Axel Eissens, die in 2015 bij Kennisnet aan de slag gegaan is als expert informatiebeveiliging. Hij had al eerder een ISO 27001 certificering in goede banen geleid en zijn zeer pragmatische aanpak bleek goed te werken. Dat blijkt uit de geslaagde certificering.

Zelf aan de slag met IBP

Jij kunt die pragmatische aanpak nu ook gebruiken om IBP op jouw school te regelen. Want Kennisnet heeft 'm vertaald naar een aanpak waar jij zelf mee aan de slag kunt. Je school hoeft niet per se óók een ISO-certificaat te halen. Maar het is wel nodig dat je verantwoord met privacygevoelige gegevens omgaat en de juiste maatregelen neemt om die te beschermen.

De aanpak helpt je daarbij in 3 stappen:

  1. Organiseren: je schrijft beleid voor informatiebeveiliging en privacy; een kapstok die aangeeft dat het belangrijk is, waarom het belangrijk is en hoe je het aanpakt.
  2. Realiseren: je zorgt dat er activiteiten en documenten zijn waarmee beleid werkelijkheid wordt. Daarmee voldoe je aan de relevante wet- en regelgeving.
  3. Communiceren: het belangrijkste proces: je zorgt voor voorlichting en bewustzijn binnen en rondom de school. Daarmee kan je goed omgaan met vragen, nieuwe ontwikkelingen en incidenten, zoals datalekken.

Bekijk de aanpak IBP op Wikiwijsleermiddelenplein

Bekijk de Aanpak IBP op Wikwijsleermiddelenplein. Komend jaar dragen we deze aanpak uit naar het onderwijs, onder andere met werkconferenties. Op kennisnet.nl houden we je op de hoogte. Heb je vragen over IBP? Neem dan contact op met onze helpdesk IBP, die je kunt bereiken via: ibp@kennisnet.nl. Want samen met het onderwijs kunnen we de aanpak nóg beter maken en het onderwijs nóg beter ondersteunen.

Je bent nooit klaar met informatiebeveiliging en privacy

Tot slot: Kennisnet is nu gecertificeerd, maar dat betekent niet dat we klaar zijn. De ISO-norm beschrijft namelijk een proces van continue verbetering, omdat er altijd weer nieuwe risico's de kop op steken. Virussen, ransomware, phishing, denial-of-service-aanvallen (DDoS-aanvallen), diefstal van computers, enzovoort. De maatregelen die je daar vandaag tegen neemt, kunnen volgende maand weer achterhaald zijn. Ook voor jouw school geldt daarom dat je nooit klaar bent met informatiebeveiliging en privacy.

Dirk Linden is Chief Technology Officer (CTO) bij Kennisnet.

Deel Onze diensten voor jouw school voldoen aan dé norm voor informatiebeveiliging

Delen
  • LinkedIn
  • Twitter
  • Facebook
  • Google+
  • E-mail
  • Terug