View
5
Download
0
Category
Preview:
Citation preview
Communiceren en bewustwording
Jack Haagen, Wim Arendse en Elly Dingemanse
Goed op weg
2
IBP beleid is vastgesteld.
De kapstok is gereed.
Afspraken en procedures
zijn vastgelegd in een
gedragscode.
Maar hoe pak je de
communicatie op?
Bewustwording
Beleid en afspraken zijn niet voldoende.
De mens is vaak de zwakste schakel bij het ontstaan van beveiligingsincidenten en datalekken.
3
Maak medewerkers, ouders en leerlingen bewust van de
risico’s bij het omgaan met persoonsgegevens en het
gebruik van ict.
Weten je medewerkers inmiddels
4
Wat de AVG betekent voor het dagelijkse werk?
Waarom IBP belangrijk is?
Wat een datalek is en hoe het kan ontstaan?
Wat de afspraken zijn over sociale media?
Waar ze verantwoord met persoonsgegevens kunnen werken (in de
cloud)?
Wanneer en Welke persoonsgegevens ze met Wie mogen
uitwisselen?
Waarom je beter kunt delen dan mailen?
Welke voorwaarden er gelden gebruik van beeldmateriaal?
Wie je binnen de organisatie om advies kunt vragen en wie er
verantwoordelijk is voor IBP?
Staat toch allemaal in de gedragscode…
Bewustwording per onderwerp
Versnellingsvraag 44
5
Drie schoolbesturen Dynamiek, Prisma en SPOV (samen 51 locaties) gaan samenwerken op
beleidsmatige en inhoudelijke thema’s.
Waaronder: Informatiebeveiliging en privacy (IBP).
Vanuit een gezamenlijk geformuleerd IBP-beleid is er vraag naar producten om te werken aan
bewustwording.
Bewustwording van de risico’s rondom informatiebeveiliging en privacy moet zorgen voor een
gedragsverandering.
Uitkomsten versnellingsvraag 44
6
Met de uitkomsten van Versnellingsvraag 44 presenteren we een totaal pakket voor bewustwording
over IBP in vorm van nieuwsbrieven, filmpjes en een flyer.
Video’s bij de IBP-berichten
7
https://www.youtube.com/playlist?list=PLQI9hXCcoK1RYAfdrUXfFP4gXBN_GRhLf
Privacy gaat iedereen aan
8
Naast bewustwording bij medewerkers moeten we ook de ouders en de leerlingen niet vergeten
Gewoon beginnen… of toch niet
9
Is er een manier om bewustwording goed aan te pakken of is het een
kwestie van gewoon beginnen?
Gelukkig hoeft het maar 1 keer toch? Of is bewustwording iets wat
regelmatig aandacht vraagt?
Wat kunnen we leren uit ervaringen van anderen? Bijvoorbeeld van de
winnaar van de Awareness award van het MBO in 2017.
Kennismaking
10
Jack Haagen
Projectleider informatiemanagement
Wim Arendse
Adviseur informatiemanagement
Rotterdam - 2016 - Aan de slag
Nog 2 jaar tot de AVG van kracht wordt
Een plan - waar beginnen?
- wat wel, wat niet?
- wat nu, wat later?
Het verhaal van Zadkine - de aanpak
- waarom
- de resultaten
- lessons learned
Wat is Zadkine?
11
Wat is Zadkine
12
MBO - VAVO - Educatie (Taal & Inburgering)
18000 studenten
30 locaties in en rondom Rotterdam
1800 medewerkers
10 MBO scholen
Techniekcollege (samen met Albeda)
VAVO Rijnmond (samen met Albeda)
60 onderwijsteams
Centrale Service Dienst: CvB, HRM, FP&C, Onderwijsplein,
Audit & Control, M&C, F&H, AO en IM/IT.
6000 PC's en 500 laptops en 750 telefoons
500 Applicaties
Het plan - aanleiding
o Heel veel persoonsgegevens en privacygevoelige info
o Bedreiging en gevolgschade steeds complexer
o Impact groter door toenemende publiciteit
o Nieuwe privacy-wetgeving (AVG)
o Meldplicht datalekken
13
Het plan - doel
Praktisch gezien
Aantoonbaar alles doen om privacy van studenten en medewerkers te beschermen
Datalekken voorkomen
Als het toch mis gaat in staat zijn om snel en goed af te handelen (aantoonbaar)
Voorjaar 2016 “IBP Beleidsnotitie vastgesteld”
14
Het plan - focus
Prioriteit voor:
Awareness creëren
Verbeteringen in techniek
Later:
Dataregisters
Verwerkersovereenkomsten
Rechten betrokkenen
Privacyverklaring/Schoolgids/Reglementen
Governance
PDCA
Project “Zadkine Alert! – Informatieveiligheid en privacy”15
Het plan – belang awareness
Technische verbeteringen: Wachtwoordbeleid en implementatie ervan
Schijven encrypten (bitlocker)
In techniek kun je veel bedenken en realiseren net als rondom
beleid en procedures, maar
“Het grootste veiligheidsrisico zit tussen
toetsenbord en bureaustoel”
16
Het plan - awareness
Meldingen systeem inrichten
Enquête (meting)
Media en poster campagne
Awareness sessies
Enquête (meting)
17
Awareness
18
Cyber security
Informatiebeveiliging en Privacy (IBP)
Informatieveiligheid en privacy – IVPBeveiliging wordt voor je geregeld.
Veiligheid creëer je met z’n allen.
Instructies en sancties
Angst en bestraffen
Positieve insteek, met z’n allen werken
aan verbeteringen.Dus niet op basis van angst en bestraffen.
Awareness
“We hebben een schat aan informatie”
19
Awareness
Logo voor herkenbaarheid
4 thema’s (picto’s voor herkenbaarheid)
20Toegang tot PC’s Delen van informatie Mobiel werken Phishing mails
Awareness
Anders dan anders
Route = Aandacht Herkenning Nieuwsgierigheid Erkenning Kennis Gedrag
21
Awareness - gedaan
22
Awareness - gedaan
23
Nieuwsbrief artikelen over: Privacy
Posters
Intranet site en website
Bitlocker (versleuteling)
De tissuebox
Stickers thuis
Awareness sessies
Invullen enquêtes
Wachtwoordbeleid
E-mail berichten over: Incident meldingen systeem
Bitlocker
Enquêtes
Intranet site: Achtergrondinfo
Q&A
Documenten
Awareness - gedaan
24
Prikbordberichten over:
"Wat doe jij met je klompje goud?“
"Geef jij op vakantie zomaar een kopie van je ID?“
"Waarom zou ik een privacy incident melden?“
"Informatieveiligheid en privacy, al die posters. Wat nu?“
"Geef jij (een kopie van) je paspoort weg?“
"Doe jij je USB-stick op slot?“
"Schermvergrendeling“
"Met wie deel jij je inloggegevens?“
"Kan ik deze e-mail openen?“
"Help!!“ (over wat je wel en niet kunt vertellen door de telefoon)
"Wachtwoordstress“ (sterke en zwakke wachtwoorden)
"Oktober is de maand van Informatieveiligheid en privacy“
Awareness - resultaat
o Direct na eerste posters incidentmeldingen
o Veel awareness sessies leverden direct meldingen op
o In totaal 64 incidentmeldingen van okt. 2016 t/m juli 2017
o Twee gemeld bij Autoriteit Persoonsgegevens (datalekken)
o Bij één ervan betrokkenen geïnformeerd
o Voorbeeld - verloren of gestolen laptops en telefoons
- phishing
- persoonsgegevens bij printer/copier
- dossiers in verhuisdozen
25
Awareness - resultaat
o Bekendheid met het onderwerp, communicatie effectiever
o De informatie vanuit andere organisaties helpt
o Privacy berichten in de media ook
o Men signaleert zelf knelpunten, dilemma’s en vraagstukken
o Men weet het IVP-team te vinden
26
Awareness - anders
Wat zouden we mogelijk anders doen
Presentieregistratie bij awareness sessies voor betere sturing
en motiveren
Sessies en meten heeft veel inspanning gekost, kan wellicht
effectiever door combinatie met E-Learning
Mogelijk richting een verplicht karakter
27
Awareness - toekomst
28
Awareness is nooit klaar
Vertrouwelijke informatie op papier gevonden bij de
kopieermachine.
Telefoon gestolen, zonder schermbeveiliging en pincode
met toegang tot de e-mail box van Zadkine.
Dozen met studentendossiers toegankelijk voor
onbevoegden.
Phishing mail waarbij op de link geklikt is en persoonlijke
gegevens zijn ingevuld, o.a. wachtwoord.
Incidenten/casussen als eye-opener
29
Phishing email
30
IVP – huidige acties
o Privacy statement
o Reglementen (social media/ netwerk / wachtwoordgebruik enz)
o Schoolgids
o Dataregisters
o Vraagstukken Verwerkersovereenkomsten
Intake
Delen informatie
Diversen
o Meldingen (afhandelen, optimaliseren, analyseren)
o IVP Governance organisatie
Verschuiving van incidenten naar vragen!
31
IVP – huidige acties
32
1. Wettelijke verplichting
2. Uitvoering overeenkomst
3. Vitaal belang
4. Algemeen belang/
openbaar gezag
5. Gerechtvaardigd belang
6. Toestemming betrokkene
1. Vraag om toestemming
2. Deel alleen met personen die betrokken zijn
3. Minimaliseer de informatie die je deelt met externe partners
4. Verzamel geen gegevens buiten het SIS
5. Let in het bijzonder op bijzondere persoonsgegevens
6. “Vragen staat toch vrij” is niet altijd het geval
7. Sommige zorgmedewerkers delen geen informatie
7 GOUDEN REGELS
33
Ervaringen - aanbevelingen
34
o Zorg voor meldpunt voor start awareness campagne
o Registreer meldingen én neem actie !!
o Zoek collega’s / teams op - ga in gesprek !
o Betrek geïnteresseerde collega’s de beste ambassadeurs
o Pas planning aan n.a.v. vragen / issues
o Zorg dat je gevonden kan worden
o Draagvlak bij bestuur / directie is noodzakelijk
o Maar …. medewerking collega’s werkvloer makkelijker te bereiken
Met dank voor uw aandacht
Aanpak IBP https://kn.nu/IBPonderwijs ibp@kennisnet.nl
Recommended