Wegens de wetgeving inzake informatieveiligheid en privacy, willen wij u informeren over de verwerkingen die wij met uw persoonsgegevens uitvoeren, en de beleidsmaatregelen die wij nemen om deze te beschermen.
Het schoolbestuur, Schoolcomité VZW Klimop Tongeren (026195), is de verwerkingsverantwoordelijke voor alle leerlingengegevens.
Op VZW Klimop Tongeren is er een aanspreekpunt informatieveiligheid aangeduid, dat gemakkelijk te contacteren is via privacy@klimoptongeren.be.
Het aanspreekpunt informatieveiligheid en/of de directie van VZW Klimop Tongeren kan voor advies en ondersteuning terecht bij de ‘data protection officer’ (DPO) van de onderwijskoepel.
Op VZW Klimop Tongeren verwerken wij leerlingengegevens omwille van de volgende doelen:
Om jou in schrijven, te begeleiden en op te volgen in VZW Klimop Tongeren is het noodzakelijk dat wij de volgende gegevens verwerken:
Deze gegevens kunnen, mits wettelijke grondslag, eventueel bekomen worden van de vorige school waar de leerling ingeschreven was.
Om uw kind in te schrijven, te begeleiden en op te volgen in VZW Klimop Tongeren is het noodzakelijk dat wij de volgende gegevens verwerken:
Op VZW Klimop Tongeren worden onderstaande platformen gebruikt bij de verwerking van leerlingengegevens:
Jouw gegevens zullen verwerkt worden zolang je bij ons ingeschreven bent, of zolang ze nodig zijn om je te begeleiden. Daarna worden ze verwijderd, geanonimiseerd of gearchiveerd conform de geldende regelgevingen.
Indien we bepaalde gegevens langer zouden willen bewaren, dan zullen we dat melden en de expliciete toestemming ervoor vragen.
Meer informatie over de beleidsmatige aanpak inzake privacy en informatieveiligheid op VZW Klimop Tongeren kan je raadplegen op https://www.boklimop.be/nl of opvragen via: privacy@klimoptongeren.be
U kan zich steeds op onderstaande rechten beroepen:
Voor meer uitleg over of om u op een van deze rechten te beroepen, gelieve u intern te richten tot privacy@klimoptongeren.be. Bij eventuele disputen of twijfel, kan u zich ook wenden tot de toezichthoudende autoriteit inzake privacy en de verwerking van persoonsgegevens https://www.gegevensbeschermingsautoriteit.be/
Een aantal verwerkingen hebben een ‘gerechtvaardigd belang’ als grondslag:
Op VZW Klimop Tongeren worden noch leerlingen, noch ouders onderworpen aan eender welke vorm van geautomatiseerde besluitvorming.
De in § 2.2 en § 2.3 vermelde gegevens moeten, indien van toepassing, verstrekt worden om de inschrijving op VZW Klimop Tongeren te kunnen starten. Met uitzondering van:
[1] De school zal dit desgevallend opvragen via het departement onderwijs.
[2] De school kan niet verantwoordelijk gesteld worden indien ze niet over de relevante zorg- of gezondheids-gegevens beschikt of als de toestemming ontbreekt om deze te verwerken.
Informatie en ict zijn noodzakelijk in de ondersteuning van het onderwijs. Denken we maar aan de leerlingadministratie- en leerlingvolgsystemen, agenda- en rapportprogramma’s, oefen- en toetssystemen…. Vaak verwerken deze geautomatiseerde systemen persoonsgegevens (van leerlingen, ouders, lesgevers…) en is de privacywetgeving (AVG) hierop van toepassing.
Deze informatieverwerking en het gebruik van ict brengen risico’s met zich mee. Denken we bijvoorbeeld maar aan een cyberaanval waarbij de gegevens versleuteld worden, een vergissing waardoor gegevens onherroepelijk gewist zijn, de natuur (bijv. overstroming of brand), et cetera. Het niet beschikbaar zijn van ict, incorrecte administraties en het uitlekken van gegevens kan leiden tot inbreuken op het geven van onderwijs en het vertrouwen in onze school.
Deze bedreigingen maken het noodzakelijk om adequate maatregelen te nemen op het gebied van informatieveiligheid en privacy (IVP) om de risico’s die gepaard gaan met deze bedreigingen tot een aanvaardbaar niveau te reduceren. Om dit structureel aan te pakken is het noodzakelijk dat we een duidelijk beleid opstellen waarin we duidelijk maken waar het om gaat, een doel stellen en de manier(en) vastleggen waarop we dit doel willen bereiken.
Onder informatieveiligheid wordt verstaan: het nemen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten van de informatie en ict zo maximaal mogelijk te garanderen.
Deze kwaliteitsaspecten zijn:
Onvoldoende informatieveiligheid kan leiden tot onacceptabele risico’s bij de uitvoering van onderwijs en bij de dagdagelijkse werking van de onderwijsinstelling. Incidenten en inbreuken in deze processen kunnen leiden tot financiële schade en imagoverlies.
Privacy gaat over de verwerking van persoonsgegevens. Persoonsgegevens dienen beschermd te worden conform de huidige wet- en regelgeving. De bescherming van de privacy regelt onder andere de voorwaarden waaronder persoonsgegevens gebruikt mogen worden.
Persoonsgegevens zijn hierbij alle gegevens van een geïdentificeerd of identificeerbaar individu. Onder verwerking wordt verstaan elke handeling met betrekking tot persoonsgegevens. Denken we maar aan het verzamelen, raadplegen, bijwerken, verspreiden tot met het wissen van deze gegevens.
Informatieveiligheid is noodzakelijk om privacy te waarborgen. Beide begrippen zijn met elkaar verbonden. Het onderwerp informatieveiligheid en privacy wordt afgekort tot IVP. Deze beleidstekst ligt ten grondslag aan de aanpak van informatieveiligheid en privacy binnen de VZW Klimop Tongeren.
Dit beleid heeft als doelen:
Dit beleid is erop gericht om de kwaliteit van de verwerking van informatie en de beveiliging van persoonsgegevens te optimaliseren waarbij er een goede balans moet zijn tussen privacy, functionaliteit, veiligheid en middelen. Uitgangspunt is dat de persoonlijke levenssfeer van de betrokkene, met name van medewerkers, leerlingen en ouders wordt gerespecteerd en dat VZW Klimop Tongeren voldoet aan relevante wet- en regelgeving.
De belangrijkste beleidsuitgangspunten bij VZW Klimop Tongeren zijn:
De zes vuistregels met betrekking tot de omgang van persoonsgegevens bij VZW Klimop Tongeren zijn:
Bij alle registraties op basis van toestemming, zal VZW Klimop Tongeren een eenduidige procedure hanteren die een actieve en aantoonbare handeling vereist.
VZW Klimop Tongeren voldoet aan alle van toepassing zijnde relevante wet- en regelgeving, waaronder:
De organisatie van IVP gaat over processen, gewoontes, beleid, wetten en regels die van betekenis zijn voor de manier waarop mensen een organisatie besturen, beheren en controleren. Hierbij spelen de relaties tussen de verschillende betrokkenen en de doelen van de organisatie een rol. Dit hoofdstuk beschrijft hoe IVP in VZW Klimop Tongeren is georganiseerd. Er wordt daarbij onderscheid gemaakt tussen drie niveaus:
Voor elk niveau wordt beschreven welke verantwoordelijkheden en taken de verschillende rollen met zich meebrengen.
Om IVP gestructureerd en gecoördineerd aan te pakken worden bij VZW Klimop Tongeren een aantal rollen aan medewerkers in de bestaande organisatie toegewezen.
Verwerkingsverantwoordelijke
Het schoolbestuur is eindverantwoordelijk voor IVP en stelt het beleid en de basismaatregelen op het gebied van IVP vast.
De toepassing en werking van het IVP-beleid wordt op basis van regelmatige rapportages geëvalueerd.
Zie bijlage 1 voor een schematische weergave van de rol- en taakverdelingen aangaande IVP op VZW Klimop Tongeren en binnen Schoolcomité VZW Klimop.
Data Protection Officer (DPO) van de koepelorganisatie
Vanuit de koepelorganisatie Katholiek Onderwijs Vlaanderen wordt er een Data Protection Officer aangesteld. Deze zal binnen het schoolbestuur of instelling het Aanspreekpunt Informatieveiligheid (AIV) aansturen. De taak bestaat uit:
Aanspreekpunt Informatieveiligheid
Het AIV is een rol op sturend niveau. Hij/zij geeft terugkoppeling en advies aan de eindverantwoordelijke (directie van de instelling, raad van bestuur van het schoolbestuur) en staat de mensen op uitvoerend niveau bij. Het AIV moet:
Domeinverantwoordelijke / proceseigenaar
Binnen elke instelling zijn er verschillende domeinen/processen, zoals bv. ict, personeel, administratie, facilitaire en financiële zaken, onderwijs et cetera. Op elk van deze domeinen/processen is iemand verantwoordelijk om te bepalen op welke wijze IVP daarbinnen wordt vormgegeven in richtlijnen, procedures en instructies.
De proceseigenaar is verantwoordelijk voor de risico ’s die veroorzaakt worden doordat personen of applicaties ten onrechte toegang krijgen tot applicaties. Om deze risico ’s te verkleinen hebben proceseigenaren de volgende specifieke taken:
Leidinggevenden hebben een voorbeeldrol ten opzichte van hun medewerkers.
Leidinggevende
Naleving van het Informatieveiligheidsbeleid is onderdeel van de integrale bedrijfsvoering. Iedere leidinggevende heeft op uitvoerend niveau de taak om:
De leidinggevende kan in zijn taak ondersteund worden door het AIV.
Ict-coördinator
De ict-coördinator vormt een technisch aanspreekpunt inzake informatieveiligheid voor het management en de medewerkers, en zorgt in de praktijk voor de implementatie van toegangsrechten en de rapportage aangaande digitale informatieveiligheid.
Functioneel beheerder
De functioneel beheerder wordt vanuit de domeinverantwoordelijke / proceseigenaar voorzien van een ingevuld werkpakket, bestaande uit richtlijnen, procedures en instructies. Op basis hiervan voert hij zijn of haar taken uit.
Medewerker
Alle medewerkers hebben een verantwoordelijkheid met betrekking tot informatieveiligheid in hun dagelijkse werkzaamheden. Deze verantwoordelijkheden zijn beschreven in o.a. het privacyreglement en eraan toegevoegde nota’s en visieteksten aangaande IVP op VZW Klimop Tongeren Daarnaast worden medewerkers in hun dagelijkse werkzaamheden, waar nodig, ondersteund met checklists, formulieren en praktische tools.
Medewerkers worden gevraagd om actief betrokken te zijn bij informatieveiligheid. Dit kan door meldingen te maken van veiligheidsincidenten, het doen van voorstellen ter verbetering van IVP en het uitoefenen van invloed op het beleid (individueel of via de ervoor voorziene overlegorganen en/of via het aanspreekpunt). Zelf hebben zij ook een voorbeeldfunctie naar andere medewerkers, externen en vooral leerlingen toe.
Van ambtswege uit, of eventueel contractueel, worden alle medewerkers (ook extern) van VZW Klimop Tongeren die toegang kunnen hebben tot persoonsgegevens, gebonden aan een discretieplicht. Welbepaalde (externe) medewerkers zijn wettelijk gebonden aan een beroepsgeheim.
Dit IVP-beleid en alle bijhorende richtlijnen, nota’s en tools, worden minimaal elke twee jaar getoetst en bijgesteld door het schoolbestuur. Hierbij wordt rekening gehouden met:
Daarnaast kent VZW Klimop Tongeren een jaarlijkse planning en controlecyclus voor IVP. Dit is een vast evaluatieproces waarmee de inhoud en effectiviteit van het IVP-beleid wordt getoetst.
Voor alle overlegmomenten geldt dat deze zoveel mogelijk ingepast worden in bestaande overlegvormen met hetzelfde karakter waarbij op:
Beleid en maatregelen zijn niet voldoende om risico’s op het terrein van informatieveiligheid en privacy uit te sluiten. In de praktijk blijkt de mens meestal de belangrijkste speler. Daarom wordt bij VZW Klimop Tongeren het bewustzijn van de individuele medewerkers voortdurend aangescherpt, zodat de kennis van risico’s wordt verhoogd en veilig en verantwoord gedrag wordt aangemoedigd. Onderdeel van het beleid zijn onder andere de regelmatig terugkerende bewustwordingscampagnes voor iedereen binnen de school. Verhoging van het beveiligingsbewustzijn is een verantwoordelijkheid van het AIV en leidinggevende(n), met de raad van bestuur van Schoolcomité VZW Klimop als eindverantwoordelijke.
Bij VZW Klimop Tongeren heeft alle informatie waarde, daarom worden alle gegevens waarop dit beleid van toepassing is, geclassificeerd. De risicoanalyse zal het niveau van de beveiligingsmaatregelen bepalen rekening houdend met de classificatie van de gegevens. Daarbij zijn beschikbaarheid, integriteit en vertrouwelijkheid de kwaliteitsaspecten die van belang zijn voor de informatievoorziening.
Bij VZW Klimop Tongeren is het melden van beveiligingsincidenten en datalekken vastgelegd in een protocol.
Alle incidenten kunnen worden gemeld bij privacy@klimoptongeren.be. De afhandeling van deze incidenten volgt een gestructureerd proces, waarbij men ook voorziet in de juiste stappen rondom de meldplicht datalekken.
De naleving bestaat uit algemeen toezicht op de dagelijkse praktijk van het IVP proces. Van belang hierbij is dat leidinggevenden en proceseigenaren hun verantwoordelijkheid nemen en hun medewerkers aanspreken in geval van tekortkomingen. Bij VZW Klimop Tongeren wordt actief aandacht besteed aan IVP bij de aanstelling, tijdens functioneringsgesprekken, met een gedragscode, met periodieke bewustwordingscampagnes, et cetera.
Mocht de naleving ernstig tekort schieten, dan kan Schoolcomité VZW Klimop de betrokken verantwoordelijke medewerkers een sanctie opleggen, binnen de kaders van de CAO en de wettelijke mogelijkheden. Voor de bevordering van de naleving van de AVG heeft het AIV een belangrijke rol.
Wie Rollen | Hoe Verantwoordelijkheid / taken | Wat Realiseren / vastleggen |
School- of centrumbestuur |
|
|
Leidinggevende (directie) |
| Communiceren, informeren en toezien op naleving van o.a.:
|
Data protection officer koepel |
|
|
Aanspreekpunt informatieveiligheid |
| Voorstellen van aanpassingen aan de uitgewerkte formulieren van processen, richtlijnen en procedures rond IVP, bijvoorbeeld:
Invullen van register verwerkingsactiviteiten voor schooleigen situatie |
Informatieveiligheidscel (CIV) van de school of het schoolbestuur [1] |
|
Diverse aanvullende beleidsstukken, richtlijnen, procedures en protocollen, waaronder:
|
Iedereen |
|
|
[1] bestaande uit domeinverantwoordelijke/ proceseigenaren waaronder: ICT, personeelsdienst, preventieadviseur, financiën, leerlingenadministratie, facilitair management, leidinggevende en het aanspreekpunt informatieveiligheid
Bij dit algemene deel van het IVP-beleid horen nog enkele specifieke nota’s :
Tevens is er een bijkomend document voorzien, met achtergrondinformatie bij deze nota’s.
Je zal zelf weleens een e-mail hebben gekregen die leek te komen van de bank of het telecombedrijf waar je al dan niet klant bij bent. In de mail wordt meestal gevraagd om op een link te klikken en dan je persoonlijke gegevens zoals naam, pincode, bankgegevens, wachtwoord… in te vullen. Waarschijnlijk word je in de mail ook gevraagd om het snel te doen. De reden die de mail opgeeft zijn uiteenlopend maar klinken heel realistisch: bijvoorbeeld omdat je achterstaande betalingen hebt en je anders een boete krijgt, of omdat er verdachte activiteiten zijn opgemerkt omtrent het gebruik van je kredietkaart maar het kan ook gewoonweg gaan omdat we je gegevens willen controleren.
Het aanmanen om het snel te doen is wel heel cruciaal omdat jij dan gewoon minder snel nadenkt en sneller gaat ‘bijten’.
Eens je echter op de link klikt, word je naar een valse website geleid die lijkt op het officiële portaal: een gespoofte website. Meestal een nagemaakte website met een adres dat enorm goed lijkt op de originele (voorbeeld zou zijn www.beltius.be i.p.v. www.belfius.be) Indien je daar je gegevens zou invullen, worden ze rechtstreeks naar een cybercrimineel gestuurd die uit is op jouw informatie. Het kan ook dat je via de link malware op je computer krijgt, zoals een keylogger die je informatie bijhoudt, of ransomware, die je bestanden of je volledige computer versleutelt.
Dat is een voorbeeld van phishing, maar het fenomeen beperkt zich allerminst tot die exacte situatie. Phishing is een vorm van social engineering waarbij een cybercrimineel gegevens of geld van een gebruiker probeert te stelen. En dat kan op heel veel verschillende manieren.
Phishing gebeurt meestal via e-mail, hoewel het ook via een app, valse website, of ook telefonisch kan. Hieronder de meest voorkomende soorten:
Spearphishing: Leunt erg aan bij standaardphishing, alleen gaat het hier niet om een willekeurig doelwit. Een specifiek slachtoffer wordt uitgekozen en het bericht wordt gepersonaliseerd om de persoon te doen geloven dat het om een legitieme boodschap gaat. Vaak doet men wat social engeneering om jouw te doen geloven dat de mail afkomstig is van je baas of van een bepaalde persoon uit je werkomgeving dienst die je vertrouwt.
Whaling: Spearphishing, maar dan gericht op de “grote vissen”: managers, directeurs, CEO’s, CFO’s, en dergelijke. In plaats van één werknemer in de luren te leggen, mikt deze aanval op het groffe geld. De login-gegevens van de managers kunnen immers gebruikt worden om bedrijfskritische gegevens te stelen of phishing-mails naar honderden werknemers tegelijkertijd te sturen. Wie gaat er ooit een mail weigeren die effectief van de CEO komt?
Pharming: In plaats van te vissen, kiezen sommige cybercriminelen er ook voor om te oogsten. Met pharming worden nietsvermoedende gebruikers bij het surfen omgeleid worden. Dat kan bijvoorbeeld door een gehackte DNS-server. Zelfs wanneer de gebruiker dan de juiste url ingeeft, wordt hij nog omgeleid naar een valse website. Doelwitten zijn bijvoorbeeld de website van je bank, of van een sociaal netwerk. Wanneer je inlogt, zijn je gegevens niet langer privé.
Enkele jaren terug was het nog niet eens bijster moeilijk om een phishing-mail te herkennen, vooral niet in het Nederlands. De taal die werd gebruikt in de mail was vaak doorspekt met spelfouten en grammaticale flaters op een manier die zelfs de grootste taalbarbaar nauwelijks kon ontgaan. De huidige trend geeft echter aan dat cybercriminelen iets meer werk steken in de geloofwaardigheid van hun phishingmails. Veel van die mails zijn haast niet te onderscheiden van de real deal. Je kan wel een paar stappen overlopen om twijfel uit te sluiten.
Let op de begroeting: Rudimentaire phishing-mails die in bulk worden verzonden, beginnen vaak met een heel generische begroeting, zoals “Geachte klant” of “Beste collega”. Het is geen waterdicht signaal, aangezien spearphishing-mails wel gepersonaliseerd zijn, maar er moet een lampje gaan branden als het zo is.
Wat wordt er gevraagd: Een echte bank, telecombedrijf of andere instantie zal nooit via e-mail vragen om je gegevens te bevestigen, of andere informatie in te geven, via een link. Als het bovendien dringend moet, kan je ervanuit gaan dat ze zullen bellen.
Check de link: De link in phishing-mails beschrijft vaak de officiële pagina in de linktekst, maar leidt eigenlijk naar een heel andere website. Controleer de eindbestemming door over de link te zweven. Je kan de url dan linksonder in de hoek van je scherm bekijken.
Bij twijfel kan je altijd bellen naar de officiële instantie zelf. Doe dat dan aan de hand van een telefoonnummer dat je op een onafhankelijke website vindt, en dus niet het nummer dat eventueel in de mail te vinden is. Als je belt, kan de organisatie makkelijk zeggen of de mail legitiem is, of niet, en kunnen ze toekomstige klanten sneller waarschuwen voor frauduleuze e-mails.
Bron: www.leren.nl
‘Uit onze administratie blijkt dat uw dienstverband bij de Rijksuniversiteit is beëindigd’. Dit bericht vonden de 7.000 medewerkers van de Rijksuniversiteit Groningen op een maandagochtend in november 2006 in hun mailbox. Gelukkig bleek het om 'fout’ in het computersysteem' te gaan. Waarom het automatisch gegenereerde mailtje naar duizenden medewerkers was gestuurd, was een groot raadsel. Nadat de fout was ontdekt, volgde meteen een excuusmail waarin de medewerkers werd verzekerd dat het een foutief bericht betrof en zij zich geen zorgen hoefden te maken over hun baan. De hele affaire had honderden bezorgde telefoontjes en e-mails tot gevolg.
Minder fortuinlijk waren de 400 medewerkers van een Amerikaanse elektronicaketen RadioShack in september 2006. Zij werden per e-mail op de hoogte gebracht van hun ontslag en konden meteen hun spullen pakken. ‘Omwille van de efficiency’, had de directie van het bedrijf voor deze werkwijze gekozen. De medewerkers waren woedend en vonden de werkwijze ‘onmenselijk en respectloos’.
E-mail is in lang niet elke situatie het juiste communicatiemiddel. Denk bijvoorbeeld aan zaken die iemand persoonlijk raken, zoals de beëindiging van een dienstverband. Dit hoort in een persoonlijk gesprek besproken te worden. Of als je een vraag hebt waar je meteen antwoord op wilt, kun je beter de telefoon pakken of even bij je collega langsgaan en het hem vragen. Toch wordt e-mail regelmatig gebruikt in situaties waarin een persoonlijk gesprek beter op zijn plaats was geweest. Niet zelden leidt dit - vaak ondoordacht – automatisme tot irritaties, woede en misverstanden. Vraag je bij elk bericht even af of het wel verstandig is voor de betreffende boodschap e-mail als medium te gebruiken.
Situaties waarin je e-mail kunt gebruiken
Je kunt je mail gebruiken als je:
Situaties waarin je e-mail beter niet kunt gebruiken
Je kunt je mail beter niet gebruiken als je:
Andere mogelijkheden
Wat kun je doen als e-mail niet het meest geschikte medium is?
Je typt een bericht, kiest een adres, drukt op verzenden en... klaar. Een kind kan de was doen. E-mail heeft haar populariteit te danken aan het gemak en de snelheid waarmee een berichtje kan worden verstuurd. Maar juist daardoor gaat het ook zo vaak mis: in de haast opgestelde berichten vol spelfouten, onduidelijke verzoeken en nutteloze mededelingen leiden tot irritatie, volle inboxen en veel tijdverlies, want al die e-mails moeten toch geopend en bekeken worden.
Wees helder en to the point
Verplaats je in de ontvanger van je e-mail en geef in de onderwerpregel bovenaan het bericht aan waar het over gaat. Je kunt bijvoorbeeld aangeven wat je van hem verlangt en - zonodig - wanneer. Ook kun je (duidelijk!) verwijzen naar eerdere e-mails. Bijvoorbeeld: ‘... in mijn mail van 24 september jl. met als onderwerp ‘concept beleidsnota versie 1.2’. Het is dan voor de ontvanger meteen duidelijk of hij snel actie moet ondernemen of dat je bericht even kan wachten. Bovendien kan hij je bericht zo gemakkelijk terugvinden. Hiermee toon je niet alleen respect voor de tijd van een ander, je ontvangt waarschijnlijk ook een helder antwoord terug. Probeer je zoveel mogelijk tot één onderwerp te beperken. Heb je meerdere onderwerpen, spreid ze dan over meerdere e-mails. De ontvanger houdt zo het overzicht en kan je e-mails gemakkelijker afhandelen. Behandel je toch meer onderwerpen in je bericht, geef de onderwerpen dan een nummer.
Kom in de eerste alinea van je e-mailbericht meteen to-the-point. Wil je dat je collega de tweede versie van je concepttekst van commentaar voorziet, geef dat dan aan. Eventuele toelichting kun je daarna geven. Houd je bericht zo kort mogelijk, want het lezen van lange lappen tekst op een beeldscherm is niet prettig. Dreigt je e-mail toch erg lang te worden, voorzie je tekst dan van tussenkopjes.
Heb je dringend een reactie nodig, bel dan de ontvanger ook even om te zeggen dat je een e-mail hebt gestuurd. Je kunt zo de urgentie van je bericht nog eens benadrukken en de ontvanger kan aangeven of hij binnen de door jouw gestelde termijn kan reageren.
Overigens: gebruik voor de echte spoedgevallen niet de e-mail, maar pak de telefoon of loop even bij je collega langs.
Ga weloverwogen met bijlagen om
Met de bijlagenfunctie in je e-mailprogramma kun je bestanden met je e-mail meesturen. Hartstikke handig, alleen moet je ze wél daadwerkelijk toevoegen; het is weinig professioneel wanneer je in je e-mail naar een attachment verwijst dat ontbreekt. Je kunt dit voorkomen door er een gewoonte van te maken eerste de bijlage te selecteren en daarna pas het begeleidende bericht te schrijven. Schrijf altijd een begeleidende tekst bij een bijlage. Hierin leg je het doel van de bijlage uit en geef je precies aan wat je van de ontvanger verwacht.
Vraag je altijd af of het nodig is om de bijlage met je bericht mee te sturen. Staat de informatie al op het intranet of in een gedeelde map, dan is een link hiernaar voldoende. Zo voorkom je onnodig geheugengebruik in de mailbox van de ontvanger en overbelasting van het bedrijfsnetwerk. Bovendien hoeft de ontvanger minder handelingen te verrichten (bijlage openen, opslaan, verwijderen).
Wanneer je een bijlage meestuurt, let er dan op dat het bestand een duidelijke naam heeft en niet te groot is. Nietszeggende bestanden, zoals verslag.doc, en grote bestanden die niet snel geopend kunnen worden, wekken irritaties op bij de ontvanger. Nog erger is het wanneer je bijlage een virus blijkt te bevatten. Controleer bijlagen dan ook altijd op grootte en virussen.
Beperk het gebruik van cc
In sommige organisaties slibben inboxen helemaal dicht door de enorme hoeveelheid cc’tjes die worden verstuurd. Veelal heeft dit met de bedrijfscultuur te maken. Wees selectief in het versturen van zogenoemde cc'tjes. Gebruik cc alleen als het echt nodig is voor de ontvanger.
Let op correcte adressering
In de haast kan het wel eens gebeuren dat je een adres verkeerd intikt, de verkeerde contactpersoon in je adresboek selecteert of iemand vergeet. Controleer bij het verzenden van een bericht altijd of je het bericht aan de juiste perso(o)n(en) hebt geadresseerd. Vooral bij gevoelige informatie kan een dubbele check geen kwaad. Voorzie externe mail altijd van een disclaimer. In het geval een bericht bij de verkeerde persoon wordt bezorgd, zorgt deze ervoor dat derden hieraan geen rechten kunnen ontlenen of het bedrijf aansprakelijk kunnen stellen.
Let op formulering en spelling
Gaan we voor een brief nog eens goed zitten, bij het schrijven van een e-mail lijken goede omgangsvormen en spellingsregels te verdwijnen als sneeuw voor de zon: berichten vol spelfouten waarin alleen het hoognodige wordt vermeld. Hoewel zo niet bedoeld, kun je bij de ontvanger zo ongenuanceerd en kortaf overkomen.
Natuurlijk maakt het uit naar wie je de e-mail verstuurt - een snelle boodschap aan een collega kan informeler dan een bericht aan een klant - maar een correcte spelling en een goede formulering is ook een kwestie van fatsoen. Bovendien kom je met een goed geformuleerd en een juist gespelde tekst professioneler over dan met een rommelig bericht. Lees een e-mail dus goed door voor je hem verzendt en gebruik je spelling- en grammaticacontrole.
Wees ook voorzichtig met ironie, sarcasme en humor. Door het ontbreken van fysiek contact kan een grap gemakkelijk als kritiek worden uitgelegd.
Zet de ontvanger niet op het verkeerde been
Verstuur nooit een e-mail zonder het onderwerp in de onderwerpregel aan te geven. Verzend ook nooit een bericht zonder je naam te vermelden. Schrijf geen zinnen in hoofdletters. De ontvanger zal dit interpreteren als schreeuwen en zal denken dat je boos op hem bent.
Gebruik e-mail niet voor gevoelige onderwerpen of slecht nieuws
Hoewel e-mail in lastige situaties een aantrekkelijk alternatief lijkt, mag je je nooit achter een e-mail verschuilen. Door het ééndimensionale karakter van e-mail zie je niet hoe je bericht bij de ontvanger overkomt en kun je een misverstand niet meteen rechtzetten. Ook heb je geen idee van de omstandigheden en timing van het moment waarop je e-mail wordt gelezen. Hoe je slecht nieuws wel kunt brengen, leer je in de cursus Gesprekstechnieken.
Verzend geen vertrouwelijke informatie
In principe is e-mail niet geschikt voor het uitwisselen van vertrouwelijke informatie. Ook privé-informatie over collega’s wissel je niet uit via de mail. Een e-mail - of de reactie daarop – wordt nogal eens naar anderen doorgestuurd en dan komt je bericht terecht bij mensen voor wie jij hem niet had bestemd. Wees je ervan bewust dat in veel organisaties de systeembeheerder toegang heeft tot je e-mail.
Bcc
Wanneer je een bericht aan meerdere zakelijke contacten verstuurt, is het niet zo professioneel als de e-mailadressen van de geadresseerden voor iedereen zichtbaar zijn. Er zijn organisaties die maar al te gemakkelijk gebruikmaken van deze adressen om spam te versturen. Gebruik in een dergelijk geval bcc (blind carbon copy). De adressen die je hier invoert, zijn dan niet zichtbaar voor de anderen.
Wees niet te gemakzuchtig
Stuur niet voor ieder wissewasje een e-mail. Vraag je bij elk bericht even af of het wel verstandig is voor de betreffende boodschap e-mail als medium te gebruiken. Is een telefoontje of rechtstreeks contact met de collega, die een paar kamers verderop zit niet effectiever? En hoewel het een verleidelijk alternatief is om niet zelf de archiefkast in te hoeven duiken, is het niet verstandig om een e-mail te versturen waarin je om informatie vraagt die je zelf gemakkelijk kunt opzoeken. Het is niet collegiaal en zal voor de nodige irritaties kunnen zorgen.
Cc
Vele inboxen slibben dicht door de grote hoeveelheid cc’tjes die ‘voor de zekerheid’ en ‘ter info’ worden verstuurd. Doe hier niet aan mee en wees selectief in het versturen van cc’tjes.
To: alle afdelingen
In veel organisaties is het mogelijk om een bericht te versturen naar alle medewerkers of de medewerkers van een organisatieonderdeel, bijvoorbeeld de afdeling IT of Personeelszaken. Dat kan erg efficiënt zijn, bijvoorbeeld wanneer de directie een belangrijk bericht heeft.
Maar al te vaak wordt deze mogelijkheid uit gemakzucht gebruikt, omdat de verzender van de e-mail niet goed weet aan wie hij zijn bericht moet richten en voor het gemak de hele afdeling maar adresseert. Een bron van onnodige frustratie bij alle niet-terechte ontvangers.
Gebruik e-mail niet voor niet-zakelijke mail
Kettingbrieven horen niet thuis op het werk. Dat geldt ook voor e-mails die kwetsend kunnen zijn door grappen over huidskleur, afkomst, religie, seksuele geaardheid, ras of sekse. Gebruik je e-mail op het werk ook niet voor het verhandelen van spullen. De meeste organisaties hebben hier een speciaal hoekje voor ingericht op het intranet.
Do’s | Dont’s |
Let op formulering en spelling
Wees helder en to the point
Ga weloverwogen met bijlagen om
Beperk het gebruik van cc
Let op correcte adressering
| Zet de ontvanger niet op het verkeerde been
Verzend geen vertrouwelijke informatie
Wees niet te gemakzuchtig
Gebruik e-mail niet voor niet-zakelijke mail
|
Voor de gegevens die een bepaald niveau van beschikbaarheid en/of integriteit vereisen, is een goed uitgestippeld backupbeleid noodzakelijk. Deze principes gelden zowel voor gegevens die zich op NAS-en, servers, clients, eigen toestellen, andere locaties, in de cloud, … bevinden – zie ook het toestelbeleid en het BYOD-beleid in § 5 in het bijzonder.
Zie de classificatie van gegevens voor meer info aangaande de gehanteerde BIV-niveau’s.
Deze nota valt onder de eindverantwoordelijkheid van schoolcomité VZW Klimop Tongeren.
UPS Noodstroomvoorziening | Uninterrupted power supply. Aangesloten systemen en opslagmedia worden gedurende enkele minuten van stroom voorzien bij pannes of spanningsfluctuaties. Dit zorgt ervoor dat gegevens in het werkgeheugen en/of cache nog kan weggeschreven worden voordat het systeem afgesloten moet worden. |
Redundantie | Het algemene principe waarbij een systeem, opslag of netwerkverbinding zo opgebouwd wordt, dat indien nodig een ander systeem overneemt. In principe mogen eindgebruikers hier niets van merken. Het “eerste” systeem dient zo snel mogelijk terug hersteld te worden. |
Backups | Het nemen van geregelde kopieën, op een andere locatie en medium, zodat bij eventueel verlies of diefstal de gegevens in kwestie hersteld kunnen worden. De aard, frequentie, enz. van de backups wordt bepaald door de classificatie van de gegevens in kwestie. Dit proces kan volledig geautomatiseerd gebeuren. |
Synchronisatie | Gegevens bevinden zich op verschillende locaties en media, maar een onderlinge netwerkverbinding zorgt ervoor dat beide kopieën hetzelfde zijn. Aanpassingen gebeuren m.a.w. steeds op twee plaatsen tegelijk. Het systeem zorgt ervoor dat aanpassingen bijgehouden worden in het geval dat de verbinding (even) weg valt, om deze bij het herstellen van de verbinding zo snel mogelijk samen te voegen. |
SLA | Service Level Agreement. Een overeenkomst die een organisatie aangaat met een leverancier van (techno-logische) diensten, waarin de voorwaarden inzake de beschikbaarheid, integriteit en/of betrouwbaarheid van deze diensten vastgelegd wordt. |
ISP | Internet Service Provider. Bedrijf dat particulieren en andere bedrijven verbindt met het world wide web. Zij bieden meestal ook andere diensten aan, zoals emailaccounts, webhosting, … |
Alle systemen waarop gegevens gebruikt of bewaard worden die behoren tot het beschikbaarheidsniveau noodzakelijk en/of het integriteitsniveau absoluut, worden in VZW Klimop Tongeren voorzien van een redundante noodstroomvoorziening.
Gegevens die behoren tot het beschikbaarheidsniveau belangrijk en/of het integriteitsniveau vereist, worden voorzien van een (gewone) noodstroomvoorziening.
Alle systemen waarvoor een (voldoende snelle) internetverbinding nodig is, en die behoren tot het beschikbaarheidsniveau noodzakelijk en/of het integriteitsniveau absoluut, worden in VZW Klimop Tongeren voorzien van een alternatieve internetverbinding, met een vergelijkbare bandbreedte en performantie.
Voor deze systemen wordt, indien nodig, ook gestreefd naar een gelijke upload- en downloadsnelheid.
Indien mogelijk, worden voor deze systemen LSA’s afgesloten met de ISP(‘s) in kwestie.
Gegevens die behoren tot het beschikbaarheidsniveau belangrijk en/of het integriteitsniveau vereist, worden minstens dagelijks gebackupt.
Gegevens die behoren tot het beschikbaarheidsniveau noodzakelijk en/of het integriteitsniveau absoluut, worden simultaan gesynchroniseerd op minstens één geografisch gespreide locatie.
Alle andere gegevens worden minstens één keer per week gebackupt.
Minstens één keer per schooljaar vindt een volledige backup van alle gegevens plaats, behoudens die gegevens die niet verder (in een archief) bewaard worden.
Alle backups worden conform de gangbare “best practices” bewaard en (persoons)gegevens die behoren tot het vertrouwelijkheidsniveau vertrouwelijk of geheim, worden geëncrypteerd gebackupt.
De plaatsen op VZW Klimop Tongeren waar gegevens bewaard worden die behoren tot het beschikbaarheidsniveau belangrijk en/of het integriteitsniveau vereist, of hoger, worden voorzien van afdoende brandbeveiligingsmaatregelen. Dit is ook opgenomen in een met de hulpdiensten opgenomen veiligheidsplan.
Indien deze gegevens (ook) bewaard worden op een andere locatie en/of bij (een) externe verwerker(s), dan legt schoolcomité VZW Klimop Tongeren hieraan gelijkaardige eisen op.
Door een classificatie van persoonsgegevens te maken, kan men op VZW Klimop Tongeren op een gestructureerde manier de beveiliging van deze gegevens vorm geven. De classificatie gebeurt op basis van drie aspecten:
Men spreekt ook wel eens van een BIV-classificatie. Voor elk aspect wordt in dit beleid een classificatie in niveau’s gehanteerd, bv. laag – midden – hoog.
Op basis van de in deze nota uitgewerkte classificatie, bepaalt men op VZW Klimop Tongeren de nodige organisatorische en technische maatregelen om de beschikbaarheid, integriteit en vertrouwelijkheid gepast te waarborgen.
Deze nota valt onder de eindverantwoordelijkheid van schoolcomité VZW Klimop Tongeren.
Dit doen we op VZW Klimop Tongeren door gebruik te maken van de vragen, zoals deze zijn opgesteld voor het respectievelijke schema (zie onderstaande). Het is hierbij in zekere zin belangrijker om met een aantal mensen te praten over deze vragen, dan een exacte inschatting te maken. Door erover te praten kweek je bewustwording en ga je anders naar de processen kijken.
Samengevat verwerkt VZW Klimop Tongeren de onderstaande categorieën van persoonsgegevens.
Hiermee bedoelen we de mate waarin de gegevens en diensten beschikbaar zijn, zodanig dat het onderwijsgebeuren ongestoord voort kan gaan.
Deelaspecten hiervan zijn:
Voor de beschikbaarheid komt de classificatie respectievelijk overeen met: niet nodig, onbelangrijk, belangrijk, essentieel.
Niveau 1: Beschikbaarheid is niet nodig | Niveau 2: Beschikbaarheid is onbelangrijk | Niveau 3: Beschikbaarheid is belangrijk | Niveau 4: Beschikbaarheid is noodzakelijk |
Het systeem of de informatie is niet (meer) nodig voor de werking van de instelling. | Algeheel verlies of niet beschikbaar zijn van deze informatie gedurende meerdere dagen brengt geen merkbare (meetbare) schade toe aan de belangen van de instelling, haar medewerkers of haar leerlingen. | Algeheel verlies of niet beschikbaar zijn van deze informatie gedurende een dag brengt merkbare schade toe aan de belangen van de instelling, haar medewerkers of haar leerlingen. | Algeheel verlies of niet beschikbaar zijn van deze informatie gedurende een dag brengt merkbare schade toe aan de belangen van de instelling, haar medewerkers of haar leerlingen. |
Tussen 0 en 2 | Tussen 3 en 7 | Tussen 8 en 12 | Tussen 13 en 15 |
Dit schema moet per toepassing ingevuld worden.
Plaats een ‘x’ in de bijhorende kolom om de classificatie te maken, en motiveer elke vraag. Tel het eindtotaal op om de classificatie van de toepassing te bekomen (zie tabel in § 2.1). 0 staat voor “niet van toepassing”.
Vragen | 0 | 1 | 2 | 3 | Motivatie |
Wat is de verwachte belasting van de toepassing? 1 = weinig gelijktijdige gebruikers, weinig transacties 2 = veel gelijktijdige gebruikers, normale hoeveelheid transacties 3 = veel gelijktijdige gebruikers, veel transacties |
|
|
|
|
|
Zijn er contractuele of wettelijke verplichtingen voor de beschikbaarheid? 1 = nee, of regulier 2 = ruime of hoge contractuele verplichtingen 3 = wettelijke verplichtingen, desgevallend enkel voor bepaalde periodes in het schooljaar |
|
|
|
|
|
Wat is de maximale periode dat de toepassing niet- beschikbaar mag zijn (in de loop van het schooljaar)? 1 = maximaal enkele dagen of een week 2 = maximaal een werkdag 3 = maximaal een aantal uur |
|
|
|
|
|
Hoe erg is het als de gegevens en/of de toepassing niet beschikbaar zijn? 1 = niet cruciaal voor de kerntaken 2 = het lesgeven ondervindt hinder, maar kan doorgaan 3 = het lesgeven (of cruciale deelaspecten ervan) kunnen niet doorgaan |
|
|
|
|
|
Leidt het niet beschikbaar zijn van de toepassing tot imagoverlies? 1 = nee 2 = kortstondig maar kan opgevangen of hersteld worden met goede communicatie 3 = langdurig of blijvend imagoverlies |
|
|
|
|
|
Hiermee wordt bedoeld of de gegevens correct en actueel zijn. Deelaspecten hiervan zijn:
Voor de integriteit komt de classificatie respectievelijk overeen met: niet noodzakelijk, noodzakelijk, vereist, absoluut.
Niveau 1: Integriteit is niet noodzakelijk. | Niveau 2: Integriteit is noodzakelijk. | Niveau 3: Integriteit is vereist. | Niveau 4: Integriteit is absoluut. |
Blijvende juistheid van informatie (vanaf de bron tot het laatste gebruik) is gewenst, maar hoeft niet gegarandeerd te zijn. Indien informatie niet correct is, leidt dit tot beperkte schade. | Blijvende juistheid van informatie moet maximaal gewaarborgd zijn. Sommige toleranties zijn toelaatbaar. Juistheid van informatie is belangrijk, maar niet kritisch. Het is niet noodzakelijk dat correctheid onbetwistbaar aangetoond kan worden. Indien informatie niet correct is, kan de organisatie substantiële schade lijden. | Informatie moet gegarandeerd correct zijn. Het is echter niet noodzakelijk dat correctheid onbetwistbaar aangetoond kan worden. Indien informatie niet correct is, kan de organisatie ernstige schade lijden. | Informatie moet gegarandeerd correct zijn. Informatie waarbij het noodzakelijk is dat de correctheid niet betwist kan worden, zoals de uitslagen van toetsen, examens, onomkeerbare financiële transacties. Indien informatie niet correct is, kan de organisatie ernstige schade lijden. |
Tussen 0 en 2 | Tussen 3 en 7 | Tussen 8 en 13 | Tussen 14 en 18 |
Dit schema moet per toepassing ingevuld worden.
Plaats een ‘x’ in de bijhorende kolom om de classificatie te maken, en motiveer elke vraag. Tel het eindtotaal op om de classificatie van de toepassing te bekomen (zie tabel in § 3.1). 0 staat voor “niet van toepassing”.
Vragen | 0 | 1 | 2 | 3 | Motivatie |
Kan er fraude met leerresultaten of financiële fraude plaatsvinden door fouten in de gegevens of ongeautoriseerde wijzigingen? 1 = nee, de gegevens lenen zich bijna niet voor fraude 2 = beperkt, gegevens worden ook elders gecontroleerd 3 = ja, de toepassing is de enige met deze gegevens |
|
|
|
|
|
Hoe erg is het als er fouten of ongeautoriseerde veranderingen in de gegevens zitten? 1 = niet 2 = het lesgeven wordt belemmerd maar kan wel doorgaan 3 = het lesgeven kan niet doorgaan, of er is permanent nadeel |
|
|
|
|
|
Hoeveel effect hebben fouten of ongeautori-seerde veranderingen in gegevens? 1 = alleen intern 2 = intern en mogelijk is een andere partij beïnvloed 3 = in een hele keten |
|
|
|
|
|
Leiden fouten of ongeautoriseerde verande-ringen tot imagoverlies? 1 = nee 2 = kortstondig imagoverlies 3 = langdurig imagoverlies |
|
|
|
|
|
Zijn er contractuele of wettelijke verplichtingen voor de integriteit van gegevens? 1 = nee 2 = ja, deze eisen stelselmatige controle 3 = ja, deze eisen stelselmatige controle en bewijs van werking (= rapportering) |
|
|
|
|
|
Kunnen er personen negatieve gevolgen ondervinden als gevolg van het niet correct zijn van gegevens? 1 = niet 2 = eventuele fouten zijn nog te verbe-teren 3 = fouten veroorzaken ernstige of lang-durige negatieve gevolgen |
|
|
|
|
|
Hiermee wordt de mate bedoeld, dat de juiste personen en systemen toegang krijgen tot de gegevens in kwestie.
Deelaspecten hiervan zijn:
Voor de vertrouwelijkheid komt de classificatie respectievelijk overeen met: openbaar, intern, vertrouwelijk, geheim.
Niveau 1: Informatie is openbaar | Niveau 2: Informatie is intern | Niveau 3: Informatie is vertrouwelijk. | Niveau 4: Informatie is geheim. |
Openbaar worden van gegevens leidt tot weinig of geen schade voor een instelling of betrokkene. | De organisatie, instelling of betrokkene kan niet meteen substantiële schade lijden indien informatie toegankelijk is voor ongeautoriseerde personen, maar informatie mag wel alleen toegankelijk zijn voor personen die hier vanuit hun functie toegang toe moeten hebben (need-to-know basis). | De organisatie, instelling of betrokkene kan substantiële schade lijden indien informatie toegankelijk is voor ongeautoriseerde personen. Informatie mag alleen toegankelijk zijn voor personen die hier vanuit hun functie toegang toe moeten hebben (need-to-know basis). | De organisatie, instelling of betrokkene kan ernstige schade lijden indien informatie toegankelijk is voor ongeautoriseerde personen. Informatie mag uitsluitend toegankelijk zijn voor een zeer geselecteerde groep personen. Hieronder vallen onder andere bijzondere persoonsgegevens. |
Hieronder staat de classificatie van categorieën van persoonsgegevens, zoals ze op VZW Klimop Tongeren gehanteerd wordt.
Categorie van persoonsgegevens | Openbaar | Intern | Vertrouwelijk | Geheim | Motivatie |
Gegevens van leerlingen | |||||
Rijksregister |
|
| x |
| De instelling is gemachtigd om het rijksre-gisternummer te verwerken, maar ze mag het niet extern ter beschikking stellen. |
Identificatie |
| x |
|
| De instelling heeft deze informatie nodig, maar ze mag het niet extern ter beschikking stellen. |
Indicatoren |
|
| x |
| De instelling heeft deze informatie nodig, maar niet iedereen dient erover te beschikken. |
Pasfoto |
| x |
|
| De instelling heeft deze informatie nodig, maar ze mag het niet extern ter beschikking stellen. |
Contact (school) | x |
|
|
| Schoolcontactcoördinaten mogen extern gebruikt worden. |
Contact (privé) |
|
| x |
| Privé contactcoördinaten mogen niet extern gebruikt worden. |
Schoolloopbaan |
| x |
|
| De instelling heeft deze informatie nodig, maar ze mag het niet zomaar extern ter beschikking stellen. |
Afwezigheden |
|
| x |
| De instelling heeft deze informatie nodig, maar niet iedereen dient erover te beschikken. |
Evaluatie (puntenboeken, rapporten) |
|
| x |
| De instelling heeft deze informatie nodig, maar niet iedereen dient erover te beschikken. |
Evaluatie (deliberaties, verslagen) |
|
| x |
| De instelling heeft deze informatie nodig, maar niet iedereen dient erover te beschikken. |
Functioneren |
|
| x |
| De instelling heeft deze informatie nodig, maar niet iedereen dient erover te beschikken. |
Medische informatie |
|
|
| x | De instelling heeft deze gevoelige informa-tie nodig, maar ze dient deze zorgvuldig af te schermen. |
Levensbeschouwing |
|
|
| x | De instelling heeft deze gevoelige informa-tie nodig, maar ze dient deze zorgvuldig af te schermen. |
Gegevens van ouder(s) / voogd | |||||
Identificatie |
| x |
|
| De instelling heeft deze informatie nodig, maar ze mag het niet extern ter beschikking stellen. |
Adres |
| x |
|
| De instelling heeft deze informatie nodig, maar ze mag het niet extern ter beschikking stellen. |
Contact (privé) |
|
| x |
| Privé contactcoördinaten mogen niet extern gebruikt worden. |
Financiëel: gegevens bank(rekening) |
|
| x |
| De instelling heeft deze informatie nodig, maar ze mag het niet extern ter beschikking stellen. |
Financiëel: openstaande schuld |
|
|
| x | De instelling heeft deze gevoelige informa-tie nodig, maar ze dient deze zorgvuldig af te schermen. |
Gegevens van personeelsleden | |||||
Rijksregister |
|
| x |
| De instelling is gemachtigd om het rijksre-gisternummer te verwerken, maar ze mag het niet extern ter beschikking stellen. |
Identificatie |
| x |
|
| De instelling heeft deze informatie nodig, maar ze mag het niet extern ter beschikking stellen. |
Pasfoto |
|
| x |
| De instelling heeft deze informatie nodig, maar niet iedereen dient erover te beschikken. |
Contact (school) | x |
|
|
| Schoolcontactcoördinaten mogen extern gebruikt worden. |
Contact (privé) |
|
| x |
| Privé contactcoördinaten mogen niet extern gebruikt worden. |
Loopbaan |
| x |
|
| De instelling heeft deze informatie nodig, maar ze mag het niet zomaar extern ter beschikking stellen. |
Afwezigheden |
|
| x |
| De instelling heeft deze informatie nodig, maar niet iedereen dient erover te beschikken. |
Financiëel: gegevens bank(rekening) |
|
| x |
| De instelling heeft deze informatie nodig, maar ze mag het niet extern ter beschikking stellen. |
Financiëel: openstaande schuld |
|
|
| x | De instelling heeft deze gevoelige informa-tie nodig, maar ze dient deze zorgvuldig af te schermen. |
Functioneren en evaluatie |
|
|
| x | De instelling heeft deze gevoelige informa-tie nodig, maar ze dient deze zorgvuldig af te schermen. |
Levensbeschouwing |
|
|
| x | De instelling heeft deze gevoelige informa-tie nodig, maar ze dient deze zorgvuldig af te schermen. |
Gegevens van oud-leerlingen | |||||
Rijksregister |
|
| x |
| De instelling is gemachtigd om het rijksre-gisternummer te verwerken, maar ze mag het niet extern ter beschikking stellen. |
Identificatie |
| x |
|
| De instelling heeft deze informatie nodig, maar ze mag het niet extern ter beschikking stellen. |
Contact (privé) |
|
| x |
| Privé contactcoördinaten mogen niet extern gebruikt worden. |
Schoolloopbaan |
|
| x |
| De instelling dient deze informatie bij te houden, maar niet iedereen dient er toegang toe te hebben. |
Evaluatie (deliberaties, verslagen) |
|
| x |
| De instelling dient deze informatie bij te houden, maar niet iedereen dient er toegang toe te hebben. |
Gegevens van oud-personeelsleden | |||||
Rijksregister |
|
| x |
| De instelling is gemachtigd om het rijksre-gisternummer te verwerken, maar ze mag het niet extern ter beschikking stellen. |
Identificatie |
| x |
|
| De instelling heeft deze informatie nodig, maar ze mag het niet extern ter beschikking stellen. |
Contact (privé) |
|
| x |
| Privé contactcoördinaten mogen niet extern gebruikt worden. |
Loopbaan |
|
| x |
| De instelling dient deze informatie bij te houden, maar niet iedereen dient er toegang toe te hebben. |
Functioneren en evaluatie |
|
|
| x | De instelling mag deze gevoelige informa-tie bijhouden, maar ze dient deze zorgvuldig af te schermen. |
De manier waarop personeelsleden, en ook leerlingen en ouders, communiceren maakt ook een deel uit van het IVP-beleid. In dit document worden enkele principes vastgelegd inzake interne én externe communicatie, teneinde er samen voor te zorgen dat de privacy, de informatieveiligheid op en het imago van VZW Klimop Tongeren op een gepast niveau worden behouden.
Deze nota valt onder de eindverantwoordelijkheid van Schoolcomité VZW Klimop Tongeren.
Alle personeelsleden van VZW Klimop Tongeren zijn gebonden aan een discretieplicht, ten aanzien van de persoonsgegevens van leerlingen, ouders of het gezin, en eventueel ten aanzien van elkaars persoonsgegevens. In het algemeen reglement van het personeel van het katholiek onderwijs (art. 7 § 7, art. 23 § 1) wordt hiernaar verwezen.
Dit betekent concreet dat zij van ambtswege uit, geen persoonsinformatie mogen vermelden of publiceren, buiten de daarvoor voorziene kanalen binnen VZW Klimop Tongeren. Onderling informatie delen mag natuurlijk, maar dan via de hieronder vastgelegde kanalen en procedures, en steeds indien het in het belang is van het kind, de kinderen of eventueel de collega in kwestie.
Personeelsleden worden dus van ambtswege uit geacht om de geldende beveiligings- en privacyprocedures en -afspraken steeds te volgen, teneinde het accidenteel verspreiden van persoonsgegevens te vermijden. Indien men vermoedt dat, door toedoen van uzelf of van anderen, er mogelijks persoonsgegevens buiten de context van deze discretieplicht “geraakt” zijn, dan dient men het aanspreekpunt informatieveiligheid en/of het meldpunt datalekken hierover te contacteren.
Voor VZW Klimop Tongeren is het meldpunt datalekken: privacy@klimoptongeren.be
Voor personeelsleden wordt hiernaar verwezen in het algemeen model van arbeidsreglement, opgesteld door Katholiek Onderwijs Vlaanderen (bijlage 3, punt 3.5).
Op VZW Klimop Tongeren maken we onderscheid tussen drie categorieën van emailaccounts:
Voor elk van deze categorieën leggen we in deze paragraaf een aantal richtlijnen / afspraken vast inzake het doel, gebruik én de beveiliging van de accounts in kwestie.
Algemene opmerking: Verzend nooit een wachtwoord, voor eender welk platform, via email of een ander communicatiesysteem. Niemand van #instelling# zal op deze manier ooit een wachtwoord opvragen.
Het beheer hiervan is toegewezen aan één of meerdere medewerkers.
Deze adressen worden vrij verspreid en gepubliceerd.
Indien het adres verwijst naar een groep van personen, dan dient men het steeds in “blind carbon copy” (BCC) te plaatsen.
Deze accounts worden bij voorkeur gebruikt voor niet-school gerelateerde communicatie of handelingen.
Deze adressen worden niet verspreid of gepubliceerd. Ze worden enkel intern gebruikt door directie, administratie of op eigen initiatief.
Het gebruik van dergelijke accounts is niet verboden op VZW Klimop Tongeren, zolang het de professionele bezigheden niet hindert en de informatieveiligheid niet in het gedrang komt.
Concreet:
# Enkel indien personeel over werkaccounts beschikt! Gebruik geen privé accounts voor communicatie met collega’s aangaande instellingsgebonden zaken of voor de communicatie met leerlingen, oud-leerlingen, ouders of externen (zie § 3.3).
Let er bij het gebruik van privé accounts, op toestellen of een netwerk waarop zich ook persoonsgegevens van VZW Klimop Tongeren bevinden, op dat bijlagen, hyperlinks, tools, … die met de privé accounts gebruikt worden, niet leiden tot beveiligingsgevaren zoals virussen, ransomware, phishing [1] .
[1] Meer informatie over “phishing” is te vinden in § 1 van de achtergrondinformatie.
Deze zijn telkens toegewezen aan één medewerker en zijn identificeerbaar voor die functie / medewerker.
Deze adressen kunnen verspreid en gepubliceerd worden.
Gebruik deze accounts voor communicatie met collega’s aangaande instellingsgebonden zaken of voor de communicatie met leerlingen, oud-leerlingen, ouders of externen.
Natuurlijk gelden dezelfde afspraken voor deze accounts als voor privé accounts:
Bijkomende afspraken:
Dit maakt het voor de verantwoordelijken onmogelijk om iedereens privacy en/of de informatieveiligheid als geheel te waarborgen. Mogelijks leidt dit er toe dat VZW Klimop Tongeren niet alle rechten en vrijheden van leerlingen, ouders of medewerkers kan waarborgen.
Met gevoelige informatie bedoelen we o.a. gezinssituatie, psycho-sociaal, medisch, zorg, financieel.
Gebruik het (centraal beheerde en beveiligde) leerlingvolgsysteem om deze informatie met de juiste collega’s en medewerkers te delen.
Verwijder daarna alle berichten die deze gegevens bevatten of behandelden (ook uit uw “Prullenmand”).
Naast email, zijn er tegenwoordig tal van andere communicatieplatformen, ook op mobiele toestellen. Op VZW Klimop Tongeren moedigen we het (professionele, correcte) gebruik van allerhande tools, platformen en apps natuurlijk aan, maar tegelijkertijd willen we iedereen wijzen op het correcte gebruik ervan, en i.h.b. ten aanzien van privacy-gevoelige informatie.
We menen dat medewerkers, ouders en leerlingen verbonden aan VZW Klimop Tongeren hoofdzakelijk een of meerdere van de volgende communicatieplatformen gebruiken:
Deze communicatiekanalen kunnen heel zinvol zijn, ook voor een snel (informeel) werkoverleg, maar binnen VZW Klimop Tongeren is het ten strengste afgeraden om persoonsgegevens van leerlingen te communiceren via een van deze kanalen.
Indien deze kanalen en/of school emailaccounts geraadpleegd worden op een mobiel toestel, vragen wij om dit toestel met een vergrendeling te beveiligen (zie § 5.2 in het toestelbeleid).
Ook deze tools zijn zeer interessant, bv. om een overleg van op afstand of met een anders verhinderde collega uit te voeren, maar wees u bewust van:
Indien de video conferencing een “app” gebruikt op een mobiel toestel, vragen wij om dit toestel met een vergrendeling te beveiligen (zie § 5.2 in het toestelbeleid).
Bron: www.hetstreek.nl
Sociale media zoals Twitter, Facebook, LinkedIn, Instagram, Snapchat, … en nog vele anderen bieden de mogelijkheid te laten zien dat men trots is op de school. Tevens kunnen ze een bijdrage leveren aan een positief imago van VZW Klimop Tongeren.
Het is daarbij van belang te beseffen dat berichten op sociale media (onbewust) de goede naam van de school en betrokkenen ook kunnen schaden. Om deze reden vraagt VZW Klimop Tongeren de aan de school verbonden personen om verantwoord met sociale media om te gaan, de reguliere fatsoensnormen in acht te nemen en de mogelijkheden met een positieve instelling te benaderen.
VZW Klimop Tongeren heeft dit protocol opgezet om aan iedereen die betrokken is, of zich betrokken voelt, richtlijnen te geven. Deze richtlijnen maken een effectieve inzet van sociale media mogelijk. VZW Klimop Tongeren is zich bewust van het feit dat de mogelijkheden van sociale media omvangrijk zijn en dat ze bijna dagelijks veranderen. Om enige toekomstvastheid van dit protocol te borgen zijn de richtlijnen zo generiek als mogelijk omschreven, maar wel getoetst op toepasbaarheid in specifieke situaties.
1. VZW Klimop Tongeren onderkent het belang van sociale media.
2. Dit protocol heeft als doel bij te dragen aan een goed en veilig school- en onderwijsklimaat.
3. Dit protocol bevordert dat indien de school, medewerkers, leerlingen en ouders op de sociale media communiceren, dit gebeurt in het verlengde van de missie en visie van de onderwijsinstelling en de reguliere fatsoensnormen. In de regel betekent dit dat we zorgvuldig communiceren, respect voor de school en voor elkaar hebben en iedereen in zijn waarde laten.
4. Het protocol heeft als doel de onderwijsinstelling, de medewerkers, de leerlingen en de ouders te beschermen tegen de mogelijk negatieve gevolgen van sociale media.
Deze richtlijnen zijn bedoeld voor alle betrokkenen die deel uitmaken van de “schoolomgeving”, dat wil zeggen medewerkers, leerlingen, ouders/verzorgers en mensen die op een andere manier verbonden zijn aan VZW Klimop Tongeren.
De richtlijnen in dit protocol hebben betrekking op alle op enigerlei wijze aan school of haar medewerkers te relateren berichten.
In deze nota bepalen we het gebruikersrechtenbeleid op #instelling#, gebaseerd op de classificatie van (persoons)gegevens. Hiermee bedoelen we dat hier omschreven wordt welke gebruikers(groepen) welke toegangen hebben tot bepaalde gegevens. Hiervoor worden de vertrouwelijkheidsniveau’s gehanteerd.
Bepaalde (persoons)gegevens en systemen worden meer specifiek vastgelegd in deze nota, teneinde dit gebruikersrechtenbeleid voldoende gedetailleerd uit te werken.
Deze nota valt onder de eindverantwoordelijkheid van schoolcomité VZW Klimop Tongeren.
Alle dragers, platformen, systemen en het netwerk die binnen VZW Klimop Tongeren gebruikt worden, vallen onder het IVP-beleid. Dit houdt in het bijzonder in dat elk van deze dragers, platformen, systemen en het netwerk voorzien zijn van beveiligingsgroepen, waartoe de respectievelijke gebruikers behoren na authenticatie. (Zie het toestelbeleid en wachtwoordbeleid.)
De volgende gebruikersgroepen worden hierbij gehanteerd:
Deze groepen worden globaal gehanteerd binnen het IVP-beleid van VZW Klimop Tongeren. Mogelijks bestaan er, voor welbepaalde gevallen of toepassingen, hiernaast nog specifiekere beveiligingsgroepen.
De algemeen gehanteerde gebruikersrechten zijn:
Voor de oplijsting van de concrete gegevens die zich in de hier gehanteerde vertrouwelijkheidsniveau’s bevinden: zie de classificatie van persoonsgegevens.
Indien een bepaalde gebruikersgroep niet tot de matrix behoort, hebben deze mensen sowieso geen toegang (GT). Dit noemt men het privacy by default-principe.
| Beheerder(s) | CLB-medewerkers | Directieleden | Zorg-verantwoordelijken | Begeleider(s) M-decreet | Leerkrachten (les) | Leerkrachten (geen les) | Secretariaat (bevoegd) | Ouder(s), voogd | Betrokkene zelf | Derden, externen |
Openbaar | Niet van toepassing | ||||||||||
Intern | VB | L | L | L | L | L | L | W | GT | GT | GT |
Vertrouwelijk | W | GT | L | ||||||||
Geheim | GT | GT |
Noten; toelichting:
| Beheerder(s) | CLB-medewerkers | Directieleden | Zorg-verantwoordelijken | Begeleider(s) M-decreet | Leerkrachten (les) | Leerkrachten (geen les) | Secretariaat (bevoegd) | Ouder(s), voogd | Betrokkene zelf | Derden, externen |
Openbaar | Niet van toepassing | ||||||||||
Intern | VB | L | L | W | GT | L | GT | W | GT | GT | GT |
Vertrouwelijk | |||||||||||
Geheim | Niet van toepassing |
Specifieke rechten; uitzonderingen:
Financiële gegevens | VB | GT | L | GT | GT | GT | GT | GT | GT | W | GT | GT | GT |
Noten; toelichting:
| Beheerder(s) | CLB-medewerkers | Directieleden | Zorgverantwoordelijken | Begeleider(s) M-decreet | Leerkrachten (les) | Leerkrachten (geen les) | Secretariaat (bevoegd) | Ouder(s), voogd | Betrokkene zelf | Derden, externen |
| |||||||
Openbaar | VB | L | L | L | L | L | L | L | L | L | L | L | L | ||||||
Intern | GT | L | GT | GT | GT | GT | GT | GT | W | GT | GT | GT | |||||||
Vertrouwelijk | |||||||||||||||||||
Geheim |
Noten; toelichting:
[1] Er wordt naar gestreefd om, indien praktisch haalbaar, de toegang tot gegevens zo veel mogelijk gericht in te stellen naar de specifieke taken en bevoegdheden van elke secretariaatsmedewerker toe (bv. personeelsadministratie, leerlingadministratie, boekhouding, …).
[2] Hiertoe behoren bv. de medewerkers van externe verwerkers, die in opdracht van VZW Klimop Tongeren persoonsgegevens ontvangen en/of verwerken.
[3] Mogelijks zijn deze rechten enkel van toepassing op items die door de persoon zelf toegevoegd werden (eigenaarschap) en niet noodzakelijk ook op items van andere gebruikers. Een versiebeheer houdt bij wie wanneer welke aanpassingen aan de inhoud doet.
| Beheerder(s) | CLB-medewerkers | Directieleden | Zorgverantwoordelijken | Begeleider(s) M-decreet | Leerkrachten (les) | Leerkrachten (geen les) | Secretariaat (bevoegd) | Ouder(s), voogd | Betrokkene zelf | Derden, externen |
| |||||||
Openbaar | Niet van toepassing | ||||||||||||||||||
Intern | VB | GT | L | GT | GT | GT | GT | GT | GT | W | GT | GT | GT | ||||||
Vertrouwelijk | Niet van toepassing (verwijderd) | ||||||||||||||||||
Geheim |
Specifieke rechten; uitzonderingen:
Rijksregister-nummer | VB | GT | L | GT | GT | GT | GT | GT | GT | L | GT | GT | GT |
Noten; toelichting:
| Beheerder(s) | CLB-medewerkers | Directieleden | Zorgverantwoordelijken | Begeleider(s) M-decreet | Leerkrachten (les) | Leerkrachten (geen les) | Secretariaat (bevoegd) | Ouder(s), voogd | Betrokkene zelf | Derden, externen |
| |||||||
Openbaar | Niet van toepassing | ||||||||||||||||||
Intern | VB | GT | L | GT | GT | GT | GT | GT | GT | W | GT | GT | GT | ||||||
Vertrouwelijk | L | ||||||||||||||||||
Geheim |
Noten; toelichting:
Toegangsbeperkingen hebben weinig zin indien er geen beleid is rond de (“geldigheidsduur” van de) gehanteerde gebruikersaccount zelf. Dit beleid maakt, samen met het wachtwoordbeleid, deel uit van wat men IAM (Identity & Access Management) noemt.
In een eenvoudige interpretatie zijn er drie aspecten van een modern ICT-netwerk om rekening mee te houden inzake beschikbaarheid, integriteit en vertrouwelijkheid:
In deze nota wil VZW Klimop Tongeren enerzijds regels bepalen om de bijdrage van elk van deze drie aspecten in het IVP-beleid te maximaliseren, en anderzijds wordt toegelicht hoe op VZW Klimop Tongeren controle op elk van deze aspecten gevoerd wordt.
Deze nota valt onder de eindverantwoordelijkheid van schoolcomité VZW Klimop Tongeren.
Ongeacht het “type” toestel of netwerk, zijn er een aantal maatregelen die VZW Klimop Tongeren steeds toepast. Hieronder worden deze opgesomd. In wat volgt, worden de specifieke maatregelen toegelicht.
Met het “bekabelde netwerk” bedoelen we het geheel van componenten die de netwerkverbindingen maken en beheren, zoals: routers, switchen, hubs, kabels, servers, modems, …
De algemene maatregelen (zie § 1.2) worden toegepast, met i.h.b. logging van: tijdsregistratie, MAC- en IP-adressen, toestelnamen, gebruikersnamen.
Wachtwoorden op de netwerkcomponenten worden systematisch gewijzigd t.o.v. de “default” waarden, of te gemakkelijke combinaties. De gekozen wachtwoorden voldoen i.h.b. aan alle afspraken uit het wachtwoordbeleid.
Voor personeel is wifi voorzien op VZW Klimop Tongeren. Deze dienst is gratis voor de eindgebruikers, maar heeft voor de school wel een zekere kostprijs (in aanschaf, onderhoud en beveiliging).
Daarom wordt de aard en hoeveelheid van het netwerkverkeer gemonitord.
De algemene maatregelen (zie § 1.2) worden toegepast, met i.h.b. logging van: tijdsregistratie, MAC- en IP-adressen, toestelnamen, gebruikersnamen.
Ook de bezochte websites of applicaties, en het datagebruik via het draadloze netwerk, worden bijgehouden in logboeken en kunnen desgevallend wel geanalyseerd worden, als het globale verbruik dit rechtvaardigt. Alle informatie hier aangaande wordt strikt vertrouwelijk behandeld.
Het netwerkverkeer dat via het draadloze netwerk verloopt, wordt wel versleuteld. Het raadplegen, bewerken enz. van persoonsgegevens wordt dan ook ten stelligste afgeraden, tenzij er een andere vorm van versleuteling gehanteerd wordt (bv. https i.p.v. http).
Op VZW Klimop Tongeren is er, zowel voor de toestellen die eigendom zijn van de school als op bepaalde andere toestellen (zie ook § 2.2, § 4 en § 5), een internetverbinding mogelijk.
Als organisatie is VZW Klimop Tongeren verantwoordelijk voor het algehele dataverbruik, en voor alles dat er met / via deze internetverbinding gebeurt. Daarom hanteert men ook hier een aantal regels en controles daarop:
De algemene maatregelen (zie § 1.2) worden toegepast, met i.h.b. logging van: tijdsregistratie, MAC- en IP-adressen, toestelnamen, gebruikersnamen.
De beheerders, noch de elektronische controlesystemen en de logboeken, hebben op geen enkele manier toegang tot de inhoud van persoonlijke berichten (zoals messaging, email, intern communicatiesysteem, …).
Onder “toestellen” van de school rekenen we zowel desktop computers, laptops, tablets als (eventuele) werk-smartphones die eigendom zijn van de school.
De volgende beveiligingsregels resp. -controles kunnen hierop (tegelijkertijd) toegepast worden:
Dit beleid wordt gecombineerd met een aantal monitoring tools en/of (lokale) logboeken, d.w.z. manieren om de handelingen bij te houden voor analyse of eventueel naar bewijslast toe. De algemene maatregelen (zie § 1.2) worden toegepast, met i.h.b. logging van: tijdsregistratie, MAC- en IP-adressen, gebruikersnamen, toestelnamen, logintijd, gebruikte toepassingen, wijzigingen in systeeminstellingen.
De mobiele toestellen (d.w.z. laptops, pda’s, tablets, smartphones) die bepaalde personeelsleden gebruiken maar die eigendom zijn van VZW Klimop Tongeren, dienen extra beveiligd te worden indien er persoonsgegevens op bewaard, bekeken of verwerkt worden.
I.h.b. wordt er een vergrendeling a.d.h.v. wachtwoord, pincode, swipe code, vingerafdruk of andere authenticatie toegepast.
Voor directie, ondersteunend personeel dat toegang heeft tot gevoelige persoonsgegevens op het toestel in kwestie, zorgverantwoordelijken en CLB geldt bovendien:
Op VZW Klimop Tongeren is het mogelijk om, via het netwerk of wifi van de school (zie ook § 2.2), gebruik te maken van eigen toestellen. Het is de bedoeling dat deze maximaal gebruikt worden om taken uit te voeren, gerelateerd aan de onderwijsinstelling.
Inzake een eigen toestel zijn een aantal beveiligings- en beheerdersaspecten anders dan in § 4. Desalniettemin gelden alle principes van deze paragraaf evenzeer voor handelingen gerelateerd aan VZW Klimop Tongeren, die uitgevoerd worden op een eigen toestel. Zie, naast § 4 uit deze nota, ook het algemene communicatiebeleid. De bijzondere regels en afspraken inzake het BYOD-beleid [1], zijn:
Het internetverkeer en gebruikte toepassingen wordt, op verscheidene niveau’s, gecontroleerd inzake bv. bezochte doelsites, uitgaand verkeer, capaciteit maar ook veiligheid van de toepassing, het al dan niet veranderen van systeeminstellingen (gerelateerd aan beveiliging resp. prestaties, enz.).
De algemene maatregelen (zie § 1.2) worden toegepast, met i.h.b. logging van: MAC- en IP-adressen, gebruikersnamen, toestelnamen, logintijd, gebruikte toepassingen, wijzigingen in systeeminstellingen, enz.
De mobiele toestellen (d.w.z. laptops, pda’s, tablets, smartphones) van medewerkers, waarop persoonsgegevens van VZW Klimop Tongeren bewaard, bekeken of verwerkt worden, dienen extra beveiligd te worden. Dit beleid vraagt die medewerkers dan ook om de volgende maatregelen op deze toestellen in acht te nemen:
Voor directie, ondersteunend personeel dat toegang heeft tot gevoelige persoonsgegevens op het toestel in kwestie, zorgverantwoordelijken en CLB wordt daarenboven het volgende gevraagd:
[1] BYOD = “bring your own device”. Het gebruik van eigen toestellen voor schoolgerelateerde processen.
Een goed beveiligingsbeleid is tegenwoordig noodzakelijk voor elke school. Steeds meer privacygevoelige gegevens worden (online) gedeeld en een zwak beveiligingsbeleid zorgt ervoor dat je de deur openzet voor duidelijke risico’s. Een goed beveiligingsbeleid geeft gebruikers (leerkrachten, leerlingen, CLB-medewerkers…) toegang tot alle informatie die ze nodig hebben om hun taak naar behoren uit te oefenen maar ontzegt hen alle toegang tot informatie die ze niet nodig hebben.
Er zijn drie pijlers waarop een goed beveiligingsbeleid berust: authenticatie, autorisatie en auditing.
Authenticatie is het proces waarbij je je identiteit gaat bewijzen (ben je wel diegene die je beweert te zijn). Vaak doen we dit door combinatie van een gebruikersnaam en een wachtwoord.
Autorisatie is een proces waarbij onderzocht wordt of je voldoende rechten hebt of toestemming hebt voor hetgeen je wilt doen. Bijvoorbeeld: een leerkracht zal toestemming hebben om in het puntenboek van de klas te schrijven, de leerling mag alleen zijn eigen punten lezen. Enkel de zorgverantwoordelijke, leerkracht en de directie kan in het zorgdossier van een leerling schrijven.
Auditing (Controleerbaarheid) is het proces waarmee je kan nagaan wie wat waar, wanneer en waarmee doet. Vaak heb je hiervoor een hulpmiddel nodig dat je kan vertellen wat er op elk moment gebeurde. Dit kan onder meer in de vorm van een logboek.
In dit document zullen we ons beperken tot de authenticatie en in het bijzonder het gebruik van wachtwoorden en andere, bijkomende authenticatiemethodes op VZW Klimop Tongeren.
Deze nota valt onder de eindverantwoordelijkheid van schoolcomité VZW Klimop Tongeren.
De directeur van de school is verantwoordelijk voor het gebruikersbeheer van de organisatie. Gebruikersbeheer houdt het aanmaken van gebruikers, toekennen van rechten en stopzetten van rechten in. Dit betekent dat er in de school een inventaris moet opgezet worden die het overzicht houdt van alle rollen en rechten gekoppeld aan personeelsleden in de school.
Het opzetten van een dergelijke procedure rond het toegangsbeheer is belangrijk om de controle te kunnen houden op alle gebruikers die er zijn in de organisatie. Dit is de eerste stap in het authenticatiebeleid.
Zie ook § 3 in het onderdeel van de toegangsmatrices, waarin het vergrendelingsbeleid uitgewerkt wordt.
Er zijn verschillende manieren om je in systemen te authenticeren. De meest gebruikte vorm is de combinatie van een gebruikersnaam en een wachtwoord. Een ander voorbeeld is het gebruik van je bankkaart en je pincode waarmee je je aan een bankautomaat kan authenticeren. Maar ook een vingerafdruk of een irisscan kunnen gebruikt worden om te kijken of je wel diegene bent die je beweert te zijn.
Wachtwoorden zorgen er mee voor dat de toegang tot applicaties goed beveiligd is. Het is dus van belang om een sterk beleid op te zetten om het inlogproces en -procedures te beheren. Op VZW Klimop Tongeren werken we er continu aan om leerkrachten en leerlingen het belang van sterke wachtwoorden bij te brengen.
Een wachtwoordbeleid heeft als doel enkele bepalingen op te leggen rond het correct gebruik van wachtwoorden om de toegang tot gevoelige data (waaronder privacy gevoelige persoonsgegevens) te beveiligen middels een wachtwoord.
Een sterk wachtwoord is moeilijker te achterhalen en dus veiliger dan een ‘zwak’ wachtwoord. De sterkte van een wachtwoord hangt af van de lengte, complexiteit en de onvoorspelbaarheid.
Gebruik een online tool om te zien hoe sterk jouw wachtwoord is: bijv. veiliginternetten.nl
Misbruik kan ontvreemding of onrechtmatig gebruik van een wachtwoord zijn.
Indien je te veel wachtwoorden moet onthouden, kan je gebruik maken van een wachtwoordkluis. Wachtwoord-kluizen slaan al de wachtwoorden versleuteld op in een beveiligd bestand. Dit bestand wordt geopend met één sterk wachtwoord. Dit wil zeggen dat er maar één wachtwoord meer nodig is om alle wachtwoorden veilig te ontsleutelen.
De volgende wachtwoordkluizen werden veilig bevonden voor onze school:
Indien je echt met veel privacygevoelige persoonsgegevens werkt, is vaak een combinatie van gebruikersnaam en wachtwoord niet voldoende veilig. De gebruikersnaam is meestal gekend en een wachtwoord kan eventueel gestolen of ontfutseld worden. Daarom bestaan er two-factor authenticatiemethodes.
Een voorbeeld: Naast het gebruik van een gebruikersnaam en wachtwoord krijg je op je gsm een beveiligingscode doorgestuurd die je dan extra moet ingeven vooraleer je toegang krijgt. Naast het weten van de gebruikersnaam en wachtwoord is het dus ook nodig dat je iets in je bezit hebt, zoals bijvoorbeeld een telefoon waar men via sms een code doorgestuurd krijgt.
Deze systemen zijn veel veiliger en worden binnen VZW Klimop Tongeren dan ook toegepast voor iedereen die aan de meest privacygevoelige gegevens binnen de onderwijsinstelling kan. Concreet denken we hierbij aan iedereen die toegang heeft tot geheime gegevens (zie classificatie van gegevens en de toegangsmatrices).
Aan een slecht wachtwoordbeleid zijn risico’s verbonden. Met dit beleid willen we onderstaande risico’s verkleinen en/of uitschakelen.
Rond deze risico’s worden alle personeelsleden, maar zeker ook de leerlingen en ouders, binnen VZW Klimop Tongeren actief en herhaaldelijk gesensibiliseerd.
O.a. via Safe on Web kan er veel praktisch materiaal gevonden worden rond dit beleid en rond de hier vermelde risico’s:
VZW Klimop Tongeren VZW Klimop Tongeren, gevestigd aan Kanjelstraat 1 bus 2, 3700 Tongeren, is verantwoordelijk voor de verwerking van persoonsgegevens zoals weergegeven in deze privacyverklaring.
Contactgegevens:
Link: www.boklimop.bE
Adres: Kanjelstraat 1 bus 2, 3700 Tongeren
Tel.: +32 12/23.57.01
Jocelyne Snellings is de Functionaris Gegevensbescherming van VZW Klimop Tongeren. Zij is te bereiken via directie@klimoptongeren.be
Persoonsgegevens die wij verwerken
VZW Klimop Tongeren verwerkt geen persoonsgegevens omdat op onze site geen persoonsgegevens achter gelaten kunnen worden. We gebruiken enkel een directe link naar onze Facebook-pagina.
Bijzondere en/of gevoelige persoonsgegevens die wij verwerken
Onze website en/of dienst heeft niet de intentie gegevens te verzamelen over websitebezoekers die jonger zijn dan 16 jaar. Tenzij ze toestemming hebben van ouders of voogd. We kunnen echter niet controleren of een bezoeker ouder dan 16 is. Wij raden ouders dan ook aan betrokken te zijn bij de online activiteiten van hun kinderen, om zo te voorkomen dat er gegevens over kinderen verzameld worden zonder ouderlijke toestemming. Als je er van overtuigd bent dat wij zonder die toestemming persoonlijke gegevens hebben verzameld over een minderjarige, neem dan contact met ons op via privacy@klimoptongeren.be, dan verwijderen wij deze informatie.
Met welk doel en op basis van welke grondslag wij persoonsgegevens verwerken
VZW Klimop Tongeren verwerkt jouw persoonsgegevens voor de volgende doelen:
- Je te kunnen bellen of e-mailen indien dit nodig is om onze dienstverlening uit te kunnen voeren
Hoe lang we persoonsgegevens bewaren
VZW Klimop Tongeren bewaart je persoonsgegevens niet langer dan strikt nodig is om de doelen te realiseren waarvoor je gegevens worden verzameld. Wij hanteren de volgende bewaartermijnen voor de volgende (categorieën) van persoonsgegevens: (Categorie) persoonsgegevens > Bewaartermijn > Reden Personalia > Bewaartermijn > Reden Adres > Bewaartermijn > Reden Enzovoort > Bewaartermijn > Reden
Delen van persoonsgegevens met derden
VZW Klimop Tongeren verstrekt uitsluitend aan derden en alleen als dit nodig is voor de uitvoering van onze overeenkomst met jou of om te voldoen aan een wettelijke verplichting.
Cookies, of vergelijkbare technieken, die wij gebruiken
VZW Klimop Tongeren gebruikt alleen technische en functionele cookies. En analytische cookies die geen inbreuk maken op je privacy. Een cookie is een klein tekstbestand dat bij het eerste bezoek aan deze website wordt opgeslagen op jouw computer, tablet of smartphone. De cookies die wij gebruiken zijn noodzakelijk voor de technische werking van de website en jouw gebruiksgemak. Ze zorgen ervoor dat de website naar behoren werkt en onthouden bijvoorbeeld jouw voorkeursinstellingen. Ook kunnen wij hiermee onze website optimaliseren. Je kunt je afmelden voor cookies door je internetbrowser zo in te stellen dat deze geen cookies meer opslaat. Daarnaast kun je ook alle informatie die eerder is opgeslagen via de instellingen van je browser verwijderen.
Gegevens inzien, aanpassen of verwijderen
Je hebt het recht om je persoonsgegevens in te zien, te corrigeren of te verwijderen. Daarnaast heb je het recht om je eventuele toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de verwerking van jouw persoonsgegevens door VZW Klimop Tongeren en heb je het recht op gegevensoverdraagbaarheid. Dat betekent dat je bij ons een verzoek kan indienen om de persoonsgegevens die wij van jou beschikken in een computerbestand naar jou of een ander, door jou genoemde organisatie, te sturen. Je kunt een verzoek tot inzage, correctie, verwijdering, gegevensoverdraging van je persoonsgegevens of verzoek tot intrekking van je toestemming of bezwaar op de verwerking van jouw persoonsgegevens sturen naar privacy@klimoptongeren.be. Om er zeker van te zijn dat het verzoek tot inzage door jou is gedaan, vragen wij jou een kopie van je identiteitsbewijs met het verzoek mee te sturen. Maak in deze kopie je pasfoto, MRZ (machine readable zone, de strook met nummers onderaan het paspoort), paspoortnummer en Burgerservicenummer (BSN) zwart. Dit ter bescherming van je privacy. We reageren zo snel mogelijk, maar binnen vier weken, op jouw verzoek . VZW Klimop Tongeren wil je er tevens op wijzen dat je de mogelijkheid hebt om een klacht in te dienen bij de nationale toezichthouder, de Autoriteit Persoonsgegevens. Dat kan via de volgende link: https://autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/tip-ons
Hoe wij persoonsgegevens beveiligen
VZW Klimop Tongeren neemt de bescherming van jouw gegevens serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Als jij het idee hebt dat jouw gegevens toch niet goed beveiligd zijn of er aanwijzingen zijn van misbruik, neem dan contact op met onze klantenservice of via privacy@klimoptongeren.be