Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Veilig (digitaal) toetsen
E-merge event, 18 november 2015
Wie zijn wij?
Luc Petersen – Hogeschool Rotterdam
Senior jurist concernstaf
Judie Visser – Hogeschool Leiden
Ervaring: Kwa...
Programma
• Introductie
• Risico’s per fase van de toetsketen
• In subgroepjes brainstormen over maatregelen
• Awareness
•...
Waarom aandacht voor veiligheid toetsketen?
• Ima
Imagoschade – niet alleen die ene opleiding – waarde diploma – kwaliteit...
De (digitale?) toetsketen
constructie klaarmaken afnemen nakijken inzage archiveren vernietigen
Actoren:
Examinator (docen...
Digitaal veiliger?
- Itembank, groot aantal vragen
- Opslag/ back ups centraal mogelijk
- Alle informatie op 1 plaats te b...
Digitaal veiliger?
Digitaal minder kans op lekken?
Risico = kans x impact
Probleem bij digitaal
Kortom…
- Digitaal: niet (on)veiliger maar (deels) anders dan papier
- Switch: uitprinten, toets op papier afnemen?
Ontwerpen klaarmaken
Stelling: hoe grondiger de beveiliging hoe
kleiner de kans op lekken in de toetsketen
Beveiliging en menselijk gedrag
Beveiliging en menselijk gedrag
Afnemen Digitaal of op papier
Afnemen Digitaal of op papier
slechte organisatie
en onrust grote
boosdoener
Geen beginnen aan?
Hogeschool Leiden: een casus
Inventarisatie:
- Zo breed mogelijk (alle fasen)
- Zo veel mogelijk partij...
Waslijst aan risico’s ordenen
Risico’s labelen per fase
Constructie
Klaarmaken
Afnemen
Nakijken
Inzage …
Archiveren …
Vernietigen …
Waar starten?
Grootste risico’s Makkelijk aan te pakken
Vaak veel aandacht voor nodig
lange termijn plan
Direct effect, go...
Voorbeeld
- Starten met Awareness - en dit blijven doen
- Alle IM-systemen langs lat van BIV-classificatie, veilig
genoeg ...
Voorbeeld
- Instructie bij printer, hoe opdracht verwijderen?
- Instructie in klaslokalen: hoe computer locken?
Korte brainstormsessie
Welke oplossingen zijn er te bedenken voor lekken
van toetsinformatie bij (digitale) afname van toe...
Opbrengst korte brainstormsessie
Opbrengst korte brainstormsessie
Opbrengst korte brainstormsessie
Opbrengst korte brainstormsessie
Opbrengst korte brainstormsessie
Opbrengst korte brainstormsessie
Opbrengst korte brainstormsessie
Awareness campagne HHs
Bewustwording creëren:
- Waarde van toetsen en bijbehorende risico’s.
- Eigen invloed op de beveili...
Awareness campagne HHs
Awareness campagne HHs
Awareness campagne HHs
Lessons learned & tips
- Draagvlak en sense of urgency op managementniveau is essentieel
- Beschrijf het hele toetsproces ...
1. Privacy en digitale toetsen
- Veiligheid binnen de digitale toetsketen
(infrastructuur, lokalen, plaatsing pc’s, enz.)
...
2. Vizier van de Wbp
Elk systematische verzameling van gegevens
(digitaal en op papier)
Termen Wbp:
- Verantwoordelijke
- ...
3. Wat is een persoonsgegeven?
Elke informatie herleidbaar tot een natuurlijke
persoon.
voorbeelden:
- naam
- adres
- tele...
4. Wat is verwerken?
Elke handeling met betrekking tot persoonsgegevens, in
ieder geval
- verzamelen
- vastleggen (registr...
5. Nieuwe wetgeving (1)
1. nationaal
Wet Datalekken
- wijzigt de Wet bescherming persoonsgegevens
- nieuw artikel: 34a Wbp...
6. Nieuwe wetgeving (2)
Nieuw artikel 34a Wbp
Definitie datalek (lid 1):
1. een inbreuk op de beveiliging van persoonsgege...
7. Nieuwe wetgeving (3)
CBP: voorbeelden van datalekken zijn
- Kwijtgeraakte usb-stick;
- Gestolen laptop;
- Inbraak door ...
8. Nieuwe wetgeving (4)
Eisen artikel 14 Wbp:
1. hogeschool heeft zorgplicht dat bewerker de verplichtingen
nakomt om data...
9. Nieuwe wetgeving (5)
Datalekken:
Nieuwe naam CBP:
Autoriteit Persoonsgegevens
Boeten tot € 810.000
(minimum € 20.250)
W...
10. Europese Privacy Verordening (1)
1. Hogescholen moeten expliciet privacybeleid gaan voeren.
2. Recht op/om:
- toegang ...
11. Europese Privacy Verordening (2)
Wat is nieuw?
Privacybeleid: toegankelijk en transparant
Alle verwerkingen documenter...
12. Toetsgegevens in de cloud (1)
Opslag in de cloud (externe bewerker):
Risico op torenhoge boeten bij datalek
Voorwaarde...
13. Toetsgegevens in de cloud (2)
Denk om:
- Minimaliseren (niet meer gegevens dan strikt noodzakelijk
proportionaliteit)
...
Afronding
Vragen?
Meer weten?
- Luc Petersen, l.m.petersen@hr.nl
- Judie Visser, visser.j@hsleiden.nl
- Dorinde Winkelaar,...
Upcoming SlideShare
Loading in …5
×

Presentatie veiligheid in toetsen e merge event

246 views

Published on

Presentatie tbv E-Merge Event 18-11-2015

Published in: Education
  • Be the first to comment

  • Be the first to like this

Presentatie veiligheid in toetsen e merge event

  1. 1. Veilig (digitaal) toetsen E-merge event, 18 november 2015
  2. 2. Wie zijn wij? Luc Petersen – Hogeschool Rotterdam Senior jurist concernstaf Judie Visser – Hogeschool Leiden Ervaring: Kwaliteitzorg, vz Toetscommissie, vz Examencommissie Projectleider Veiligere toetsketen Dorinde Winkelaar – De Haagse Hogeschool Onderwijsadviseur, aandachtsgebied o.a. (digitale) toetsing Projectleider Herinrichting toetsproces
  3. 3. Programma • Introductie • Risico’s per fase van de toetsketen • In subgroepjes brainstormen over maatregelen • Awareness • Risico’s persoonsgegevens • Vragen en afronding
  4. 4. Waarom aandacht voor veiligheid toetsketen? • Ima Imagoschade – niet alleen die ene opleiding – waarde diploma – kwaliteit professional
  5. 5. De (digitale?) toetsketen constructie klaarmaken afnemen nakijken inzage archiveren vernietigen Actoren: Examinator (docent) Meelezer Toetscommissie Faculteits-/examenbureau Repro of digitaal toetscentrum Surveillanten Examencommissie Management
  6. 6. Digitaal veiliger? - Itembank, groot aantal vragen - Opslag/ back ups centraal mogelijk - Alle informatie op 1 plaats te beveiligen - Makkelijk wisselen in volgorde van vragen en antwoordopties - Nakijken zonder toets mee naar huis te nemen - Digitale, gecontroleerde inzage
  7. 7. Digitaal veiliger? Digitaal minder kans op lekken? Risico = kans x impact
  8. 8. Probleem bij digitaal
  9. 9. Kortom… - Digitaal: niet (on)veiliger maar (deels) anders dan papier - Switch: uitprinten, toets op papier afnemen?
  10. 10. Ontwerpen klaarmaken Stelling: hoe grondiger de beveiliging hoe kleiner de kans op lekken in de toetsketen
  11. 11. Beveiliging en menselijk gedrag
  12. 12. Beveiliging en menselijk gedrag
  13. 13. Afnemen Digitaal of op papier
  14. 14. Afnemen Digitaal of op papier slechte organisatie en onrust grote boosdoener
  15. 15. Geen beginnen aan? Hogeschool Leiden: een casus Inventarisatie: - Zo breed mogelijk (alle fasen) - Zo veel mogelijk partijen - Zo open mogelijk (iedereen loopt risico) constructie klaarmaken afnemen nakijken inzage archiveren vernietigen
  16. 16. Waslijst aan risico’s ordenen
  17. 17. Risico’s labelen per fase Constructie Klaarmaken Afnemen Nakijken Inzage … Archiveren … Vernietigen …
  18. 18. Waar starten? Grootste risico’s Makkelijk aan te pakken Vaak veel aandacht voor nodig lange termijn plan Direct effect, goed voor bewustwording
  19. 19. Voorbeeld - Starten met Awareness - en dit blijven doen - Alle IM-systemen langs lat van BIV-classificatie, veilig genoeg voor toetsen?
  20. 20. Voorbeeld - Instructie bij printer, hoe opdracht verwijderen? - Instructie in klaslokalen: hoe computer locken?
  21. 21. Korte brainstormsessie Welke oplossingen zijn er te bedenken voor lekken van toetsinformatie bij (digitale) afname van toetsen? Elke groep een fase: constructie klaarmaken afnemen nakijken inzage archiveren vernietigen
  22. 22. Opbrengst korte brainstormsessie
  23. 23. Opbrengst korte brainstormsessie
  24. 24. Opbrengst korte brainstormsessie
  25. 25. Opbrengst korte brainstormsessie
  26. 26. Opbrengst korte brainstormsessie
  27. 27. Opbrengst korte brainstormsessie
  28. 28. Opbrengst korte brainstormsessie
  29. 29. Awareness campagne HHs Bewustwording creëren: - Waarde van toetsen en bijbehorende risico’s. - Eigen invloed op de beveiliging van toetsen. - Binde vlekken op het eigen gedrag. Doel: constructieve gesprek over toetsveiligheid aanjagen binnen opleidingsteams
  30. 30. Awareness campagne HHs
  31. 31. Awareness campagne HHs
  32. 32. Awareness campagne HHs
  33. 33. Lessons learned & tips - Draagvlak en sense of urgency op managementniveau is essentieel - Beschrijf het hele toetsproces (digitale én fysieke stappen) - Need to know? - Accountability - Detectie/tamper evident - Afstemming met andere diensten (IT, security officier, repro, digitaal toetscentrum, etc.) essentieel - Keep IT simple - Zorg voor voldoende (nabije en functionele) ondersteuning - Praat erover, leg belang uit! - Meeste winst: cultuur en awareness
  34. 34. 1. Privacy en digitale toetsen - Veiligheid binnen de digitale toetsketen (infrastructuur, lokalen, plaatsing pc’s, enz.) - Privacy-aspecten vergen meer dan veiligheid binnen de toetsketen Aanleiding: - Wbp: meldplicht datalekken - Europese Privacy Verordening Gevolg: - hoge boeten op datalekken en non-compliance
  35. 35. 2. Vizier van de Wbp Elk systematische verzameling van gegevens (digitaal en op papier) Termen Wbp: - Verantwoordelijke - Bewerker - Betrokkene - Verwerken van persoonsgegevens
  36. 36. 3. Wat is een persoonsgegeven? Elke informatie herleidbaar tot een natuurlijke persoon. voorbeelden: - naam - adres - telefoonnummer - e-mailadres - foto - toetsresultaten student - IP-adres computer
  37. 37. 4. Wat is verwerken? Elke handeling met betrekking tot persoonsgegevens, in ieder geval - verzamelen - vastleggen (registreren, opslaan) - verstrekken (zoals doorsturen, verspreiden, elk vorm van beschikbaar stellen) - samenbrengen - met elkaar in verband brengen - afschermen - uitwissen - vernietigen
  38. 38. 5. Nieuwe wetgeving (1) 1. nationaal Wet Datalekken - wijzigt de Wet bescherming persoonsgegevens - nieuw artikel: 34a Wbp. 2. Europees Europese Verordening Gegevensbescherming - Harmoniseert privacyregels - Gevolg: alle privacyregels in EU-lidstaten uniform
  39. 39. 6. Nieuwe wetgeving (2) Nieuw artikel 34a Wbp Definitie datalek (lid 1): 1. een inbreuk op de beveiliging van persoonsgegevens tegen verlies of onrechtmatige verwerking, en 2. die leidt tot de aanzienlijke kans op ernstig nadelige gevolgen 3. dan wel ernstig nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
  40. 40. 7. Nieuwe wetgeving (3) CBP: voorbeelden van datalekken zijn - Kwijtgeraakte usb-stick; - Gestolen laptop; - Inbraak door een hacker; - Malware-ransomware; - Verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden. Maar ook: - Controle kwijt zijn (hosting: weet jij waar je gegevens zijn?); - Onbeveiligd excel-bestand e-mailen naar derden.
  41. 41. 8. Nieuwe wetgeving (4) Eisen artikel 14 Wbp: 1. hogeschool heeft zorgplicht dat bewerker de verplichtingen nakomt om datalekken te melden 2. beveiligingsafspraken en meldplicht schriftelijk vastleggen. Opnemen meldplicht bewerker aan hogeschool (nieuwe en bestaande contracten); Melden binnen 72 uur na datalek!! Inhoud van de melding: - beschrijving gevolgen inbreuk; - de maatregelen om de gevolgen te verhelpen. NB: bij voorkeur alle incidenten en niet alleen de meldingsplichtige beveiligingsincidenten.
  42. 42. 9. Nieuwe wetgeving (5) Datalekken: Nieuwe naam CBP: Autoriteit Persoonsgegevens Boeten tot € 810.000 (minimum € 20.250) Wetsvoorstel: eerst bindende aanwijzing
  43. 43. 10. Europese Privacy Verordening (1) 1. Hogescholen moeten expliciet privacybeleid gaan voeren. 2. Recht op/om: - toegang tot gegevens - wijziging, aanvulling, rectificatie - je gegevens te laten wissen - je gegevens mee te nemen - vergeten te worden 3. Strikte naleving bewaartermijnen 4. Materiële normschending leidt tot boete 5. Boete tot 100.000.000 of 5% van de wereldwijde jaaromzet
  44. 44. 11. Europese Privacy Verordening (2) Wat is nieuw? Privacybeleid: toegankelijk en transparant Alle verwerkingen documenteren Plicht om verwerkingen te beperken Privacy by design en Privacy by default Privacy Impact Assessment Informatieplicht Toestemming: bij gezagsverhouding geen juiste grondslag Recht om vergeten te worden Verbod op ‘profiling’ Meldplicht datalekken Dataportabiliteit Strikte naleving bewaartermijnen
  45. 45. 12. Toetsgegevens in de cloud (1) Opslag in de cloud (externe bewerker): Risico op torenhoge boeten bij datalek Voorwaarden: - Passend beschermingsniveau (HvJEU: streep door Safe harbor verdrag) - Bewerkersovereenkomst - (Surf komt met model)
  46. 46. 13. Toetsgegevens in de cloud (2) Denk om: - Minimaliseren (niet meer gegevens dan strikt noodzakelijk proportionaliteit) - Pseudonimiseren of anonimiseren - Encryptie - Beveiligde verbinding - Verwijderen van persoonsgegevens - Controle
  47. 47. Afronding Vragen? Meer weten? - Luc Petersen, l.m.petersen@hr.nl - Judie Visser, visser.j@hsleiden.nl - Dorinde Winkelaar, D.D.Winkelaar@hhs.nl - Richtsnoer veilige digitale afname van SURF: https://www.surf.nl/binaries/content/assets/surf/nl/kennisbank/2013/r ichtsnoer-veilige-digitale-toetsafname-versie1.05-ttl.pdf - Nieuw richtsnoer veilig toetsen van SURF: wordt verwacht na de kerst

×