Theo Polman over de belangrijkste trends in privacy

“Bovendien verharden de ransomware-aanvallen: getroffenen worden onder druk gezet om hoge bedragen te betalen voor het terugkrijgen van de gegevens en slachtoffers worden gechanteerd.” Andere onderwerpen die hij aan bod brengt in dit trendoverzicht zijn de nieuwe EU-regels.

Op 25 mei 2018 werd de Algemene verordening gegevensbescherming (AVG) ingevoerd, de richtlijnen ter bewaking van onze privacy. Als Theo Polman, contractmanager licentie- en productmanagement en AVG-expert bij APS IT-diensten, terugblikt op de vier jaar sinds de invoering, vindt hij dat basisscholen en scholen in het speciaal onderwijs hun zaken goed voor elkaar hebben. “De FG’s (functionaris gegevensbescherming) zijn van hoog niveau. Zij voeren hun werkzaamheden vaak uit voor een aantal scholen. Het basisonderwijs loopt bovendien voorop als het gaat om het belang van de privacy van leerlingen te beschermen. Ook zijn contracten en verwerkingsovereenkomsten goed op orde.”

Balans zoeken

Een uitdaging voor de bescherming van de privacy is wel dat het IT-landschap binnen een school heel complex is. In een Google- of Microsoft-omgeving combineer je applicaties van vele leveranciers, je geeft leerlingen online toegang tot lesstof en er is vaak een startscherm, van waaruit alle applicaties en bestanden toegankelijk zijn. Het zijn complexe ketens die je helemaal moet kennen en beveiligen. “Basisscholen letten goed op de beveiliging en nemen ook hun medewerkers mee in het belang ervan. Het is altijd de balans zoeken. Je kunt extreem streng beveiligen, waardoor je minder risico loopt maar het ook lastiger wordt om je werk te doen. Of je beveiligt minder streng, wat het risico vergroot, maar waardoor je makkelijker kunt werken.”

Ransomware en phishing

Een groot risico voor scholen vormen echter nog steeds de ransomware en phishing-aanvallen. “Die nemen in aantal en hardheid toe. Het wordt voor criminelen steeds makkelijker om die uit te voeren, vanwege de beschikbaarheid van RaaS, Ransomware-as-a-Service, als clouddienst, inclusief handleidingen. Het kost criminelen vrijwel niets om honderden ransomware-aanvallen uit te zetten. Als er daarvan een of twee lukken, betaalt de ‘investering’ zich direct uit. Criminelen komen binnen door een wachtwoord te kraken of doordat iemand op een verkeerde link klikt. In het ergste geval kunnen scholen dan niet meer bij hun eigen computersystemen. Daardoor kan onderwijs geven onmogelijk worden en kunnen bijvoorbeeld rekeningen en salarissen niet meer worden betaald. Slachtoffers van ransomware-aanvallen worden bovendien vaker onder druk gezet om te betalen of bedreigd met het openbaar maken van gegevens. Voor een kwetsbare groep, zoals jonge leerlingen, is dat desastreus.”

Als een school betaalt en de systemen weer beschikbaar zijn, begint het pas. Dan moet de hele ICT-omgeving worden gecontroleerd en opnieuw worden ingericht. “Ook je beveiliging moet je opnieuw inrichten en verbeteren, omdat ze anders te makkelijk opnieuw kunnen binnenkomen.”

Belang van back-ups

Gelukkig zien basisscholen wel steeds meer het belang van het maken van back-ups in en dat kan in het geval van een ransomware-aanval een redding zijn. Theo: “Een back-up is ook een standaardeis als je je wilt verzekeren. Het maakt het verschil tussen je data helemaal kwijt zijn en tijdelijk je data kwijt zijn en weer doorgaan. Dat beperkt de schade nadat je gehackt bent enorm.”

Toen de coronatijd begon en iedereen op afstand ging lesgeven was de hoofdvraag: hoe kunnen we weer lesgeven? En: hoe kunnen we dat veilig doen? Nu lijkt het allemaal meer genormaliseerd en is de aandacht voor beveiliging wat weggevallen, terwijl het aantal aanvallen juist groter is. “Met al het werken in de cloud is mijn advies wel je contracten met leveranciers goed te checken. Je ben zelfs verplicht om met je leverancier afspraken te maken over hoe die de boel beveiligt en ook te checken of die dat echt doet. Check ook of de contracten die je in het verleden afsloot nog kloppen.”

Microsoft-contract

Dit jaar is ook het nieuwe Microsoft-contract voor het basis-, middelbaar en hoger onderwijs ingegaan. Hoe is de privacy in dat contract geregeld? “APS IT-diensten onderhandelt samen met SLBdiensten en SURF over het Microsoft-contract voor het hele Nederlandse onderwijs. Daardoor is het gelukt om met Microsoft dezelfde afspraken op het gebied van privacy te maken als de overheid heeft. Dat biedt een veel betere bescherming dan bij aanschaf van de Microsoft-producten via andere leveranciers,” legt Theo uit. “De komende tijd nemen we de voorwaarden weer onder de loep en bekijken we welke aanpassingen er mogelijk nodig zijn.”

Ontwikkelingen op juridisch vlak

Ten aanzien van privacy is er nog een aantal ontwikkelingen van belang:

• De EU en de VS werken aan een mogelijke opvolger van Privacy Shield. Privacy Shield is een overeenkomst tussen het Amerikaanse Ministerie van Economische Zaken en de Europese Commissie over de uitwisseling van persoonsgegevens tussen bedrijven in de EU en de VS.
• Per 27 december 2022 mogen de oude EU Modelcontracten uit 2010 niet meer worden gebruikt bij overdrachten naar derde landen, maar moeten de nieuwe teksten uit 2021 worden gebruikt.
• Dit jaar heeft onder andere de Franse privacy toezichthouder nieuwe richtlijnen vastgesteld voor het gebruik van Google Analytics.