Auteur: Peter Tak

Onduidelijkheid gebruik persoonsgegevens scholen door IT leveranciers

Onderzoek wijst problemen aan

PWC heeft in opdracht van het ministerie van OCW een onderzoek uitgevoerd naar privacy en informatiebeveiliging in het primair en voortgezet onderwijs. Hieruit blijkt dat het slecht gesteld is met de beveiliging van persoonsgegevens van leerlingen in het onderwijs. Scholen weten niet of ze aan de wet voldoen en hebben geen inzicht in de ICT-beveiliging. ICT-leveranciers maken de dienst uit. In het rapport staat dat scholen de Wet Bescherming Privacy en beveiligingsmaatregelen toepassen op basis van “gezond verstand”. De exacte eisen die de Wet Bescherming Persoonsgegevens stelt t.a.v. de verwerking zijn bij geen van de geïnterviewde instellingen bekend en het is onduidelijk in hoeverre de leveranciers voldoende maatregelen hebben getroffen, en of deze effectief functioneren. Omdat er een commercieel belang is om breder gebruik te maken van de data is er een toenemend risico dat dit ook zal gebeuren.

kids-computers

Verantwoordelijkheid voor beveiliging ligt bij schoolbestuur

Als blijkt dat de beveiliging bij uw leverancier niet op orde is of de gegevens van uw leerlingen worden gebruikt voor oneigenlijke doeleinden dan blijft het schoolbestuur verantwoordelijk. Ook de ouders zullen in dat geval verhaal halen bij het schoolbestuur. Het is dus belangrijk dat u als schoolbestuurder weet hoe uw leverancier met de gegevens van uw school omgaat.

PTA security en de Technologie Coöperatie bieden hulp

De leden van De Technologie Coöperatie hebben samen jarenlange ervaring met ICT in het primair en secundair onderwijs en de juridische aspecten bij ICT contracten. Hierdoor kunnen we het onderwijs een unieke aanbieding doen waarbij voor een vast bedrag een scan wordt gedaan van de overeenkomsten met leveranciers van educatieve en administratieve online diensten.

Duidelijkheid voor een standaard tarief

Aan de hand van een kort, gedegen en objectief onderzoek wordt bepaald op welke punten u risico’s loopt. De scan wordt uitgevoerd door een ervaren informatiebeveiligingsspecialist en IT auditor. Ook wordt gekeken naar de gebruiksvoorwaarden en de eisen vanuit wet en regelgeving. Voor de beoordeling van juridische aspecten wordt gebruik gemaakt van de input van een jurist. Het resultaat van de quickscan is een rapport met een analyse van door u gebruikte diensten, of deze voldoen aan privacy wetgeving en de belangrijkste beveiligingseisen en welke risico’s u loopt. Voor slechts € 1.499 (exclusief BTW) kunt u 3 diensten van leveranciers laten controleren.

Neem nu contact op voor een quick scan van de door u gebruikte online onderwijs diensten.

Gebaseerd op een nieuwsbericht op webwereld.nl en het Rapport “Nulmeting Privacy & Beveiliging Primair en Voortgezet Onderwijs”

Resultaten website security scans

Op de promotiedagen voor het bedrijfsleven in Noord Nederland heeft PTA security samen met andere leden van De Technologie Coöperatie gratis website scans uitgevoerd voor bezoekers van de beursstand. Terwijl Rogier Lankhorst en Trics Media SEO scans uitvoerden om de vindbaarheid in zoekmachines te toetsen heeft PTA security een flink aantal website security scans uitgevoerd waarbij op de meest voorkomende beveiligingslekken in websites werd gecontroleerd.

90% van de scans betrof websites van bedrijven in het MKB segment. De resultaten van de beveiligingsscans zijn aan de aanvragers meegegeven en daarna vernietigd. Van alle scans zijn anoniem wel scores genoteerd voor statistische doeleinden.

1 op 3 websites is lek

Bij 20% procent van de websites werden ernstige beveiligingslekken gevonden. Het ging daarbij voornamelijk om het gebruik van verouderde software waardoor de website eenvoudig te hacken was. De reactie van de meeste website eigenaren was: “Ik dacht dat mijn website bouwer of website hoster daar wel op zouden letten”

scanresultsbcdIn 35% van de websites werden issues aangetroffen waardoor het eenvoudig was vertrouwelijke communicatie af te luisteren of in te breken als er werd ingelogd via een openbaar wifi netwerk. Ondanks het feit dat het slechts een zeer beperkte beveiligingstest betrof zijn er dus in één op de drie websites beveiligingslekken aangetroffen en was één op de vijf websites “zo lek als een mandje”. In enkele gevallen ging het hierbij zelfs om websites waar bijvoorbeeld een webshop of geautomatiseerd order proces aan gekoppeld was. De eigenaren van deze websites hadden nog niet eerder stilgestaan bij de risico’s hiervan.

Uit gesprekken met verschillende website ontwikkelaars en website hosters bleek ook dat een deel van hun klanten er vanuit kostenoogpunt bewust voor gekozen had de software niet te laten updaten.

Bewustwording

De conclusie die uit het bovenstaande getrokken kan worden is dat de meeste MKB bedrijven zich niet bewust zijn van de mogelijke risico’s die men loopt door onvoldoende beveiliging van hun website. Door de zware concurrentie op prijs bieden website hosters abonnementen aan waarbij de klanten zelf verantwoordelijk zijn voor het updaten van de software terwijl die klanten niet op de hoogte zijn van de risico’s als men dat niet doet. Door de constante stroom van nieuwe beveiligingslekken in software is onderhoud aan een website geen optie meer maar een noodzaak.

Verantwoordelijkheid

Hoewel de eigenaar van een website verantwoordelijk blijft zouden website hosters en ontwikkelaars hun verantwoordelijkheid als “expert” moeten nemen en hun klanten beter moeten gaan adviseren over basis beveiligingsmaatregelen en de risico’s van het niet up-to-date houden van een website.

De goede dingen doen

Als je website belangrijk is voor je bedrijf, neem dan minimaal de volgende maatregelen:

  • Controleer minimaal wekelijks (maar liever dagelijks) of er updates voor de gebruikte software beschikbaar zijn (en installeer deze) Als het mogelijk is maak dan gebruik van geautomatiseerde updates.
  • Gebruik veilige wachtwoorden (minimaal 10 tekens met een combinatie van (hoofd)letters, cijfers en leestekens).
  • Laat je website regelmatig scannen op beveiligingslekken.

PTA security kan uw website éénmalig of op abonnementsbasis controleren op beveiligingsproblemen. Heb je een webshop of ordersysteem aan de website gekoppeld of heb je via je website toegang tot vertrouwelijke informatie of persoonsgegevens laat dan je website goed testen door een ervaren ethical hacker. Ook dit kan PTA security voor u regelen. Eventuele aangetroffen problemen kunnen desgewenst door de website ontwikkelaars en hosting experts van De Technologie Coöperatie worden opgelost. Klik hier voor meer informatie.