Hoe goed is de privacy van leerlingen geborgd?

soc_logo2De cloud is een feit. Ook in het onderwijs is deze trend niet te stoppen. Persoonsgegevens van leerlingen en personeel worden in de cloud opgeslagen in educatieve en administratieve applicaties. Maar hoe is het met de beveiliging van deze informatie gesteld? En wie mag wat met deze gegevens? Zijn daar wel afspraken over gemaakt en hoe worden deze nageleefd? Dat gebeurt ons niet denkt u misschien?

Enkele voorbeelden:

Vorig jaar

1 miljoen accountgegevens van Dropbox gehackt.

Sony werd eind november gehackt, waarna er grote hoeveelheden vertrouwelijke documenten van het bedrijf op het internet werden geplaatst. De hackers hebben naar verluidt een “financiële vergoeding” gevraagd, die Sony negeerde. Daarna zouden de bestanden online zijn geplaatst.

Afgelopen week

Amerikaanse overheid gehackt: ‘Data van zo’n vier miljoen ambtenaren ligt op straat.’ 

Een groep hackers is ingebroken in het zogenaamde Office of Personnel Management en heeft data gestolen van vier miljoen huidige en voormalige werknemers van de Amerikaanse overheid. Die gelooft dat de daders afkomstig zijn uit China. Er zou niet alleen ingebroken zijn in de systemen van het OPM, maar ook in het datacenter van interne zaken. Volgens de New York Times menen beveiligingsexperts dat het gaat om dezelfde groep die eerder de bedrijven Anthem en Primera wist te kraken.

Vandaag (7-6-2015) in het nieuws

De Nederlandse chipmachinefabrikant ASML zou zijn gehackt door hackers in dienst van de Chinese overheid.

Hoe dan verder?

Steeds meer komt het besef in het onderwijs dat er gebruikers- en bewerkersovereenkomsten afgesloten moeten worden met toeleveranciers van educatieve software en administratieve systemen in de cloud. Dit regelt wat er wel en wat er niet mag met de persoonsgegevens. Minder of geen aandacht wordt nog geschonken aan welke procedurele en technische maatregelen de toeleverancier getroffen heeft om misbruik te voorkomen of welke procedures daar aan ten grondslag liggen. Uw toeleverancier kan te goeder trouw zijn, maar dat zegt nog niets over de grote buitenwereld die internet heet.

SAS70 en opvolger

SAS70 (type I en type II) waren accountancy standaarden die bij de opkomst van de cloud gebruikt/misbruikt werden kwaliteitsnormen voor datacenters en cloudapplicaties te certificeren, terwijl SAS bedoeld was voor financiële rapportages. De American Institute of Certified Public Accountants (AICPA) constateerde een snelle groei in outsourcing en cloudtoepassingen en introduceerde speciaal voor dit doel in 2011 de Service Organization Controls (SOC) rapportages, verdeeld in SOC 1, 2 en 3.

report_comparison

In Nederland zien we nog maar weinig hier van. Enkele voorbeelden: In 2013 behaalde Data Center Arnhem als eerste in Nederland de SOC 2-2 certificering. Datacenterleverancier Leaseweb behaalde 29 april van dit jaar een SOC 1, type II certificering. (AFAS maakt gebruik van Leaseweb voor hosting van haar clouddiensten).

Hoe zit het met de miljoenen leerlinggegevens die inmiddels in cloudtoepassingen opgeslagen zijn? Weten onderwijsinstellingen wat de procedurele en technische maatregelen zijn die hun toeleveranciers genomen hebben? Dat de deuren van het datacenter op slot zijn en er een firewall aanwezig is geloven we direct maar dekt de lading volstrekt niet. Weet u met welke techniek gebruikersgegevens beveiligd zijn en of dit adequaat is?

Welke educatieve of administratieve cloudleverancier komt het eerste in het nieuws als gehackt systeem? Wordt het niet hoog tijd dat het onderwijs bij aanbestedingen om waarborgen en certificeringen gaat vragen?

 

Nb.: Technieken om wachtwoorden te beveiligen en de kosten die gemoeid zijn met het onrechtmatig verkrijgen van wachtwoorden in doorlooptijd van 1 jaar.

6Iwa2

Een wachtwoord bestaand uit uitsluitend letters is dus absoluut onveilig! Hoe veilig is uw wachtwoord? En welke techniek past uw leverancier toe? Hoe snel kan uw wachtwoord gehackt worden…?

 

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *