Naar aanleiding van een privacy-incident(je) bij een klant van ons, delen we wat er gebeurd is en uiteraard de oplossing hiervoor.
Eerst een stukje context. Onze klant maakt gebruikt van Global Search, een nieuwe functionaliteit sinds Moodle 3.1 om allerlei content te doorzoeken. Onze klant verkoopt online leermateriaal aan meerdere klanten en gebruikt hiervoor één Moodle site. Een docent is via het zoeken in Moodle op een profielpagina gekomen van een deelnemer van een andere klant.
Welke oplossingen hebben we samen met onze klant direct doorgevoerd?
1. Stel de zoekzones van Global Search goed in. Voor veel elementen uit Moodle kan je instellen of Global Search dit wel of niet mag doorzoeken. Nu staat het doorzoeken van gebruikers uitgeschakeld.
2. Verander het recht ‘gebruikersprofielen bekijken’ van de rol geauthenticeerde gebruiker. Verbied het recht dat een ingelogde gebruiker een ander profielpagina mag bekijken.
Hoe nu verder? Onze klant is de Gegevensverantwoordelijke en gaat in overleg met betrokkene. Naar aanleiding van die uitkomst zal wel of niet dit datalek gemeld worden bij de Autoriteit Persoonsgegevens.
Of je nu wel of niet Global Search gebruikt in Moodle, controleer de rechten van gebruikers zodat deze privacy-proof zijn en binnen de doeleinden van de verwerking van gegevens passen. En die doeleinden bepalen is ook een taak voor de Gegevensverantwoordelijke.
Je moet ingelogd zijn om een reactie te plaatsen.