Met een klant besprak ik deze week een privacy probleem. De klant is een opleidingsinstituut en ze heeft veel verschillende klanten. Zij zijn als één van de eerste overgegaan naar versie 3.5 van Moodle. Tot zover geen probleem.
De klant gebruikt het berichtensysteem in Moodle actief om berichten te sturen tussen docenten en deelnemers. Het berichtensysteem van Moodle is overal in Moodle toegankelijk zowel vanuit een cursus als vanuit je eigen profiel. Het staat op de context van de site en is daarmee voor elke deelnemer te gebruiken. In het berichtensysteem kan je ook zoeken naar andere deelnemers. Door het intypen van een naam, krijg je verschillende namen en profielfoto’s van bestaande deelnemers te zien. En dat is een privacy probleem. Ook in de privacyverklaring van het opleidingsinstituut staat niet dat de namen en foto’s van alle deelnemers te vinden zijn. Wel van medecursisten en docenten van dezelfde opleiding.
Maar hoe groot is dit risico eigenlijk? En wat is de impact? Dat zal per organisatie en inrichting van Moodle afhankelijk zijn. Om een goed beeld te krijgen van alle risico’s en waar je echt maatregelen moet nemen, moest ik denken aan een rekenmethode die ik gebruik in de ISO 27001 certificering (informatiebeveiliging). Elke kans en impact van een risico schat je in met een hoog, middel of laag. Een hoog telt voor 3, middel voor 2 en laag voor 1. Door de waardes van kans en impact te vermenigvuldigen krijg je een berekening als hieronder.
Bij een waarde van 6 of meer moet je extra maatregelen nemen.
Als ik dit toepas voor het berichtensysteem dan krijg je (mijn inschatting):
* Kans dat persoonsgegevens toegankelijk zijn voor anderen: hoog (3)
* Impact op gebruikers: middel (2)
De som wordt: 2 * 3 = 6 (en dat betekent maatregelen nemen)
Maak een overzicht in een spreadsheet van de belangrijke processen en onderdelen in Moodle en vul de kans en impact in. Laat de berekening los, pas voorwaardelijke opmaak toe met kleurtjes en je ziet gelijk waar je extra maatregelen moet nemen. Dit kunnen technische, maar ook organisatorische en juridische maatregelen zijn.
Wil je meer weten over de AVG en Moodle, volg dan de workshop op 22 november 2018 in de Avetica Academie.
Je moet ingelogd zijn om een reactie te plaatsen.