Een greep uit de lijst met privacy incidenten

Registratie van incidenten

Ruim twee jaar nadat de AVG van kracht is geworden blikken we terug en kijken we naar welke privacy incidenten hebben plaatsgevonden. Avetica registreert elke privacy- en informatiebeveiligingsincident van onszelf en van onze klanten, want dit is een onderdeel van onze ‘privacy-boekhouding’.

Wat zijn de meest opmerkelijke privacy incidenten die klanten van Avetica hebben gemeld bij ons?

Wat opvalt in onderstaande lijst is dat veel gemelde privacy incidenten niet over de code van Moodle zelf gaat, maar over de wijze waarop Moodle is ingericht of wordt gebruikt. Een aantal meldingen gaan over algemene privacyzaken.

Overzicht

• Een opleidingsinstituut gebruikte in Moodle 3.5 het berichtensysteem in cursussen, maar alle 8.000 gebruikers waren in het berichtensysteem vindbaar;
• Global Search was niet goed geconfigureerd. Eén recht van gebruikers stond te ver open waardoor profielen doorzoekbaar waren voor diverse klanten van deze uitgeverij;
• Een opleidingsinstituut wees een gebruiker met rol ‘docent’ toe in cursus i.p.v. rol ‘student’;
• Een school stuurde een lijst met gebruikers om te uploaden met veel te veel gegevens (o.a. BSN nummers);
• Avetica verwijderde een Moodle site een maand te vroeg (i.v.m. opzegging);
• Discussie met een klant over het wel/niet melden van een datalek na serverstoring.

Deze laatste melding heeft mij persoonlijk meer inzicht gegeven in de breedte van het begrip ‘datalek‘. Als een site langdurig niet beschikbaar is door een storing of ransomware, ziet de wetgever dit als een datalek. Ook als is er in de letterlijke betekenis geen data kwijtgeraakt of gekopieerd is.

Bewustwording en training

Eén van de sterke punten uit de AVG is de focus op bewustwording. Een aantal incidenten had voorkomen kunnen worden als er meer bewustwording en training was gegeven. Het opleidingsbeleid met betrekking tot de privacy moet trouwens ook een onderdeel zijn van uw privacy boekhouding.

Passende beveiliging

Een ander belangrijk punt is het principe van passende beveiliging. Wat passend is vertelt de wetgever niet. Maar een Moodle site die niet meer ondersteund wordt met updates en bugfixes valt in ieder geval niet onder passende beveiliging. Elke Gegevensverantwoordelijke moet daarom zorgen dat zijn Moodle site tijdig worden geüpgraded. Zie onze vele berichten over de releases van Moodle.

ISAE 3000 rapportage

Wil je accountable zijn met je privacy boekhouding tegenover jouw klanten? Overweeg dan als organisatie een privacy raamwerk op te stellen. Avetica heeft als basis het NOREA Privacy Controle Framework gebruikt. Hiervan laten wij jaarlijks een audit doen door een onafhankelijke Register EDP-auditor. Het resultaat is een ISAE 3000 rapportage. Deze rapportage geeft het management en de Functionaris Gegevensbescherming (of Data Protection Officer) van onze klanten inzicht in de processen van Avetica. Ook voorkomt deze ISAE-3000 rapportage dat elke klant een onafhankelijke privacy audit moet laten uitvoeren bij Avetica. En dat scheelt weer kosten bij onze klanten.