Wat houdt ISAE 3000 Type II in?

De ISAE 3000-verklaring bouwt verder op onze bestaande ISO 27001-certificering. Waar ISO 27001 een kwaliteitsmanagementsysteem is voor informatiebeveiliging, gaat ISAE 3000 specifiek in op privacymaatregelen in het kader van de Algemene Verordening Gegevensbescherming (AVG).

Er zijn twee varianten:

• Type I: Toetsing op een bepaald moment: zijn de maatregelen goed opgezet?
• Type II: Toetsing over langere tijd ( bijv.12 maanden): werken de maatregelen ook daadwerkelijk in de praktijk?

Met Type II tonen we dus aan dat onze beveiliging niet alleen op papier staat, maar ook dagelijks wordt nageleefd. Ik vergelijk de ISAE (International Standard for Assurance Engagements) vaak met de financiële boekhouding. De accountant controleert deze en wil van elke transactie een bewijs zien zoals een bonnetje of een factuur. De ‘IT-accountants’ doen tijdens de audits van ISAE 3000 hetzelfde. Van 95 privacy-maatregelen die volgens het Privacy Control Framework van Norea zijn opgesteld, moeten wij bewijsstukken aanleveren.

De ISAE 3000-audit, ook vergelijkbaar met SOC 2, richt zich nadrukkelijk op informatiebeveiliging en privacy, en niet op financiële processen zoals bij ISAE 3402 het geval is. De toetsing is gebaseerd op de zogeheten Trust Service Criteria, opgesteld door het American Institute of Certified Public Accountants (AICPA). Deze criteria omvatten vijf gebieden: Security, Availability (Beschikbaarheid), Processing Integrity (Integriteit), Confidentiality (Geheimhouding) en Privacy. Samen vormen zij het toetsingskader voor een veilige en betrouwbare verwerking van data.

Uniek in de Moodle wereld

Avetica is de enige Moodle Partner in Nederland en België met deze onafhankelijke verklaring. Voor onze klanten, van onderwijsinstellingen tot bedrijven en overheden, betekent dit iets heel concreets: zekerheid op het gebied van privacy. Zij weten dat hun gegevens bij ons in veilige handen zijn en dat we voldoen aan alle eisen die de AVG stelt aan gegevensverwerkers.

Blijvend investeren in veiligheid

Onze klanten zijn de Verwerkingsverantwoordelijken. Zij moeten aantonen dat hun leveranciers zorgvuldig omgaan met persoonsgegevens. Met onze ISAE 3000 Type II verklaring leveren wij dat bewijs proactief. Dat scheelt tijd, vermindert risico’s en geeft rust voor onze klanten. Je weet dat je werkt met een partner die zijn zaken op orde heeft.

Databeveiliging is geen eenmalige inspanning, maar een doorlopend proces. We investeren voortdurend in onze systemen, processen en mensen. Deze hernieuwde certificering is daar een tastbaar bewijs van.

“Onze klanten vertrouwen ons hun data toe. Het is onze verantwoordelijkheid om dat vertrouwen elke dag waar te maken. De ISAE 3000 Type II verklaring laat zien dat we dat ook daadwerkelijk doen.” – Arnout Vree, directeur en oprichting Avetica

Vragen of interesse?

Wil je meer weten over onze aanpak rondom privacy en informatiebeveiliging? Of wil je meer weten over ons update- en upgradebeleid, Neem dan gerust contact met ons op. We vertellen je er graag meer over.

Het bericht Wederom ISAE 3000 Type II rapportage voor Avetica: bewijs van AVG-compliance verscheen eerst op Avetica.

In een Moodle omgeving worden (privacy) gegevens verwerkt. Moodle heeft minimaal een gebruikersnaam, email adres en voor- en achternaam nodig. In sommige omgevingen wordt nog meer data opgenomen. Wie is er nu eigenlijk verantwoordelijk voor deze gegevens? Deze vraag wordt helaas niet door elke klant gesteld.

De ‘eigenaar’ van de Moodle omgeving is zelf verantwoordelijk voor de gegevens die worden verwerkt. Ook al wordt de hosting van Moodle uitbesteed aan Avetica, u bent en blijft zelf verantwoordelijk voor de data! Ook dient u er op toe te zien dat wij als Avetica ons werk veilig en binnen de regels van de AVG uitvoeren. Elke organisatie moet kunnen aantonen dat zij de privacy van persoonsgegevens waarborgt. Dat geldt dus ook als een deel van die verwerking is uitbesteed aan Avetica. De Algemene Verordening Gegevensbescherming (AVG) stelt dat de organisatie verantwoordelijk is voor de privacy van persoonsgegevens.

Privacy aantoonbaar op orde? Wat betekent dit concreet?

Avetica verwerkt ondertussen de persoonsgegevens van meer dan 1 miljoen gebruikers in alle Moodle sites. Wij hebben dus een grote verantwoordelijkheid om onze privacy-processen en certificeringen voor informatiebeveiliging op orde te hebben. Het ISO 27001 certificaat is vorig jaar al verlengd. Voor de privacy heeft Avetica wederom een onafhankelijke audit laten uitvoeren. Het resultaat is een ISAE-3000 type II rapportage, waarmee Avetica inzicht geeft in haar privacy-processen. Deze rapportage is altijd opvraagbaar door het management of de Functionaris Gegevensbescherming van uw organisatie.

De hele keten op orde?

Als organisatie bent u verantwoordelijk dat in de gehele keten alle afspraken over de verwerking van persoonsgegevens worden nageleefd. Voor onze klanten ziet deze keten er meestal als volgt uit:

Klant >> Moodle leverancier >> Hosting leverancier >> Datacentrum

Als je de hosting van Moodle onderbrengt bij een partij die dit niet op orde heeft, blijf je nog steeds verantwoordelijk maar heb je totaal geen controle over de verwerking van persoonsgegevens.

Moodle Premium Partner

Avetica wil continue goede Moodle dienstverlening leveren. Met deze nieuwe ISAE 3000 rapportage laten we zien dat we ook echt een premium partner zijn voor onze klanten, ook op het gebied van informatiebeveiliging en privacy. Als klant mag u deze ISAE 3000 rapportage bij ons opvragen.

Wilt u meer weten over privacy in Moodle? Lees dan onze blogs over dit onderwerp.

Het bericht Wie is er verantwoordelijk voor (privacy) gegevens in Moodle? verscheen eerst op Avetica.

Iedere organisatie verwerkt persoonsgegevens en daarom moet zij verantwoording kunnen afleggen over de wijze waarop de data wordt verwerkt en beschermt. Of je nu Gegevensverantwoordelijke bent of Verwerker zoals in ons geval. Onze klanten vertrouwen de Moodle hosting toe aan Avetica en momenteel gaat dat om zo’n 700.000 gebruikers in alle leeromgevingen. Dan moet je je certificeringen en processen goed op orde hebben.

De Autoriteit Persoonsgegevens (AP) kan elke organisatie verplichten om verantwoording af te leggen over de gegevensverwerkingen. De AP zegt het volgende over de verantwoordingsplicht:

De Algemene verordening gegevensbescherming (AVG) legt de verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.

Inzicht in privacy processen

In 2019 heeft Avetica een privacy raamwerk met 92 interne beheersingsmaatregelen opgezet en geïmplementeerd. Door een onafhankelijke Register EDP-auditor is daar een ISAE-3000 type II rapportage van opgesteld. De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. ISAE 3000 is een internationale standaard voor het uitvoeren van assurance opdrachten. Nu is over de controleperiode 2021 vastgesteld dat dit privacy raamwerk bij Avetica nog steeds goed geïmplementeerd is en werkt. 

Met de ISAE-3000 rapportage geeft Avetica het management en de Functionaris Gegevensbescherming van onze klanten inzicht in onze processen. Daarmee heeft een klant een middel in handen om de privacy processen op elkaar te laten aansluiten. Bedenk dat als wij de Moodle hosting verzorgen, onze klanten nog steeds de eindverantwoordelijkheid hebben. Je kunt als organisatie niet alleen vermelden dat je datacenter ISO 27001 gecertificeerd is. De hele keten moet aantoonbaar voldoen aan de AVG, dus ook de Moodle dienstverlener die je inhuurt.

Onafhankelijke audits

Jouw organisatie moet ‘accountable’ zijn en als Gegegevensverantwoordelijke moet je bij elke Verwerker een onafhankelijke audit laten uitvoeren om dit aan te tonen. Dit kan een hele dure grap worden voor organisaties. Onze ISAE-3000 type II rapportage voorkomt dat elke klant een onafhankelijke audit moet laten uitvoeren bij Avetica en bespaart dus kosten. Al onze (potentiële) klanten mogen deze rapportage bij ons opvragen.

Premium Moodle Partner

Premium partner zijn van Moodle betekent voor Avetica ook kwaliteit leveren op de domeinen van veiligheid en privacy. Ook daarom vertrouwen onze klanten de hosting van Moodle aan ons toe.

Het bericht Avetica voldoet weer aantoonbaar aan AVG met de ISAE 3000 verklaring verscheen eerst op Avetica.

Binnen Moodle LMS / Workplace kan je zoeken naar content. Handig als je een cursus zoekt over bijvoorbeeld Timemanagement. De standaard zoekmachine van Moodle doorzoekt alleen gegevens die opgeslagen zijn in de eigen database van Moodle. Je hebt een extern systeem zoals Solr of Elasticsearch nodig om ook documenten te doorzoeken. Een PDF in je cursus zal door de standaard zoekmachine van Moodle niet geïndexeerd worden en door Solr of Elasticsearch wel. Ik ga hier niet verder in of het onderwijskundig wel wenselijk is dat je documenten laat doorzoeken en of je hiervoor extra geld over hebt.

Stel zoekzones in

Het komt regelmatig voor dat sitebeheerders die globaal hebben ingeschakeld, vergeten om de zoekgebieden na te lopen. Want wil je wel dat alles wordt geïndexeerd en dus vindbaar is voor de Moodle gebruikers? Eén van de zaken die naar mijn mening moet uitschakelen is het zoekgebied ‘gebruikers’. Zeker als in jouw Moodle site gebruikers van verschillende organisaties zitten. Of allemaal particulieren die een e-learningmodule hebben gekocht. Met het uitschakelen van de zoekzone ‘Gebruikers’ voorkom je dat gebruikers elkaar al te gemakkelijk vinden.

Proef op de som

Probeer maar eens uit. Configureer globaal zoeken in jouw Moodle site (hulppagina) en zorgt dat de cron aanstaat. Ik vermoed dat na een nacht draaien alle content wel is geïndexeerd. Dit is afhankelijk van de omvang van je Moodle cursussen. Typ maar verschillende zoektermen in van jouw content, maar ook namen van gebruikers of organisaties. Pas naar aanleiding van je bevindingen de zoekzones aan.

Uitleg zoeken in Moodle

Vanaf Moodle 3.5 is het zoeken binnen Moodle actief. Onderstaande video geeft een korte impressie van de mogelijkheden.

Het bericht Moodle Privacy (16): Schakel zoekzone gebruikers uit verscheen eerst op Avetica.

Ruim twee jaar nadat de AVG van kracht is geworden blikken we terug en kijken we naar welke privacy incidenten hebben plaatsgevonden. Avetica registreert elke privacy- en informatiebeveiligingsincident van onszelf en van onze klanten, want dit is een onderdeel van onze ‘privacy-boekhouding’.

Wat zijn de meest opmerkelijke privacy incidenten die klanten van Avetica hebben gemeld bij ons?

Wat opvalt in onderstaande lijst is dat veel gemelde privacy incidenten niet over de code van Moodle zelf gaat, maar over de wijze waarop Moodle is ingericht of wordt gebruikt. Een aantal meldingen gaan over algemene privacyzaken.

Overzicht

• Een opleidingsinstituut gebruikte in Moodle 3.5 het berichtensysteem in cursussen, maar alle 8.000 gebruikers waren in het berichtensysteem vindbaar;
• Global Search was niet goed geconfigureerd. Eén recht van gebruikers stond te ver open waardoor profielen doorzoekbaar waren voor diverse klanten van deze uitgeverij;
• Een opleidingsinstituut wees een gebruiker met rol ‘docent’ toe in cursus i.p.v. rol ‘student’;
• Een school stuurde een lijst met gebruikers om te uploaden met veel te veel gegevens (o.a. BSN nummers);
• Avetica verwijderde een Moodle site een maand te vroeg (i.v.m. opzegging);
• Discussie met een klant over het wel/niet melden van een datalek na serverstoring.

Deze laatste melding heeft mij persoonlijk meer inzicht gegeven in de breedte van het begrip ‘datalek‘. Als een site langdurig niet beschikbaar is door een storing of ransomware, ziet de wetgever dit als een datalek. Ook als is er in de letterlijke betekenis geen data kwijtgeraakt of gekopieerd is.

Bewustwording en training

Eén van de sterke punten uit de AVG is de focus op bewustwording. Een aantal incidenten had voorkomen kunnen worden als er meer bewustwording en training was gegeven. Het opleidingsbeleid met betrekking tot de privacy moet trouwens ook een onderdeel zijn van uw privacy boekhouding.

Passende beveiliging

Een ander belangrijk punt is het principe van passende beveiliging. Wat passend is vertelt de wetgever niet. Maar een Moodle site die niet meer ondersteund wordt met updates en bugfixes valt in ieder geval niet onder passende beveiliging. Elke Gegevensverantwoordelijke moet daarom zorgen dat zijn Moodle site tijdig worden geüpgraded. Zie onze vele berichten over de releases van Moodle.

ISAE 3000 rapportage

Wil je accountable zijn met je privacy boekhouding tegenover jouw klanten? Overweeg dan als organisatie een privacy raamwerk op te stellen. Avetica heeft als basis het NOREA Privacy Controle Framework gebruikt. Hiervan laten wij jaarlijks een audit doen door een onafhankelijke Register EDP-auditor. Het resultaat is een ISAE 3000 rapportage. Deze rapportage geeft het management en de Functionaris Gegevensbescherming (of Data Protection Officer) van onze klanten inzicht in de processen van Avetica. Ook voorkomt deze ISAE-3000 rapportage dat elke klant een onafhankelijke privacy audit moet laten uitvoeren bij Avetica. En dat scheelt weer kosten bij onze klanten.

Het bericht Een greep uit de lijst met privacy incidenten verscheen eerst op Avetica.

De klant gebruikt het berichtensysteem in Moodle actief om berichten te sturen tussen docenten en deelnemers. Het berichtensysteem van Moodle is overal in Moodle toegankelijk zowel vanuit een cursus als vanuit je eigen profiel. Het staat op de context van de site en is daarmee voor elke deelnemer te gebruiken. In het berichtensysteem kan je ook zoeken naar andere deelnemers. Door het intypen van een naam, krijg je verschillende namen en profielfoto’s van bestaande deelnemers te zien. En dat is een privacy probleem. Ook in de privacyverklaring van het opleidingsinstituut staat niet dat de namen en foto’s van alle deelnemers te vinden zijn. Wel van medecursisten en docenten van dezelfde opleiding.

Maar hoe groot is dit risico eigenlijk? En wat is de impact? Dat zal per organisatie en inrichting van Moodle afhankelijk zijn. Om een goed beeld te krijgen van alle risico’s en waar je echt maatregelen moet nemen, moest ik denken aan een rekenmethode die ik gebruik in de ISO 27001 certificering (informatiebeveiliging). Elke kans en impact van een risico schat je in met een hoog, middel of laag. Een hoog telt voor 3, middel voor 2 en laag voor 1. Door de waardes van kans en impact te vermenigvuldigen krijg je een berekening als hieronder.

Bij een waarde van 6 of meer moet je extra maatregelen nemen.

Als ik dit toepas voor het berichtensysteem dan krijg je (mijn inschatting):
* Kans dat persoonsgegevens toegankelijk zijn voor anderen: hoog (3)
* Impact op gebruikers: middel (2)
De som wordt: 2 * 3 = 6 (en dat betekent maatregelen nemen)

Maak een overzicht in een spreadsheet van de belangrijke processen en onderdelen in Moodle en vul de kans en impact in. Laat de berekening los, pas voorwaardelijke opmaak toe met kleurtjes en je ziet gelijk waar je extra maatregelen moet nemen. Dit kunnen technische, maar ook organisatorische en juridische maatregelen zijn.

Wil je meer weten over de AVG en Moodle, volg dan de workshop op 22 november 2018 in de Avetica Academie.

Het bericht Moodle Privacy (15): Rekenmethode voor inschatting privacy risico’s verscheen eerst op Avetica.

Moodle HQ heeft een video van bijna 10 minuten ontwikkeld met uitleg hoe deze privacy API geïmplementeerd moet worden. Vooral Moodle developers zullen deze video erg waarderen. Ben je minder technisch aangelegd, dan geeft deze video een goed beeld hoe serieus Moodle de uitdaging om AVG-proof te worden heeft aangepakt.

Meer informatie kan je vinden op docs.moodle.org/dev/Privacy_API.

Het bericht Moodle Privacy (14): Implementatie privacy-API in Moodle plugins #video verscheen eerst op Avetica.

Wat mij opvalt is dat met enige regelmaat gevraagd wordt de volgende gegevens in te vullen voor de klant:

• doel van de verwerking
• het soort persoonsgegevens
• categorieën van betrokkenen

Maar Avetica moet als Verwerker deze gegevens niet invullen, dat moet de Gegevensverantwoordelijke doen! Onze klanten zijn verantwoordelijk voor de data in Moodle en daarom moeten zij ook bepalen wat het doel van de verwerking is, het soort persoonsgegevens en welke categorieën van betrokkenen er zijn. Het oude gezegde ‘Wie betaalt, bepaalt’ is hier ook van kracht.

Jij moet als eigenaar van een Moodle site een ‘duidelijk omschreven en gerechtvaardigd doel’ voor gegevensverwerking bepalen. Daarna kan je toetsen of de gegevens in Moodle wel of niet nodig zijn voor dit doel.

Stel, je hebt het doel van de verwerking als volgt omschreven:

Het aanbieden van online leermateriaal, het volgen van de deelnemers in hun leerproces en het online begeleiden van de deelnemers.

Het verzamelen van het woonadres van je deelnemers is niet noodzakelijk voor dit doel. Zonder dat de docent weet waar je woont, kan hij je online helpen. Het e-mailadres verzamelen van de deelnemers is wel nodig om het doel te bereiken, want communicatie met de docent, het opvragen bij een vergeten wachtwoord en het ontvangen van notificaties bij nagekeken opdrachten, past binnen het kader van dit doel.

Besteed voldoende aandacht aan het goed omschrijven van het doel en blijf denken aan dataminimalisatie.

Het bericht Moodle Privacy (13): Wie bepaalt het doel en het soort persoonsgegevens? verscheen eerst op Avetica.

Wie is verantwoordelijk voor de juiste (privacy) instellingen van Moodle?

Het standpunt van de klant is: Avetica is de Moodle expert en moet dus zorgen voor de juiste instellingen qua privacy en security in Moodle.
Ons standpunt is: de klant is verantwoordelijke voor de data, voldoende kennis bij medewerkers van Moodle en tevens het testen van Moodle op security en privacy gebied.

Onze klant had ondertussen ook gesproken met de AVG-experts van Duthler Associates en de klant is inderdaad verantwoordelijk voor de data en instellingen. Toch ligt er een verantwoordelijkheid bij de verwerker (Avetica dus) om voldoende informatie te geven en de klanten bewust te maken van de privacy-instellingen in Moodle. Met onder andere onze blogs over Moodle security en privacy en ons Avetica Dashboard voldoen wij al goed hieraan. Maar we zijn ook weer aan het denken gezet om dit verder te optimaliseren en verder te werken aan voldoende bewustwording.

Wilt u een privacy check in uw Moodle site laten uitvoeren, neem dan contact op.

Het bericht Moodle Privacy (12): Privacy instellingen van Moodle, wie is verantwoordelijk? verscheen eerst op Avetica.

Stel, u bent directeur van een opleidingsinstituut en uw organisatie gebruikt Moodle volop in de opleidingen. U heeft de hosting uitbesteed aan een Moodle dienstverlener die op haar beurt weer het beheer van de webservers heeft ondergebracht bij een hostingpartij met eigen servers in een datacenter.

U bent als opleidingsinstituut de opdrachtgever en dus gegevensverantwoordelijke. U bepaalt het doel van de verwerkingen, de soorten gegevens en wie de betrokkenen zijn (want dat heeft een checklist zo goed aangegeven…). Maar als gegevensverantwoordelijke bent u ook verantwoordelijk van de juiste verwerking door de Moodle dienstverlener (verwerker) en de hostingpartij (subverwerker). U kunt door de toezichthouder aansprakelijk worden gesteld bij een datalek, maar ook als deze plaatsvindt bij de verwerker of subverwerker. We hebben het hier over ketenaansprakelijkheid.

In een mailwisseling werd ik betrokken hoever deze ketenaansprakelijkheid gaat. Want kan een ontwikkelaar van een Moodle plugin aansprakelijk worden gesteld bij een datalek? Moodle is open source, maar ook de Moodle plugins worden uitgebracht onder de GPLv3 licentie. In deze licentie zijn in de artikelen 15 en 16 disclaimers van garantie en verantwoordelijkheid opgenomen. Maar artikel 17 uit de GPVv3 behandelt het feit dat lokale wetgeving dit anders mag regelen.

Nu ben ik geen jurist, maar mijn eerste reactie was: die ontwikkelaar verwerkt geen persoonsgegevens en zit dus niet in de keten. Daarnaast is het de verantwoordelijkheid van de opdrachtgever om te bepalen of een Moodle plugin ‘AVG-proof’ is. De enige vraag die ik heb is hoe het zit met een belangrijk principe van de AVG, namelijk ‘privacy by design’. Maar ik vermoed dat ook hier geldt dat de opdrachtgever verantwoording draagt.

Het is goed dat in de Moodle plugin database zichtbaar wordt welke plugins wel en niet de privacy API van Moodle hebben geïmplementeerd. Dan kan je als sitebeheerder betere keuzes maken welke plugins je gebruikt (of niet meer).

Het bericht Moodle Privacy (11): Ketenaansprakelijkheid en open source verscheen eerst op Avetica.