Wat wil je weten over veiligheid in Moodle
Moodle is open source, wat houdt dit in voor de veiligheid?
Moodle is een open source leermanagementsysteem en dat betekent dat de broncode vrij beschikbaar is. Kijk maar op download.moodle.org. Wel zijn er regels waaraan je je moet houden en deze staan vermeld in de GPLv3 licentie, een van de bekendste open source licenties.
Iedereen met kennis van zaken kan de kwaliteit van de broncode bekijken en zien of er kwetsbaarheden en fouten in zitten. Geen enkele applicatie is foutloos en daarom zijn er ook regelmatig updates. Sommige IT’ers vinden het een risico dat alle kwetsbaarheden openbaar zijn, terwijl andere IT’ers zeggen dat dit juist de kracht van open source is. Omdat elke kwetsbaarheid gevonden kan worden, zal dit ook sneller worden opgelost. Uit onderzoek blijkt dat er niet meer of minder fouten in open source software zitten dan bij closed source. Het is aan de kwaliteit van de organisatie om fouten snel te ontdekken en op te lossen.
Geen licentiekosten? Is Moodle dan gratis?
Dat klopt. Je betaalt geen dure licentiekosten zoals bij andere LMS-en die ook nog veel minder mogelijkheden hebben. Maar kosteloos is het gebruik van Moodle ook niet. Je hebt altijd kosten, bijvoorbeeld voor de server waarop Moodle goed beveiligd staat. Er moet ook iemand zijn die de nieuwe versies installeert en ondersteuning geeft. De hosting leverancier van Moodle moet aantoonbaar voldoen aan de AVG, want dit staat zo in de wet geschreven. En liefst heeft de hostingprovider het ISO 27001 certificaat voor informatiebeveiliging, want dit is al jaren het minimum vereiste. Dit zijn allemaal terugkerende kosten die in rekening gebracht worden bij jou.
Maar draai het eens om? Geeft het jou een gerust gevoel als jij zelf hiervoor verantwoordelijk bent? Jouw Moodle site bevat straks veel persoonsgegevens en je wilt niet dat deze op straat komen te liggen. En wat doe je als er toch een technisch probleem is en je hosting leverancier zegt ‘van Moodle heb ik geen verstand, dit mag je zelf oplossen’.
Zelf hosten of veilig uitbesteden?
Regelmatig wordt Avetica benaderd met het verzoek om de hosting van Moodle over te nemen. Vaak met één van de volgende redenen:
- Onvoldoende expertise: De huidige hostingpartij of interne IT-organisatie heeft geen expertise (meer) van het technisch beheren van Moodle. Ze geven geen goede ondersteuning omdat ze geen kennis hebben van Moodle en hun antwoorden zijn gevonden op internet.
- Onvoldoende garanties: De ZZP-er biedt te weinig garanties over continuïteit bij ziekte of verlof
- Geen veiligheidscertificaten: De ZZP-er en/of de hostingprovider beschikt niet over de juiste certificaten voor informatiebeveiliging en privacy.
Kijk naar onze klantenlijst en zie dat zowel grote als kleine organisaties hebben gekozen voor Avetica om hun Moodle site te laten hosten. Zij richten zich op hun corebusiness en hoeven zich niet druk te maken over de techniek en veiligheid. Jij wil toch ook ontzorgd worden met de technische kant en lekker aan de slag met het bouwen van leerprogramma’s voor jouw deelnemers? Dit is precies wat Avetica met jouw leeromgeving wil doen. Laat ons veilig en snel jouw Moodle site hosten en wij ondersteunen jou met de functionele en onderwijskundige kant.
Avetica is ook ISO 27001 gecertificeerd en dat betekent dat een onafhankelijke IT-auditor onze informatiebeveiliging heeft goedgekeurd. Ook onze hostingprovider is ISO 27001 gecertificeerd en beschikt over een ISAE 3402 rapportage. Op deze manier heeft Avetica de ketenaansprakelijkheid goed geregeld.
Hoe heeft Moodle de veiligheid en privacy geregeld?
Zowel Moodle als Avetica hebben een duidelijke rol om de veiligheid en privacy goed te regelen. Dit zijn de drie belangrijkste maatregelen:
- Regelmatig nieuwe versies: Moodle hanteert een zogenaamd releasebeleid. Dat betekent dat er regelmatig nieuwe versies worden uitgebracht en dat oude versies hun ‘einde levensduur’ bereiken. Avetica zal de nieuwe versies installeren zoals beschreven in ons Service Level Agreement (SLA).
- Veel aandacht voor top 10 bedreigingen: wereldwijd is de laatste jaren de focus op veiligheid en privacy sterk toegenomen en ook bij Moodle. Stichting OWASP heeft een top 10 opgesteld van bedreigingen. Deze top 10 is een belangrijk hulpmiddel voor webontwikkelaars om kwetsbaarheden te identificeren en te voorkomen. Ook de ontwikkelaars van Moodle werken met deze lijst.
- Kwaliteit van de Moodle partner: veilige software is één kant, veilige servers is een ander verhaal. Daar komt de kwaliteit van de Moodle partner om de hoek kijken. Welke maatregelen heeft hij genomen om de veiligheid te garanderen en hoe wordt dit aangetoond? Vertrouw jij op zijn blauwe ogen voor de verwerking van alle persoonsgegevens van jouw deelnemers? Vanuit de AVG gezien is jouw organisatie verantwoordelijk voor de persoonsgegeven, dus dat wil je goed geregeld hebben. Avetica neemt informatiebeveiliging en privacy serieus en dit tonen wij aan met ons ISO 27001 certificering en ISAE 3000 rapportage. Er is een reden dat organisaties als KLM, ANWB en UWV kiezen voor Avetica als hun Moodle partner. Wij hebben het aantoonbaar goed geregeld en dat geeft vertrouwen en zekerheid. Dit vind je niet bij andere Moodle leveranciers.
Wat doet Moodle om veiligheidrisico's te beperken?
Veiligheidsrisico’s beslaan een zeer breed gebied maar er zijn drie belangrijke onderwerpen die een goed overzicht geven van hoe Moodle dergelijke risico’s beperkt.
- Inbedden van beveiliging in de ontwikkelingsprocessen: Het ontwikkelproces van Moodle software omvat meerdere stadia van peer reviewing en testen. Bij het testen wordt niet alleen gecontroleerd of de dingen werken zoals bedoeld, maar ook of er geen beveiligingslekken zijn ingeslopen tijdens de ontwikkeling. Dit is een van de gedocumenteerde punten van de checklist voor collegiale toetsing.
- Informatie delen aan sitebeheerders van Moodle: Moodle heeft uitgebreide documentatie geschreven met aanbevelingen voor sitebeheerders om hun Moodle site veilig te configureren zodat beveiligingsrisico’s verminderd of geëlimineerd worden.
- Procedure omgaan met ontdekte risico’s en kwetsbaarheden: Moodle heeft een uitgebreide set aan procedures opgesteld hoe ze omgaan met meldingen van beveiligingsproblemen. Belangrijk onderdeel is de Moodle Tracker waar alle meldingen centraal worden geregistreerd en waar de community van Moodle ook toegang toe heeft. Ook is er een speciaal formulier om beveiligingsprobleem te rapporteren.
Welke cookies heeft Moodle minimaal nodig?
Een cookie is een klein tekstbestandje dat een website op je computer zet op het moment dat je de site bezoekt. Ook Moodle maakt gebruikt van cookies. Als je cookies uitschakelt in je browser kan je niet inloggen in Moodle en kan je de leeromgeving niet gebruiken. Het goede nieuws is dat Moodle zelf geen tracking cookies plaatst. Moodle gebruikt twee cookies die minimaal nodig zijn om te kunnen werken:
- MoodleSession is een sessiecookie die het mogelijk maakt om je ingelogd te houden. Deze cookie wordt verwijderd wanneer je je afmeldt of je browser sluit.
- MoodleID is een cookie die je unieke ID in Moodle bewaart. Deze cookie wordt gebruikt om je te identificeren op de website.
Let op: als je externe content insluit in je lesmateriaal, zoals Youtube video’s, dan worden er cookies geplaatst door die andere platformen. Dit zijn vaak tracking cookies.
Vragen over privacy en veiligheid in Moodle
Sinds versie 3.5 (release mei 2018) voldoet Moodle aan de eisen die aan de AVG (GDPR) worden gesteld, Moodle is dus AVG proof. Houd er wel rekening mee dat dit niet betekent dat alle community- of maatwerkplugins ook AVG proof zijn. Een ontwikkelaar van een een plugin moet dit bewust implementeren. In Moodle is een rapport beschikbaar waarin per plugin wordt vermeld welke persoonsgegevens verwerkt worden.
Alle servers van Avetica staan in Nederland, dus binnen de Europese Economische Ruimte zoals de AVG voorschrijft. Alle data staat in Moodle en er wordt geen data geëxporteerd naar andere systemen, behalve ons eigen beheersdashboard.
Avetica is ISO 27001 gecertificeerd en heeft een ISAE 3000 type II rapportage met 111 maatregelen. Deze laatste wordt door een IT-accountant geauditeerd. Op verzoek kan deze rapportage gedeeld worden.
Bekijk de pagina over onze certificeringen van Avetica.
Avetica heeft een protocol voor beveiligingsincidenten en datalekken en deze procedure wordt jaarlijks geauditeerd.
Dat bepaal jij als de Gegevensverantwoordelijke. Avetica kan dit als Verwerker niet bepalen.
Na beëindiging van de overeenkomst is de data binnen 30 dagen volledig verwijderd.
De stichting Open Web Application Security Project® (OWASP) heeft als missie de verbetering van de veiligheid van software. Zij hebben een top 10 van grootste en meest voorkomende risico’s binnen webapplicaties opgesteld. Dit is een belangrijk hulpmiddel voor webontwikkelaars om kwetsbaarheden te identificeren en te voorkomen.
Lees in onze blog hoe Moodle hiermee omgaat.
Om ervoor te zorgen dat je Moodle site up-to-date is met de nieuwste functionaliteiten en veilig is, werkt Moodle met een releasebeleid. Avetica volgt dit releasebeleid zodat je te allen tijde beschikt over een versie die ondersteund wordt door Moodle HQ. Dit releasebeleid is een onderdeel van ‘passende beveiliging’ zoals de AVG (GDPR) dit voorschrijft. Meer informatie over het Moodle releasebeleid vind je op moodledev.io/general/releases.
Het releasebeleid houdt in dat er minor en major Moodle releases zijn. Een minor release is een update in dezelfde versielijn (gekenmerkt door de Z in x.y.Z versies, bijvoorbeeld van versie 4.1.3 naar 4.1.4).
Bij Avetica is het uitvoeren van een update is inbegrepen in uw jaarlijkse hostingkosten omdat dit kleinschalige verbeteringen en bug fixes in uw huidige versie betreft. Updates voeren wij automatisch uit en treffen alleen de kernfunctionaliteiten van Moodle. Toegevoegde Moodle plugins worden niet meegenomen in automatische updates. Ze blijven functioneren zoals ze dat voor de update deden.
Een major release is een nieuwe Moodle versie (gekenmerkt door X of Y in X.Y.z versies, bijvoorbeeld van versie 3.9 naar 4.1) en dit vergt een upgrade. Een upgrade is altijd een project waarvoor wij de kosten in rekening brengen.
Standaard wordt een Moodle versie 1,5 jaar ondersteund. Eens per drie jaar komt er een Long Term Support versie (LTS) uit die drie jaar ondersteuning krijgt.
Nee, dat kan niet. De broncode van Moodle is openbaar, maar de data in Moodle absoluut niet. Je kan veilig Moodle gebruiken net zoals meer dan 360 miljoen andere Moodle gebruikers.
Nee, Moodle HQ en Avetica verkopen geen persoonsgegevens door aan derde partijen. Wij vinden het belangrijk dat gebruikers van onze software zich veilig voelen en dat hun persoonsgegevens worden beschermd. Daarom verkopen wij geen persoonsgegevens aan andere bedrijven of organisaties.
Zie ook de twee privacyverklaringen van Moodle HQ en Avetica.
Moodle LMS / Workplace is een leermanagementsysteem. Voor het online leren is het noodzakelijk dat er bepaalde persoonsgegevens bewaard worden.
Standaard bewaart een Moodle site de volgende persoonsgegevens:
- gebruikersnaam
- voor- en achternaam
- e-mailadres
- IP-adres
- cookies (alleen technische cookies)
- bezoekgedrag (logfiles)
- social media
- profielfoto
- bio (beschrijving van de gebruiker)
- leerresultaten
- onderlinge communicatie tussen deelnemers en docenten
Paar opmerkingen hierover:
- Gebruikers kunnen een aantal profielvelden zelf invullen en aanpassen, bijvoorbeeld social media en profielfoto.
- Het is mogelijk dat sitebeheerders van een Moodle site extra profielvelden hebben toegevoegd waardoor er nog meer persoonsgegevens bewaard worden.
Je moet ingelogd zijn om een reactie te plaatsen.