Beveiliging
Beveiliging van persoonsgegevens
Plantyn nv treft zowel als ‘verwerkingsverantwoordelijke’ als ‘verwerker’ passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Hieronder lees je welke beveiligingsmaatregelen door Plantyn nv zijn genomen.
Maatregelen die waarborgen dat enkel bevoegd personeel toegang heeft tot persoonsgegevens
Plantyn nv hanteert een autorisatiebeleid om te bepalen wie toegang moet hebben tot welke gegevens. Medewerkers hebben op grond van deze systematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.
Toegang: medewerkers van de klantenservice en consultants verkrijgen op verzoek van een
school toegang tot licentie informatie. Zij kunnen onder meer zien voor welke leerlingen een digitaal leermiddel is geactiveerd. De klantenservice zal enkel op vraag van én met uitdrukkelijke toestemming van de leerkracht zicht hebben in de gegevens van de school/ leerkracht/ leerling, dit enkel ter ondersteuning van de eindgebruiker.
Handelingen: administratieve handelingen in het kader van de werking van leermiddelen, schooladminstratiesystemen, bestellingen en licenties. Ondersteuning van de eindgebruiker.
Toegang: analisten / deskundigen op het gebied van ontwikkeling van lesmateriaal hebben toegang tot geanonimiseerde sets van resultaten van gebruik van leermiddelen/ schooladministratiesystemen.
Handelingen: analyse van het lesmateriaal, gericht op verbetering van het materiaal, ontwikkeling en optimalisatie van adaptief lesmateriaal, opsporing en verbetering van de kwaliteit van het materiaal.
Toegang: IT-databasebeheerders hebben toegang tot de databases.
Handelingen: de handelingen van IT-databasebeheerders zijn gericht op continuïteit en beheer van ICT-systemen.
Maatregelen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking.
Organisatie van informatiebeveiliging en communicatieprocessen
-
Plantyn nv heeft een privacy- en beveiligingsbeleid vastgesteld waarin de verschillende rollen worden omschreven. Belangrijk zijn onderstaande rollen.
-
Plantyn nv heeft een functionaris voor de gegevensbescherming, die hoofdzakelijk verantwoordelijk is voor het informeren en adviseren van Plantyn nv over haar verplichtingen uit hoofde van de AVG en houdt toezicht op naleving. De verantwoordelijkheden van deze functionaris (DPO) staan beschreven in het hiervoor bestemde beleid van Infinitas.
-
De Corporate Security Officer (CSO) is verantwoordelijk voor het beveiligingsbeleid van Infinitas.
-
Infinitas heeft per dochteronderneming en per rechtsgebied een lokale privacycontactpersoon ("Privacy Officer") benoemd, die de taak heeft van directies van dochterondernemingen in samenwerking met de DPO het privacybeleid en de procedures van de entiteit uit te voeren en te ontwikkelen.
-
Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid.
-
Plantyn nv heeft een proces ingericht voor omgang met (en communicatie over) informatiebeveiligingsincidenten (datalek procedure).
Medewerkers
-
Met alle medewerkers zijn in hun arbeidsvoorwaarden geheimhoudingsverklaringen overeengekomen.
-
Plantyn nv stimuleert bewustzijn, opleiding en training ten aanzien van informatiebeveiliging.
-
Medewerkers hebben op grond van een autorisatiesystematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.
Fysieke beveiliging en continuïteit van de middelen
-
Persoonsgegevens worden uitsluitend verwerkt in een gesloten, fysiek beveiligde omgeving met bescherming tegen bedreigingen van buitenaf. Er is een toegangsprotocol opgesteld. Toegang wordt bovendien geregistreerd.
-
Persoonsgegevens worden uitsluitend verwerkt op apparatuur waarbij maatregelen zijn genomen om de apparatuur fysiek te beveiligen en de continuïteit van de dienstverlening te verzekeren.
-
Er worden periodiek back-ups gemaakt ten behoeve van de continuïteit van de dienstverlening. Deze back-ups worden vertrouwelijk behandeld en bewaard in een gesloten omgeving.
-
De locaties waar gegevens worden verwerkt zijn beveiligd door middel van sloten, alarmsystemen en worden periodiek getest, onderhouden en periodiek beoordeeld op veiligheidsrisico’s. Plantyn nv beschikt over bedrijfscontinuïteitsplannen waarin uitwijklocaties zijn opgenomen.
Netwerk-, server- en applicatiebeveiliging en onderhoud
-
De netwerkomgeving waarbinnen gegevens worden verwerkt is strikt beveiligd. Daarbij worden verkeersstromen gescheiden en zijn maatregelen geïmplementeerd tegen misbruik en aanvallen.
-
De omgeving waarbinnen persoonsgegevens worden verwerkt wordt gemonitord.
-
De digitale leermiddelen/ schooladministratiesystemen waarbinnen persoonsgegevens worden verwerkt komen tot stand op basis van systeemplanning, beveiligingscontrole en acceptatie (DTAP). Wijzigingen in applicaties worden getest op kwetsbaarheden voordat deze in productie worden genomen.
-
Op systemen worden periodiek de laatste (beveiligings)patches geïnstalleerd op basis van patchmanagement.
-
Gegevens die binnen applicaties worden verwerkt zijn geclassificeerd op risico’s.
-
Penetratietests en vulnerability assessments worden periodiek uitgevoerd. Niet (meer) gebruikte informatie wordt verwijderd.
-
Op wachtwoorden zijn cryptografische maatregelen toegepast om deze gegevens veilig op te slaan.
-
Er wordt voor inlogprocessen gebruikgemaakt van versleutelde verbindingen.
-
De uitwisseling van persoonsgegevens aan derden in opdracht van de onderwijsinstelling vindt versleuteld plaats.
Omschrijving van de maatregelen om zwakke plekken te identificeren
De systemen van Plantyn nv worden periodiek gecontroleerd op veiligheid. Daarnaast voorziet het beveiligingsbeleid van Plantyn nv in interne processen om kwetsbaarheden te identificeren, waaronder een responsible disclosure-beleid (zie hieronder).
Melding van een inbreuk in verband met persoonsgegevens
Plantyn nv monitort 24/7 haar dienstverlening en heeft maatregelen getroffen om ongeoorloofde of onrechtmatige toegang tot gegevens te voorkomen en te identificeren. Signalen die duiden op een inbreuk in verband met persoonsgegevens worden beoordeeld door de Corporate Security Officer en functionaris voor gegevensbescherming van Plantyn nv, die analyseert of sprake kan zijn van een inbreuk in verband met persoonsgegevens, het
type inbreuk en of dit een inbreuk betreft die valt onder haar rol als verwerker of haar rol als verwerkingsverantwoordelijke.
Wanneer zich een inbreuk in verband met persoonsgegevens voordoet ten aanzien van persoonsgegevens die Plantyn nv verwerkt als verwerker, wordt de verwerkingsverantwoordelijke door of namens Plantyn nv binnen 24 uur na vaststelling dat sprake is van een inbreuk per e-mail geïnformeerd. Afhankelijk van de situatie, kan ook informatie worden gedeeld via onze website en officiële sociale media kanalen en/of officiële distributeurs en/of handelsagenten.
Plantyn nv deelt de volgende informatie aan verwerkingsverantwoordelijken wanneer zich een inbreuk in verband met persoonsgegevens voordoet:
-
De kenmerken van het incident, zoals: datum en tijdstip constatering, samenvatting incident, kenmerk en aard incident (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens).
-
De oorzaak van het beveiligingsincident.
-
De maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen.
-
Benoemen van betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin zij gevolgen kunnen ondervinden.
-
De omvang van de groep betrokkenen.
-
De aard van de persoonsgegevens die door het incident worden getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs- of identificatiegegevens, financiële gegevens of leerprestaties).
Indien een concrete situatie zich daartoe leent, dan kan Plantyn nv een (eerste) melding van een inbreuk in verband met persoonsgegevens doen bij de autoriteit. De verwerkingsverantwoordelijke wordt hierover geïnformeerd en blijft ook in dit geval eindverantwoordelijk voor de melding.
Wanneer zich een inbreuk in verband met persoonsgegevens voordoet ten aanzien van persoonsgegevens die Plantyn nv verwerkt als verwerkingsverantwoordelijke:
Wanneer een inbreuk in verband met persoonsgegevens die Plantyn nv verwerkt als verwerkingsverantwoordelijke heeft plaatsgevonden, meldt Plantyn nv deze uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt Plantyn nv de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee.
Responsible disclosure
Een zwakke plek in onze systemen kun je melden via [email protected]. Meld de kwetsbaarheid voordat je dit aan de buitenwereld kenbaar maakt. Zo kunnen wij eerst maatregelen treffen. Dit heet responsible disclosure.
Als je een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken:
-
Geef voldoende informatie om het probleem te reproduceren. Zo kunnen wij het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende.
-
Laat je contactgegevens (e-mailadres of telefoonnummer) achter zodat wij contact met je kunnen opnemen.
-
Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
-
Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
-
Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.
-
Als je een kwetsbaarheid ontdekt, maak hier dan geen misbruik van door bijvoorbeeld malware te plaatsen, gegevens in een systeem te kopiëren, wijzigen of verwijderen, veranderingen aan te brengen in het systeem, herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen, gebruik te maken van ‘bruteforcing’, denial-of-service of social engineering.
Voldoet je melding aan deze voorwaarden? Dan verbinden wij geen juridische consequenties aan je melding.
Wat doen wij met jouw responsible disclosure melding?
Heb je een melding gedaan van een zwakke plek in een ICT-systeem? Dan reageren we binnen 3 werkdagen op je melding. We houden je als melder op de hoogte van de voortgang van het oplossen van het probleem en lossen het beveiligingsprobleem zo snel mogelijk op. We zullen samen met jou bepalen of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost. We bieden je verder een beloning als dank voor de hulp en behandelen je melding vertrouwelijk. We delen je gegevens niet zonder jouw toestemming behalve als dit wettelijk verplicht is. Als je dat wilt, kunnen we je naam vermelden als de ontdekker van de gemelde kwetsbaarheid.