Veilige en betrouwbare onderwijsketen

Uit ROSA Wiki
Ga naar: navigatie, zoeken

Deze pagina bevat een concepttekst die momenteel in bewerking is.
Toelichting: Dit is een eerste opzet voor de uitwerking van het thema Veilige en betrouwbare keten binnen ROSA

Inleiding

Binnen het onderwijs vervult ict een belangrijke rol. Op verschillende manieren wordt gebruik gemaakt van ict-dienstverlening voor onderwijskundige of onderwijsondersteunende doeleinden. De aard en inhoud van deze ict-dienstverlening kunnen onderling sterk verschillen, maar zij hebben als gemeenschappelijk kenmerk dat de beschikbaarheid, integriteit en vertrouwelijkheid van de gegevensbewerking cruciaal is. Zo moeten onderwijsinstellingen er bijvoorbeeld op kunnen vertrouwen dat persoonsgegevens op een veilige manier worden bewerkt door organisaties die ict-diensten leveren in het onderwijs. Diensten die geleverd worden door zowel publieke als private partijen. Het privacybewustzijn is bij de meeste ketenpartijen de afgelopen jaren flink toegenomen en daarmee het besef dat hier in de keten afspraken over gemaakt moeten worden. Dit heeft onder andere geleid tot het privacyconvenant in de leermiddelenketen.

Los van de vrijwillige afspraken over omgang met privacy, wordt op 28 mei 2018 de Algemene Verordening Gegevensbescherming (AVG), opvolger van Wet bescherming persoonsgegevens, van kracht. De AVG eist onder meer dat passende maatregelen zijn genomen om de persoonsgegevens te beschermen.

Informatiebeveiliging is een ketenverantwoordelijkheid. De onderwijsinstellingen en leveranciers hebben een gedeelde verantwoordelijkheid voor een veilige informatie-uitwisseling. Een probleem ergens in de keten is een probleem voor alle betrokkenen in deze keten. Het maken en toepassen van eenduidige afspraken over informatiebeveiliging en privacy is daarmee noodzakelijk. Voor Edustandaard ligt dan ook een belangrijke taak als het gaat om het gebruik van gemeenschappelijke standaarden op het gebied van informatiebeveiliging. Nauwe samenwerking met bijv. Edu-K is daarbij vanzelfsprekend, omdat daar voor de leermiddelenketen de genoemde standaarden worden geïmplementeerd.

De taken van Edustandaard bestaan uit het onderhouden van de van toepassing zijnde onderdelen van de referentiearchitectuur (ROSA) en het afspreken van nieuwe en onderhouden van bestaande ondersteunende standaarden.

Relevante onderdelen van ROSA zijn:

Het katern beschrijft de ketenbrede kaders voor de gehele onderwijssector voor veilige informatie-uitwisseling, dus voor zowel onderwijsinstellingen als leveranciers. Daarmee vormt dit katern de basis voor alle normenkaders binnen het onderwijs. Door deze gemeenschappelijke basis kan ook de samenhang tussen de verschillende kaders beter geborgd worden.
  • Het ROSA katern IAA.
Als onderdeel van de ROSA is ook de IAA-architectuur uitgewerkt met daarin het ontwerp om privacy van leerlingen, studenten en onderwijspersoneel zo goed mogelijk te waarborgen bij het ontwerp van nieuwe voorzieningen (Privacy by Design).

Relevante standaarden zijn het Certificeringsschema en de Edukoppeling Transactiestandaard. Andere bouwblokken die hierbij een rol spelen zijn PKI-certificaten, juiste invulling van een organisatie-identiteit (OIN) en een serviceregister (per dienst, per set aan diensten of zelfs voor de hele onderwijsketen).

Belangrijke ontwikkelingen

AVG

Per 28 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van kracht.

Zie voor meer informatie het onderwerp Europese privacywetgeving bij de Autoriteit Persoonsgegevens.

Edukoppeling Serviceregister

In relatie tot Edukoppeling wordt het serviceregister van belang om de mandateringsrelatie vast te leggen. Deze laatste informatie wordt gebruikt in combinatie met PKI en WS-addressing om per onderwijsinstelling de juiste webservice aan te roepen en om een inkomende servicerequest te autoriseren. Het serviceregister voor de hele sector is nog in ontwikkeling. Het is gebaseerd op eerder werk in de Routerings en Autorisatie Voorziening (RAV) in gebruik bij DUO.

Edukoppeling Digikoppeling.jpg

Informatiebeveiliging en privacy

Beknopt overzicht privacyafspraken:

PO-VOMBOHO
Instelling Privacyconvenant (Edu-K) Framework IBP (Taskforce IBP):
  • Compliancekader privacy (IBPDOC 2b)
  • Toetsingskader privacy (IBPDOC7)
  • eventueel nader te bepalen toetsingskader voor leveranciers (vgl.privacyconvenant)

Juridisch normenkader cloudservices hoger onderwijs (Juridische commissie Surfnet)

Afdwingbaarheid bij leveranciers Model bewerkersovereenkomst met bijlages:
  • A) Privacybijsluiter
  • B) Technische en organisatorisch beveiligingsmaatregelen (met daarin de verplichting zich te conformeren aan het Certificeringsschema)
Voorlopig:
  • leermiddelen: bewerkersovereenkomst (gebaseerd op model po/vo)
  • Overig zoals MS, Google: SURFmodelbewerkersovereenkomst
SURF-modelbewerkersovereenkomst
Aantoonbaar compliantVerklaring ondertekening privacyconvenant (centraal register bij privacyconvenant.nl)Individuele ondertekening bewerkersovereenkomstIndividuele ondertekening bewerkersovereenkomst
ToetsbaarIn onderzoek: Toetsing bewerkersovereenkomsten Interne audits o.b.v. Toetsingskader CS (in 2016)In onderzoek: Toetsing bewerkersovereenkomsten Interne audits o.b.v. Toetsingskader CS (in 2016)Externe audit o.b.v. TPM verklaring

(Alle afspraken in lijn met de principes uit het ROSA katern IBP)

Zie ook de Presentatie Informatiebeveiliging Edustandaard van 19 mei 2016


Informatiebeheer en zeggenschappen

Backlog

  • Ervaringen met toepassing zeggenschappen ophalen uit RIO

Aandachtspunten

  • Archiefbeheer


Adviezen uit de Architectuurscan Certificeringsschema 2017

Backlog

  • Besteed bij het ontwerpkader Incident Response aandacht aan de zogenoemd PDRC-cyclus (preventie, detectie, repressie, correctie). Incident Response begint bij het gestructureerd kunnen herkennen en vervolgens reageren op incidenten
  • Overweeg:
- Overnemen/vervangen definities BIV
- Overnemen/vervangen BIV classificatie (vereist uitleg waarom afgeweken is)
  • De Term CvIB wordt niet breed herkend. Vervang dit door een expliciete verwijzing naar ISO 2700X.
  • Ten aanzien van het ROSA katern IBP: Het certificeringsschema geeft aanleiding voor een herziening van (delen van) het ROSA katern IBP. In ieder geval moet de positie van het Certificeringsschema als toetsingskader (niet langer alleen voor cloud leveranciers) juist worden weergegeven.

Zie ook de Architectuurscan Certificeringsschema 2017