Beveiliging van privacy-gevoelige informatie

Wij krijgen wel eens vragen over het beveiligen van CumLaude. En terecht, want het gaat om privacy gevoelige informatie. Middels de informatie op deze pagina geven we inzicht in de manier waarop wij omgaan met deze beveiliging.

Beveiliging van gegevens

De beveiliging van de gegevens bestaat uit een aantal onderdelen: de combinatie inlogcode en wachtwoord, mogelijkheid tot gebruik two factor authenticatie middels een token, de beveiliging van de verbinding en de systemen waarop de applicatie en de database draaien.

Inlogcode en wachtwoord

De inlogcode en het wachtwoord worden verstrekt, maar deze gegevens kunnen door gebruikers worden aangepast. De mate van veiligheid wordt dus met name door de gebruiker zelf bepaald. Feitelijk is dat niet anders dan vroeger, toen ICT-systemen nog op de server van de school stonden.

Wachtwoordbeleid

Het systeem heeft een wachtwoordbeleid dat voorkomt dat te simpele wachtwoorden worden gekozen. Daarnaast is het belangrijk dat gebruikers op een juiste manier omgaan met de wachtwoorden. Dus regelmatig het wachtwoord veranderen, het niet opschrijven of op post-its op de monitor plakken, niet delen met anderen.

Beveiliging van de verbinding

Voor de verbinding maken we gebruik van een beveiligde verbinding middels een SSL-certificaat. Dit is dezelfde beveiliging die banken toepassen bij internetbankieren. Door middel van dit certificaat kan de gebruiker zien dat hij daadwerkelijk met de server van CumLaude communiceert. 

Versleutelde gegevensstroom

Tevens worden de gegevens van dit certificaat gebruikt om de gegevensstroom tussen de browser van de gebruiker en de CumLaude applicatie te versleutelen. CumLaude gebruikt hiervoor een certificaat met een lange sleutel (256 bit), waardoor browsers aangeven dat er een sterke encryptie gebruikt wordt.

Beveiligde locatie

De CumLaude-applicatie wordt gehost op servers bij een professionele hostingpartij. Deze hostingpartij heeft diverse maatregelen en barrières ingeregeld om te voorkomen dat onbevoegden (fysieke) toegang hebben tot de servers van CumLaude.

Enkele van deze maatregelen zijn:

– Bezoekers moeten zich vooraf melden en moeten zich legitimeren voordat ze het pand kunnen betreden

– De CumLaude servers bevinden zich in een extra beveiligde zone in het datacentrum

– Toegang tot de individuele server is ook niet mogelijk zonder de juiste sleutel

– Er zijn diverse controle en alarmsystemen aanwezig om dit in de gaten te houden.

ISO/IEC 270001 certificering

Onze hostingpartner beschikt over een ISO/IEC 270001 certificering.

Het Forum Standaardisatie zegt hier het volgende over:

“ISO 27001 specificeert eisen voor het vaststellen, implementeren, uitvoeren, bewaken, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico's voor de organisatie. Het ISMS is ontworpen met het oog op adequate en proportionele beveiligingsmaatregelen die de informatie afdoende beveiligen en vertrouwen bieden.”

Zie voor meer informatie Forum Standaardisatie over ISO/IEC 27001

Beveiliging software/applicatie

De fysieke beveiliging van de locatie en de beveiliging van de verbinding zijn dus op orde. Als echter de software op de servers waar CumLaude draait beveiligingslekken bevat, dan is dat de zwakste schakel. Personen die toegang proberen te krijgen, zullen zich daar dan op richten. Om dit ook te voorkomen, zijn een aantal maatregelen genomen.

Scheiding applicatie en database

Onder andere voor de veiligheid is de applicatie gescheiden van de database. De database draait op een aparte server. De databaseserver is vervolgens niet bereikbaar via het internet. Ook de applicatieserver is grotendeels afgeschermd van het internet middels een firewall.

De webapplicatie is voor iedereen aanspreekbaar, maar de beheer-ingangen zijn alleen door Topicus te bereiken. En nog een geruststellende opmerking voor de technisch geïnteresseerden: De applicatie draait op een Linux server met WildFly als applicatie-container.

Beperkte toegang

Als een school begint met het gebruik van CumLaude wordt er een account door CumLaude aangemaakt. De gegevens hiervan worden verstrekt aan de applicatiebeheerder van de school.

Beleid accounts medewerkers

De school is vervolgens zelf verantwoordelijk voor het uitgeven van accounts aan nieuwe medewerkers en het deactiveren van accounts van medewerkers die vertrekken bij de school. Het is voor de school zelf ook verstandig om hiervoor een procedure in te regelen.

Toegang servicedesk

Voor medewerkers van de servicedesk is het soms nodig dat er ‘meegekeken’ wordt als er problemen gemeld worden. Medewerkers zullen dit aan de telefoon ook aangeven. In de overeenkomst tussen de school en CumLaude is dit ook vastgelegd. Dit vindt alleen plaats als er daadwerkelijk noodzaak is.

Bijhouden van inlogacties

Alle inlogacties van CumLaude gebruikers, zowel van de medewerkers op de school als van supportmedewerkers ter ondersteuning, worden bijgehouden in een auditlog. Hierdoor is het per account mogelijk om na te gaan of er oneigenlijk gebruik is geweest ja/nee.

Voorwaarden gebruikers

In de overeenkomst zijn voorwaarden opgenomen die de rol als ‘gebruiker’ afdekken. Deze voorwaarden zijn afkomstig van het Ministerie van OCW en worden ook gebruikt in de relatie tussen de school (c.q. het bestuur) en DUO voor de uitwisseling van gegevens met BRON.

Wettelijke eisen

Ook vanuit de overheid worden er eisen gesteld aan het systeem met betrekking tot de beveiliging van de persoonsgegevens. Dit behelst onder andere het vastleggen en opvolgen van afspraken middels een bewerkersovereenkomst. Hierin staat ook welke gegevens verzameld worden en voor welk doel deze gegevens gebruikt worden. Ook afspraken met betrekking tot beveiliging zijn hierin opgenomen.

Controle beveiliging

De doorontwikkeling en het onderhoud en beheer van de CumLaude applicatie is in handen van ProcessGold. ProcessGold heeft jarenlange ervaring met het bouwen en onderhouden van veilige webapplicaties. Niet alleen worden applicaties voor het onderwijs ontwikkeld, maar ook applicaties voor de zorgsector en de financiële sector. De kennis en ervaring met betrekking tot beveiligingsproblematiek wordt regelmatig gedeeld, zodat ook op de nieuwste ontwikkelingen ingesprongen kan worden.

Cookie gebruik

Er wordt gebruik gemaakt van Google Analytics cookies om bij te houden hoe gebruikers CumLaude gebruiken. Op basis van de verkregen anonieme informatie wordt het product continu geoptimaliseerd om optimaal ondersteuning te bieden. Lees het privacybeleid van Google voor meer informatie en het specifieke privacybeleid van Google Analytics. Google kan deze informatie aan derden verschaffen indien Google hierop wettelijk wordt verplicht of voor zover deze derden de informatie namens Google verwerken. Wij hebben Google niet toegestaan de verkregen analytics informatie te gebruiken voor andere Google diensten.

Wij vinden het uitermate belangrijk dat uw privacy is gewaarborgd. Daarom hebben wij een aantal acties ondernomen in Google Analytics (zie advies vanuit de autoriteitpersoonsgegevens om persoonlijke gegevens te beschermen, zoals:

• Topicus.Education B.V. heeft een verwerkersovereenkomst gesloten met Google. Hierin is vastgelegd dat Google als verwerker optreedt bij de verwerking van persoonsgegevens en zich hierbij aan de wet geldend in de EER moet houden.

• De instelling ‘gegevens delen met Google’ in Google Analytics staat UIT.

• Er wordt geen gebruik gemaakt van andere Google-diensten in combinatie met de Google Analytics-cookies.

• Het laatste octet van een IP-adres is gemaskeerd binnen Google Analytics.

Security-scans

Contactgegevens

Toch is het lastig voor een organisatie om zelf te controleren / vast te stellen dat het helemaal goed zit met de beveiliging. Daarom worden er regelmatig security-scans (ook wel penetratietesten) uitgevoerd door externe partijen, om er voor te zorgen dat we niets missen.

Hopelijk heb je zo een indruk van de beveiliging van onze applicatie CumLaude.

Topicus.Education BV
Privacy Officer
Singel 25
7411 HW Deventer

Telefoon: +31 570 662 662
E-mail: info@cumlaudevo.nl

Daarnaast kan je contact opnemen met de functionaris gegevensbescherming van Topicus.Education B.V. via FG@topicus.nl.