fbpx

5 belangrijkste privacyrisico’s in relatie tot onzorgvuldig gedrag van medewerkers in het onderwijs

Door de groeiende cyberdreiging moeten veel scholen zich beter gaan beveiligen. Vooral het onderwijs is onvoldoende voorbereid op cyberaanvallen. De Autoriteit Persoonsgegevens (AP) heeft de trends en privacyrisico’s voor gegevensbescherming in het onderwijs in kaart gebracht. Aan de hand van deze bevindingen heeft de onderwijssector aanbevelingen ontvangen van de AP om gegevens van leerlingen, ouders en medewerkers te beschermen tegen cyberdreigingen. Technische maatregelen zijn niet genoeg om een school te beschermen tegen cyberdreigingen en privacyrisico’s. Het belang van de menselijke factor moet niet worden onderschat. Medewerkers moeten ook bewust gemaakt worden van het belang van informatiebeveiliging en privacy. In dit artikel besteden we aandacht aan vijf belangrijkste menselijke privacyrisico’s die onze privacyprofessionals regelmatig tegenkomen in het onderwijs.

  1. Wachtwoorden

Wachtwoorden zijn al geruime tijd in omloop als beveiligingsmaatregel, maar helaas werkt deze maatregel niet altijd. Er zijn nog steeds medewerkers die dezelfde 2 of 3 wachtwoorden voor meerdere accounts gebruiken. Ook zien we nog steeds in organisaties wachtwoorden voorbijkomen die makkelijk te kraken zijn. Er zijn ook organisaties waar complete systemen met slechts één wachtwoord worden beveiligd. Scholen moeten meer aandacht besteden aan hun wachtwoordbeleid en hun medewerkers trainen in het gebruik van sterke wachtwoorden en meerfactorauthenticatie.

  1. Onbeveiligd versturen van bijlagen in een e-mail

Bij veel medewerkers is nog niet voldoende besef aanwezig van de gevaren van het versturen van privacygevoelige en/of bijzondere persoonsgegevens via de e-mail. Aan het verzenden van gegevens via e-mail zitten risico’s. Wil je bijvoorbeeld persoonsgegevens over leerlingen, ouders of collega’s via e-mail versturen? Dan ben je er als medewerker verantwoordelijk voor dat je die gegevens veilig verstuurt. Een ander belangrijk aandachtspunt is dat je als medewerker moet nagaan of het écht noodzakelijk is en of het toegestaan is om gegevens te delen met derden.

  1. Phishing herkennen en voorkomen

Zelfs als veel e-mails worden tegengehouden door spamfilters en andere beveiligingsmaatregelen, kunnen er altijd valse mails in postvakjes verschijnen. Dan is de medewerker aan zet. De mens is de zwakste schakel als het gaat om gegevensbescherming. Phishing berichten worden steeds beter en cybercriminelen verplaatsen zich ook naar andere media. Een medewerker hoeft maar één moment niet op te letten en de gevolgen kunnen groot zijn voor een school. Het openen van een e-mailbijlage of het klikken op een linkje kan voor een school grote gevolgen hebben, zoals het functioneren van alle digitale processen, hoge kosten, imagoschade en diefstal van gegevens. Het is dus belangrijk om medewerkers weerbaar te maken tegen phishing.

  1. Werk en privé

Steeds meer werknemers gebruiken één apparaat voor zowel zakelijk als privégebruik. Medewerkers die in het weekend nog even een zakelijke mail sturen met hun eigen smartphone. Of een medewerker die juist overdag op het werk nog even snel bioscoopkaartjes bestelt op de werklaptop. Ook gebeurt het weleens dat de kinderen of de partner gebruikmaakt van de werklaptop van de werknemer. Het is goed om te beseffen dat de school normaal gesproken verantwoordelijk is voor eventuele schade die ontstaat door bijvoorbeeld virussen of ransomware. Leest een werknemer zakelijke e-mails op zijn eigen smartphone? Opent hij/zij daarbij zonder het te beseffen een besmette bijlage? Dan draait de school zelf op voor de eventuele gevolgen die hierdoor ontstaat aan het schoolnetwerk. Bewustwording en voorlichting op dit gebied is zeker geen overbodige luxe. Een goede beveiliging begint dan ook bij goede voorlichting en training van medewerkers op het gebied van device- en databeveiliging.

  1. Sociale media

Medewerkers uit het onderwijs zijn heel actief op sociale media. Er wordt informatie gedeeld en besproken. Mentoren die casussen op Facebook bespreken, hun e-mailadressen bij ‘opmerkingen’ plaatsen voor gratis lesmateriaal, enzovoorts. Hackers maken dankbaar gebruik van deze gegevens. Laat medewerkers zich bewust zijn van hun eigen handelen op sociale media. Bespreken ze wel eens een casus van hun werk op sociale media? Dan moeten ze beseffen dat mensen (leerlingen, ouders en collega’s) zich hierin kunnen herkennen. Ze moeten ervoor zorgen dat mensen voldoende anoniem blijven. Alleen een fictieve naam gebruiken, is onvoldoende.

Heb je ontzorging nodig op het gebied van privacybewustwording?

Voor het onderwijs hebben we voor elke doelgroep een eigen cybersecurity en privacy training ontwikkeld. Zeer compleet en aantrekkelijk geprijsd.