SOMtoday verwerkt persoonsgegevens uitsluitend in opdracht van scholen

Dit betekent dat niet SOMtoday, maar de school bepaalt welk soort gegevens er verwerkt wordt, voor welk doel dat gebeurt en of er bepaalde gegevens verstrekt mogen worden aan derden. 

We conformeren ons aan het privacyconvenant onderwijs.

Beveiliging van privacy-gevoelige informatie

Wij krijgen wel eens vragen over het beveiligen van SOMtoday. En terecht, want het gaat om privacy gevoelige informatie. Middels de informatie op deze pagina geven we inzicht in de manier waarop wij omgaan met deze beveiliging.

 

Beveiliging van gegevens

De beveiliging van de gegevens bestaat uit een aantal onderdelen: de combinatie inlogcode en wachtwoord, mogelijkheid tot gebruik two factor authenticatie middels een token, de beveiliging van de verbinding en de systemen waarop de applicatie en de database draaien.

 

Inlogcode en wachtwoord

De inlogcode en het wachtwoord worden verstrekt, maar deze gegevens kunnen door gebruikers worden aangepast. De mate van veiligheid wordt dus met name door de gebruiker zelf bepaald. Feitelijk is dat niet anders dan vroeger, toen ICT-systemen nog op de server van de school stonden.

 

Wachtwoordbeleid

Het systeem heeft een wachtwoordbeleid dat voorkomt dat te simpele wachtwoorden worden gekozen. Daarnaast is het belangrijk dat gebruikers op een juiste manier omgaan met de wachtwoorden. Dus regelmatig het wachtwoord veranderen, het niet opschrijven of op post-its op de monitor plakken, niet delen met anderen.

 

Beveiliging van de verbinding

Voor de verbinding maken we gebruik van een beveiligde verbinding middels een SSL-certificaat. Dit is dezelfde beveiliging die banken toepassen bij internetbankieren. Door middel van dit certificaat kan de gebruiker zien dat hij daadwerkelijk met de server van SOMtoday communiceert. 

 

Versleutelde gegevensstroom

Tevens worden de gegevens van dit certificaat gebruikt om de gegevensstroom tussen de browser van de gebruiker en de SOMtoday applicatie te versleutelen. SOMtoday gebruikt hiervoor een certificaat met een lange sleutel (256 bit), waardoor browsers aangeven dat er een sterke encryptie gebruikt wordt.

 

Beveiligde locatie

De SOMtoday-applicatie wordt gehost op servers bij een professionele hostingpartij. Deze hostingpartij heeft diverse maatregelen en barrières ingeregeld om te voorkomen dat onbevoegden (fysieke) toegang hebben tot de servers van SOMtoday.

Enkele van deze maatregelen zijn:

– Bezoekers moeten zich vooraf melden en moeten zich legitimeren voordat ze het pand kunnen betreden

– De SOMtoday servers bevinden zich in een extra beveiligde zone in het datacentrum

– Toegang tot de individuele server is ook niet mogelijk zonder de juiste sleutel

– Er zijn diverse controle en alarmsystemen aanwezig om dit in de gaten te houden.

 

ISO/IEC 270001 certificering

Onze hostingpartner beschikt over een ISO/IEC 270001 certificering.

Het Forum Standaardisatie zegt hier het volgende over:

“ISO 27001 specificeert eisen voor het vaststellen, implementeren, uitvoeren, bewaken, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico's voor de organisatie. Het ISMS is ontworpen met het oog op adequate en proportionele beveiligingsmaatregelen die de informatie afdoende beveiligen en vertrouwen bieden.”

Zie voor meer informatie Forum Standaardisatie over ISO/IEC 27001

 

Beveiliging software/applicatie

De fysieke beveiliging van de locatie en de beveiliging van de verbinding zijn dus op orde. Als echter de software op de servers waar SOMtoday draait beveiligingslekken bevat, dan is dat de zwakste schakel. Personen die toegang proberen te krijgen, zullen zich daar dan op richten. Om dit ook te voorkomen, zijn een aantal maatregelen genomen.

 

Scheiding applicatie en database

Onder andere voor de veiligheid is de applicatie gescheiden van de database. De database draait op een aparte server. De databaseserver is vervolgens niet bereikbaar via het internet. Ook de applicatieserver is grotendeels afgeschermd van het internet middels een firewall.

De webapplicatie is voor iedereen aanspreekbaar, maar de beheer-ingangen zijn alleen door Topicus te bereiken. En nog een geruststellende opmerking voor de technisch geïnteresseerden: De applicatie draait op een Linux server met WildFly als applicatie-container.

 

Beperkte toegang

Als een school begint met het gebruik van SOMtoday wordt er een account door SOMtoday aangemaakt. De gegevens hiervan worden verstrekt aan de applicatiebeheerder van de school.

 

Beleid accounts medewerkers

De school is vervolgens zelf verantwoordelijk voor het uitgeven van accounts aan nieuwe medewerkers en het deactiveren van accounts van medewerkers die vertrekken bij de school. Het is voor de school zelf ook verstandig om hiervoor een procedure in te regelen.

 

Toegang servicedesk

Voor medewerkers van de servicedesk is het soms nodig dat er ‘meegekeken’ wordt als er problemen gemeld worden. Medewerkers zullen dit aan de telefoon ook aangeven. In de overeenkomst tussen de school en SOMtoday is dit ook vastgelegd. Dit vindt alleen plaats als er daadwerkelijk noodzaak is.

 

Bijhouden van inlogacties

Alle inlogacties van SOMtoday gebruikers, zowel van de medewerkers op de school als van supportmedewerkers ter ondersteuning, worden bijgehouden in een auditlog. Hierdoor is het per account mogelijk om na te gaan of er oneigenlijk gebruik is geweest ja/nee.

 

Voorwaarden gebruikers

In de overeenkomst zijn voorwaarden opgenomen die de rol als ‘gebruiker’ afdekken. Deze voorwaarden zijn afkomstig van het Ministerie van OCW en worden ook gebruikt in de relatie tussen de school (c.q. het bestuur) en DUO voor de uitwisseling van gegevens met BRON.

 

Wettelijke eisen

Ook vanuit de overheid worden er eisen gesteld aan het systeem met betrekking tot de beveiliging van de persoonsgegevens. Dit behelst onder andere het vastleggen en opvolgen van afspraken middels een bewerkersovereenkomst. Hierin staat ook welke gegevens verzameld worden en voor welk doel deze gegevens gebruikt worden. Ook afspraken met betrekking tot beveiliging zijn hierin opgenomen.

 

Controle beveiliging

De doorontwikkeling en het onderhoud en beheer van de SOMtoday applicatie is in handen van Topicus B.V. Topicus heeft jarenlange ervaring met het bouwen en onderhouden van veilige webapplicaties. Niet alleen worden applicaties voor het onderwijs ontwikkeld, maar ook applicaties voor de zorgsector en de financiële sector. De kennis en ervaring met betrekking tot beveiligingsproblematiek wordt regelmatig gedeeld, zodat ook op de nieuwste ontwikkelingen ingesprongen kan worden.

Op het gebied van privacy en beveiliging wordt ons bedrijf daarnaast geadviseerd door Deloitte.

 

Security-scans

Toch is het lastig voor een organisatie om zelf te controleren / vast te stellen dat het helemaal goed zit met de beveiliging. Daarom worden er regelmatig security-scans (ook wel penetratietesten) uitgevoerd door externe partijen, om er voor te zorgen dat we niets missen.

Hopelijk heeft u zo een indruk van de beveiliging van onze applicatie SOMtoday.

 
 

Onze blogs over privacy