Dienstverlener voor ict in het hoger onderwijs Surf breidt zijn community voor informatiebeveiliging (Surfibo) uit. Ook juristen en privacy-experts nemen deel aan die groep. De naam is daarop omgedoopt in Scipr, dat staat voor Surf community voor informatiebeveiliging en privacy. De organisatie richt zich op nieuwe Europese wet- en regelgeving rondom informatiebeveiliging, zoals de Meldplicht voor datalekken die in 2016 ingaat.
‘Je kunt vandaag de dag informatiebeveiliging niet meer los zien van privacy. Een integrale aanpak is noodzakelijk’, stelt Scipr-voorzitter Bart van den Heuvel in het september-nummer van het huisorgaan van Surf. Bij de voorbereiding op nieuwe Europese wetgeving werkten de informatiebeveiligers en privacy-kenners samen. Surf riep de hulp van juristen en security officers binnen onderwijsinstellingen in. De twintig deelnemende organisaties vonden die samenwerking een succes en besloten om deze voort te zetten. Dat heeft een vaste vorm gekregen in de nieuwe community.
Privacy by design
‘De nieuwe Wet Datalekken die in 2016 ingaat vraagt om ‘privacy by design”, vult bestuurder Frans Pingen in het artikel in het Surf-magazine aan. Pingen, concernjurist en compliance officer bij de Wageningen UR, zegt ook: ‘Je moet kunnen aantonen dat je al het mogelijke hebt gedaan om persoongegevens te beschermen.’
Het eerste resultaat van de samenwerking is de ‘privacy impactanalyse’. Daarin zijn vijfentwintig administraties binnen het onderwijs gedefinieerd waarin privacy een rol speelt en die voor nagenoeg alle onderwijsinstellingen gelijk zijn. Het gaat bijvoorbeeld om de student-, personeels- en salarisadministratie. Voor de studentadministratie is de impact van privacy en informatiebeveiliging volledig uitgewerkt. De andere 24 moeten later volgen.
Minderjarigen
Ook de samenwerking met mbo-instellingen staat op de agenda van Scipr, blijkt uit het artikel. Voorzitter Bart van den Heuvel: ‘Roc’s zijn over het algemeen grote instituten die nog redelijk onervaren zijn in informatiebeveiliging. De meesten hebben net een security officer aangesteld.’
Hij wijst erop dat met de toetreding van mbo-instellingen ‘privacy voor minderjarigen’ een belangrijk onderwerp is geworden. ‘Voorheen kenden alleen hbo-instellingen een klein groepje minderjarigen. Maar nu het mbo erbij komt zullen we onze documentatie op dit onderwerp moeten uitbreiden.’ Onderdeel van de nieuwe EU-regels is de aanscherping van de omgang met gegevens van en over minderjarigen.