Visie en beleid: Toegangsbeleid

Toegangsbeleid

Een belangrijk onderdeel van het ict-beleid is het toegangsbeleid. In het onderwijs worden steeds meer (privacygevoelige) gegevens digitaal bewaard in verschillende systemen. Soms weten scholen zelf niet meer in welke systemen bepaalde gegevens worden opgeslagen, laat staan wie er allemaal toegang heeft tot die gegevens. In dit artikel wordt kort toegelicht wat er in het toegangsbeleid omschreven moet worden.

Specificeren

Allereerst moet in het toegangsbeleid omschreven worden welke gegevens waar bewaard dienen te worden. Aan bewaarplaatsen die veel privacy gevoelige gegevens bevatten, moeten strengere toegangseisen gesteld worden dan aan bewaarplaatsen met minder gevoelige gegevens. Om dit in kaart te brengen kan een gegevensinventarisatie en een risico-classificatie uitgevoerd worden.

Vervolgens moet bepaald worden welke rollen toegang mogen hebben tot deze gegevens. Elke rol moet binnen een bepaald systeem gemachtigd of geautoriseerd worden om toegang te krijgen. Het is dus ook van belang om vast te stellen welke personen binnen een bepaald systeem gebruikers mogen autoriseren.

In feite zou, naast het mogen registreren of wijzigen van gegevens, ook bepaald moet worden wie bepaalde gegevens alleen mag inzien of verwijderen, maar niet alle systemen zijn ingericht om deze afzonderlijke rechten toe te kennen.

Uitvoeren

Als vastgesteld is wie toegang mag hebben tot bepaalde gegevens, dienen de gebruikersaccounts (inloggegevens) verstrekt te worden aan de juiste personen. De betrouwbaarheid van een account hangt sterk af van de wijze waarop de inloggegevens worden verstrekt. De wijze van verstrekking bepaalt immers in hoeverre men zeker weet dat de juiste persoon over de inloggegevens beschikt.

Zeker bij accounts die toegang geven tot gevoelige informatie, moeten afspraken gemaakt worden over het geheimhouden, de sterkte en vernieuwingsfrequentie van inloggegevens. In de praktijk gebeurt het nog te vaak dat inloggegevens doorgegeven worden aan (duo)collega’s of eenvoudig achterhaald of afgekeken kunnen worden door leerlingen.

rsasecurity1

In het voorgezet onderwijs wordt, naast het gebruik van de reguliere inloggegevens,  in toenemende mate gewerkt met een extra inlogcode via een zogenaamde token (zie afbeelding) of een SMS, om toegang te krijgen tot persoons- en resultaatgegevens van leerlingen.

Controleren

Er moet regelmatig bekeken worden in hoeverre de beleidsafspraken worden uitgevoerd. Daarbij behoort ook het controleren of de accounts en de rechten nog toebehoren aan de juiste personen. Vaak zijn er goede procedures voor het uitdelen van account, maar wordt vergeten om accounts van vertrekkende collega’s ook te verwijderen. In het toegangsbeleid wordt beschreven hoe vaak, op welke wijze en door wie de controles worden uitgevoerd.

Tot slot

Toegangsbeleid is in feite een onderdeel binnen het informatiebeveiligingsbeleid. Het is een van de maatregelen om de gegevens binnen de school af te schermen voor derden. Daarnaast zijn er ook andere, meer technische, beveiligingsmaatregelen te bedenken die het ‘lekken’ van gegevens moeten voorkomen. Veelal zijn dit zaken die met leveranciers afgesproken dienen te worden. Toegangsbeleid moeten scholen zelf regelen. Voor scholen bestaat sinds 1 januari 2016 ook een meldplicht als persoonsgegevens niet veilig worden afgeschermd. Klik hier voor meer info over het meldpunt datalekken.

Tonny Plas