Projectmail 20  

In deze projectmail:

  • Informatiebeveiliging: interview met Bert Snel
  • Zelfservice PGN-scan 2
  • BRON
  • NOT 2009
  • Praktische tips

Interview Bert Snel
Bij informatiebeveiliging komt het aan op afspraken maken en nakomen

Volgens Bert Snel, bijzonder hoogleraar informatiebeveiliging aan de TU Eindhoven, is de technische kant van informatiebeveiliging het makkelijkst te regelen. “Het uitwisselen van persoonsgegevens tussen organisaties komt steeds vaker voor, de zogenoemde ketenuitwisseling. Daar zitten natuurlijk allerlei voordelen aan maar juist omdat er uitgewisseld wordt en deze processen steeds complexer zijn, nemen de risico’s toe dat gegevens op straat komen te liggen. Dat kun je voorkomen door er voor te zorgen dat de gegevens versleuteld zijn, dat wil zeggen dat ze niet meer herkenbaar zijn. Ik weet dat bij de invoering van het persoonsgebonden nummer de informatiebeveiliging vanaf de start een aandachtspunt is geweest. Het gaat natuurlijk om gevoelige gegevens. Ook in dit geval zijn de gegevens versleuteld, mocht het mis gaan. Overigens zijn er allerlei wettelijke bepalingen die organisaties verplichten maatregelen rond informatiebeveiliging te nemen. Gelukkig is dat in Nederland goed geregeld, in tegenstelling tot bijvoorbeeld de VS. Daar is ‘identiteitsverwisseling’ een serieus probleem. Het komt steeds vaker voor dat mensen zich voor een ander uitgeven en daarmee de bewuste persoon veel schade berokkenen.”

Snel vindt dat mensen wat dubbel zijn als het gaat om privacy van gegevens. “We hechten er sterk aan dat organisaties persoonlijke gegevens goed beveiligen maar stellen zelf wel steeds vaker via internet allerlei informatie beschikbaar. We zijn ons vaak niet bewust van de risico’s. Zo heeft het ministerie van Defensie op haar site heel lang de namen vermeld van de soldaten die uitgezonden waren naar Afghanistan. Nu niet meer. Je kunt je voorstellen wat terroristen met die gegevens kunnen. Het is natuurlijk ook de vraag wat je betrouwbaar vindt. Uit recent onderzoek blijkt bijvoorbeeld dat mensen meer waarde hechten aan elektronisch dan aan schriftelijk bevestigde informatie. Dat is raar. Nog afgezien van wat wettelijk is voorgeschreven vraagt informatiebeveiliging dus om afspraken over wat je wel en niet toestaat in je organisatie en dat je daarover goede afspraken maakt. Dat een wachtwoord bijvoorbeeld slechts bij een enkeling bekend is en niet toegankelijk is voor anderen. Dat je een systeem altijd afsluit wanneer je even weggeroepen wordt. Dat er afspraken zijn over aan wie gegevens wel of niet verstrekt worden en met welk doel. Dus als een ouder belt voor de gegevens omdat hij een telefooncirkel wil opzetten, ga je daar niet zo maar op in. Informatiebeveiliging vraagt dus zorgvuldig en consequent gedrag van de mensen die met de persoonsgegevens omgaan.”

Zelfservice PGN-scan 2
Een groot aantal scholen is bezig met de uitvoering van de PGN-scan: de uitwisseling van leerlingengegevens met PGNPO die deze controleert en geschikt maakt voor definitieve uitwisseling met de IB-Groep. Dat is van groot belang omdat de definitieve uitwisseling de basis van uw bekostiging wordt.

Het doel van de PGN-scan is dat 100% van de leerlingen aanwezig zijn in de scan en dat van minimaal 95% van het aantal opgegeven leerlingen alle gegevens correct zijn. PGNPO begeleidt scholen bij de zogenaamde eerste en tweede iteratie (uitwisseling) op dagen die in overleg met de school zijn gepland. Na de tweede iteratie moet een school zelfstandig aanleveren waarbij deze een beroep kan doen op ondersteuning door de Helpdesk PGNPO.

Op dit moment blijkt dat vaak meer dan twee iteraties nodig zijn. Om het proces te vergemakkelijken is daarom vanaf 1 november 2008 een nieuwe versie van de PGN-scan in gebruik genomen. Daarin is ook een telling opgenomen van het aantal leerlingen op 1 oktober 2008 en het actuele aantal leerlingen op het moment van levering. Daarnaast worden tellingen opgenomen van aantallen leerlingen met een LGF-indicatie en de aantallen leerlingen per gewichtsindicatie.

Maar PGNPO vraagt ook iets van u. We gaan de zelfservice bij de PGN-scan intensiveren: vanaf de derde iteratie wordt niet meer na vier weken uitgewisseld, maar na twee weken. Scholen ontvangen daarover een email van PGNPO met het verzoek weer te leveren. Dit herhaalt zich tot de score van 95% bereikt is. Wij vragen iedere school dringend hieraan mee te werken. Het uitblijven van leveringen kan vergaande consequenties hebben, dat wil zeggen dat uw school niet klaar is voor aansluiting op BRON (zie volgende bericht).

BRON
Een groot aantal scholen is op dit moment bezig met de PGN-scan 2, de uitwisseling van leerlingengegevens met PGNPO. De overige scholen zijn binnenkort aan de beurt. De scan is nodig als voorbereiding op de uiteindelijke uitwisseling met BRON, het Basisregister Onderwijs bij de IB-Groep. Vanaf april 2009 zullen alle scholen in het primair onderwijs gaan aansluiten op BRON. Deze uitwisseling is straks de enige grondslag voor de bekostiging van de scholen in het primair onderwijs.

Ook bij de aansluiting op BRON zullen scholen begeleid worden. Voor de eerste kennismaking met BRON kunt u terecht in hal 8 (stand E090) op de NOT 2009, dé vakbeurs voor onderwijsprofessionals, van 27 tot en met 31 januari in de Jaarbeurs in Utrecht.

PGNPO en BRON op de NOT 2009
Op de NOT kunt u informatie krijgen over de PGN-scan en over de aansluiting op BRON. Dit kan bij het BRON-loket in de gezamenlijke stand van OCW, CFI, de Informatie Beheer Groep, PGNPO en de Inspectie van het Onderwijs. Ook is er een speciale BRON-foyer, waar allerlei BRON-gerelateerde organisaties zich op een originele manier en in een ontspannen ambiance presenteren. Hier wordt in beeld gebracht welke gegevensstromen in en uit BRON gaan en wat er met die gegevens gebeurt. De digitale presentaties worden aangeboden in een doorlopende expositie gedurende de beursdagen. Het doel van de tentoonstelling is de meerwaarde van BRON te tonen én te laten zien dat BRON meer doelen dient dan alleen de bekostiging van de scholen. Ook kunt u deelnemen aan rondetafelgesprekken. De toegang is gratis. U heeft hier onlangs een uitnodiging voor ontvangen van staatssecretaris Dijksma in de eerste nieuwsbrief BRON.

Praktische tips

  1. Als ik PGNPO bel, kies ik dan voor secretariaat, planning of helpdesk?
    U kiest voor secretariaat met vragen over de bewerkersovereenkomst;
    U kiest voor planning wanneer u planningsafspraken voor de PGN-scan 2 wilt wijzigen;
    U kiest voor helpdesk in alle overige gevallen, bijvoorbeeld bij vragen over de PGN-scan rapportage, foutmeldingen bij het aanleveren van gegevens, wijziging van contactgegevens, vragen over het installeren van het certificaat, vergeten wachtwoorden.
  2. Hoe kan ik voorkomen dat ik telkens opnieuw een certificaat moet installeren?
    We merken in een groeiend aantal gevallen dat scholen een contract hebben met een netwerkbeheerder die elke nacht een image klaarzet, waardoor elke dag opnieuw de computers in het netwerk teruggezet worden in een beginstand.
    Als dit voor u van toepassing is, kunt u uw netwerkbeheerder vragen om het certificaat op te nemen in die image. Daarmee voorkomt u dat u het telkens opnieuw moet installeren.
  3. Als ik Internet Explorer gebruik, welke versie moet ik dan tot mijn beschikking hebben?
    Gebruikt u minimaal Internet Explorer versie 6. Versie 7 kan ook. Vanzelfsprekend kunt u ook een andere browser, zoals mozilla firefox gebruiken.
  4. Wat moet ik doen als mijn leerlingadministratiesysteem niet alle leerlingen door kan sturen?
    U kunt dan het beste in groepen van zo’n 30 leerlingen de leerlingen versturen. Let er wel op dat u die verzending op één dag doet; anders moet u weer enkele weken wachten voordat u de volgende levering kunt doen.
    Overigens is dit een probleem dat meestal het gevolg is van instellingen op uw computer; het ligt niet direct aan uw softwareleverancier. Uw softwareleverancier probeert wel een oplossing voor het probleem te vinden.
  5. Kunnen op Mijn PGNPO ook inspectielocaties worden geregistreerd?
    Nee. PGNPO neemt inspectielocaties niet op in de database, alleen door CFI erkende nevenvestigingen worden opgenomen in de database en zijn dus zichtbaar op Mijn PGNPO.