ParnasSys verwerkt persoonsgegevens uitsluitend in opdracht van scholen. Dit betekent dat niet ParnasSys, maar de school bepaalt welk soort gegevens er verwerkt wordt, voor welk doel dat gebeurt en of er bepaalde gegevens verstrekt mogen worden aan derden.


Beveiliging van privacy-gevoelige informatie

Wij krijgen wel eens vragen over het beveiligen van ParnasSys. En terecht, want het gaat om privacy gevoelige informatie. Middels de informatie op deze pagina geven we inzicht in de manier waarop wij omgaan met deze beveiliging.

 

Diverse onderdelen

De beveiliging van de gegevens bestaat uit een aantal onderdelen: de combinatie inlogcode en wachtwoord, de beveiliging van de verbinding en de systemen waarop de applicatie en de database draaien.


Inlogcode en wachtwoord

De inlogcode en het wachtwoord worden door ons verstrekt, maar deze gegevens kunnen door gebruikers worden aangepast. De mate van veiligheid wordt dus met name door de gebruiker zelf bepaald. Feitelijk is dat niet anders dan vroeger, toen leerlingadministratiesystemen nog op de server van de school stonden.


Wachtwoordbeleid

Het systeem heeft wel een wachtwoordbeleid dat voorkomt dat te simpele wachtwoorden worden gekozen. Daarnaast is het belangrijk dat gebruikers op een juiste manier omgaan met de wachtwoorden. Dus regelmatig het wachtwoord veranderen, het niet opschrijven of op post-its op de monitor plakken, niet delen met anderen.


Beveiliging van de verbinding

Voor de verbinding maken we gebruik van een beveiligde verbinding middels een SSL-certificaat. Dit is dezelfde beveiliging die banken toepassen bij telebankieren. Door middel van dit certificaat kan de gebruiker zien dat hij daadwerkelijk met de server van ParnasSys communiceert.


Versleutelde gegevensstroom

Tevens worden de gegevens van dit certificaat gebruikt om de gegevensstroom tussen de browser van de gebruiker en de ParnasSys applicatie te versleutelen. ParnasSys gebruikt hiervoor een certificaat met een lange sleutel (256 bit), waardoor browsers aangeven dat er een sterke encryptie gebruikt wordt.


Beveiligde locatie

De ParnasSys-applicatie wordt gehost op een server bij een professionele hostingpartij. Deze hostingpartij heeft diverse maatregelen en barrières ingeregeld om te voorkomen dat onbevoegden (fysieke) toegang hebben tot de server van ParnasSys.

Enkele van deze maatregelen zijn:

  • Bezoekers moeten zich vooraf melden en moeten zich legitimeren voordat ze het pand kunnen betreden
  • De ParnasSys servers bevinden zich in een extra beveiligde zone in het datacentrum
  • Toegang tot de individuele server is ook niet mogelijk zonder de juiste sleutel
  • Er zijn diverse controle en alarmsystemen aanwezig om dit in de gaten te houden.

ISO/IEC 270001 certificering

Onze hostingpartner beschikt over een ISO/IEC 270001 certificering. Wikipedia zegt hierover het volgende:
“ISO 27001 is een ISO standaard voor informatiebeveiliging. […]
De norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s voor de organisatie.” 
Zie voor meer informatie Wikipedia over ISO 27001


Beveiliging software/applicatie

De fysieke beveiliging van de locatie en de beveiliging van de verbinding zijn dus op orde. Als echter de software op de server waar ParnasSys draait beveiligingslekken bevat, dan is dat de zwakste schakel. Personen die toegang proberen te krijgen, zullen zich daar dan op richten. Om dit ook te voorkomen, zijn een aantal maatregelen genomen.


Scheiding applicatie en database

Onder andere voor de veiligheid is de applicatie gescheiden van de database. De database draait op een aparte server. De databaseserver is vervolgens niet bereikbaar via het internet. Ook de applicatieserver is grotendeels afgeschermd van het internet middels een firewall.

De webapplicatie is voor iedereen aanspreekbaar, maar de beheer-ingangen zijn alleen vanaf Topicus te bereiken. 


Beperkte toegang

Als een school begint met het gebruik van ParnasSys wordt er een account door ParnasSys aangemaakt. De gegevens hiervan worden verstrekt aan de contactpersoon van de school.


Beleid accounts medewerkers

De school is vervolgens zelf verantwoordelijk voor het uitgeven van accounts aan nieuwe medewerkers en het deactiveren van accounts van medewerkers die vertrekken bij de school. Het is voor de school zelf ook verstandig om hiervoor een procedure in te regelen.


Toegang servicedesk

Voor medewerkers van de servicedesk is het soms nodig dat er ‘meegekeken’ wordt als er problemen gemeld worden. Medewerkers zullen dit aan de telefoon ook aangeven. In de overeenkomst tussen de school en ParnasSys is dit ook vastgelegd. Dit vindt alleen plaats als er daadwerkelijk noodzaak is.


Voorwaarden gebruikers

In de overeenkomst zijn voorwaarden opgenomen die de rol als ‘gebruiker’ afdekken. Deze voorwaarden zijn afkomstig van het Ministerie van OCW en worden ook gebruikt in de relatie tussen de school (c.q. het bestuur) en DUO voor de uitwisseling van gegevens met BRON.


Wettelijke eisen

Ook vanuit de overheid worden er eisen gesteld aan het systeem met betrekking tot de beveiliging van de persoonsgegevens. Dit behelst onder andere het vastleggen en opvolgen van afspraken middels een bewerkersovereenkomst. Hierin staat ook welke gegevens verzameld worden en voor welk doel deze gegevens gebruikt worden. Ook afspraken met betrekking tot beveiliging zijn hierin opgenomen.


Controle beveiliging

De doorontwikkeling en het onderhoud en beheer van de ParnasSys applicatie is in handen van Topicus B.V. Topicus heeft jarenlange ervaring met het bouwen en onderhouden van veilige webapplicaties. Niet alleen worden applicaties voor het onderwijs ontwikkeld, maar ook applicaties voor de zorgsector en de financiële sector. De kennis en ervaring met betrekking tot beveiligingsproblematiek wordt regelmatig gedeeld, zodat ook op de nieuwste ontwikkelingen ingesprongen kan worden.

Op het gebied van privacy en beveiliging wordt ons bedrijf daarnaast geadviseerd door Deloitte.


Security-scans

Toch is het lastig voor een organisatie om zelf te controleren / vast te stellen dat het helemaal goed zit met de beveiliging. Daarom worden er regelmatig security-scans (ook wel penetratie-testen) uitgevoerd door externe partijen, om er voor te zorgen dat we niets missen.

Hopelijk heeft u zo een indruk van de beveiliging van onze applicatie ParnasSys.