Hoe krijg ik security op de kaart bij mijn kinderopvang?

congerdesign / Pixabay

Een lezer vroeg me:

Onze kinderen gaan naar de kinderopvang. Het bureau gebruikt hiervoor een SaaS-platform van een derde, met daarin dus alle persoonsgegevens (inclusief bsn en benodigde gezondheidsinformatie). Maar meer dan een wachtwoord wordt er niet gebruikt, en je mag zo te zien onbeperkt wachtwoorden proberen. Ik maak me daar grote zorgen over, ik zie dit zo gehackt worden. Wat kan ik doen, zijn er juridische middelen?
Er zijn vele, vele pakketten en diensten als deze. Nu we als maatschappij graag onze zaakjes zo veel mogelijk online willen regelen, is het logisch dat er allerhande portalen, apps en diensten komen waarmee dat kan. En die slaan dan dus al die gegevens op, die vaak wettelijk nodig zijn (zoals bsn bij kinderopvang) of waarzonder men niet kan werken (zoals allergie-gegevens).

Er zijn tegelijk maar weinig wettelijke kaders. De AVG is natuurlijk de bekendste. Deze bepaalt dat zulke gegevens goed beschermd moeten zijn, maar schrijft geen specifieke security-eisen voor. Je moet zelf, op basis van de situatie, de kosten en de te verwachten bedreigingen, een afweging maken om het zo goed mogelijk op orde te maken.

Er is ook geen toezichthouder die preventief je platform komt screenen of een audit komt uitvoeren. Of zelfs maar komt eisen dat jij een audit laat uitvoeren of wat dan ook. Wie het heel treurig wil formuleren, komt dus tot de conclusie dat alles AVG proof is totdat blijkt dat dat niet zo is. Door een hack of datalek dus. Ik word daar inderdaad niet vrolijk van.

En natuurlijk, dan mag de kinderopvang de rommel opruimen en de schade vergoeden. Want ook als ze dit zonder enige kennis van digitale zaken inkopen, zij blijven onder de AVG de verwerkingsverantwoordelijke en zij zijn aansprakelijk voor alles dat er mis gaat. (Op papier kunnen ze dat verhalen op de leverancier, of ze dit in de onderhandelingen van het servicelevelcontract afdwingen blijft natuurlijk giswerk.)

Als je als ouder een vermoedelijk datalek of ander probleem zit, kun je dat natuurlijk aankaarten. Alleen lastig: het bureau kan er niets mee, want die heeft de kennis niet. En de leverancier van het platform is vaak lastig bereikbaar voor de eindklanten, of heeft er weinig belang bij theoretische risico’s snel op te pakken.

Dus veel praktische oplossingen zijn er niet. Specifiek bij kinderopvang is er wellicht nog de route van de oudercommissie, die bij het bureau kan aankaarten dat er zorgen leven en of er wat anders bedacht kan worden. Mijn gevoel is dat bij veel van dergelijke commissies de zorg om digitale veiligheid niet heel hoog is, maar het is het proberen waard.

Arnoud

5 reacties

  1. Een lokale kinderopvang organisatie valt waarschijnlijk onder een van de overkoepelende landelijke organisaties, en die hebben hun zaken meestal aardig op orde. En die hebben bijvoorbeeld ook een FG. De route via de oudercommissie heeft inderdaad de voorkeur, maar daar mag en kun je als ouder best volhardend in zijn. En anders dus naar een regio directeur of op landelijk niveau escaleren. De oudercommissies worden ook ondersteund door een landelijke organisatie, BOINK. Ook daar kun je het proberen. Ik heb een soortgelijke situatie aan de hand gehad met een basisschool, helaas daar wel echt een datalek. Ik heb dat gemeld bij de directeur die er adequaat op heeft gehandeld met de FG van de overkoepelende onderwijsstichting. Daarna(ast) heb ik ook de MR geïnformeerd en daar staat data veiligheid nu ook op de agenda bij hun reguliere overleggen met de directeur.

  2. Dit soort zaken pleiten dan altijd voor enige ‘burgerlijke ongehoorzaamheid’… Je zou immers het kinderdagverblijf zelf kunnen hacken en via de journalistieke weg dit aan de man brengen. Het kinderdagverblijf hoeft nooit te weten dat jij erachter zat, maar als ze eenmaal op De Telegraaf lezen dat hun klantenbestand op straat ligt, dan zullen ze vast wel actie nemen.

    Belangrijke kanttekening natuurlijk, je moet niet echte gegevens lekken aan derden. De journalistieke weg kent veel ruimte voor bron bescherming, maar als je daadwerkelijk informatie openbaart dan gaat die vlieger niet op.

    1. Dringend advies: éérst een journalist vinden die bij zo’n massamedium werkt en die wil weten hoe dit zit. De journalist de leiding laten nemen over hoe het onderzoek uit te voeren en welke gegevens er nodig zijn. Hacken en daarna een journalist erbij zoeken om het journalistiek te maken, is zéér onverstandig.

  3. ISO 27001 is de kwaliteitsstandaard voor informatiebeveiliging. Als je googlet naar “iso 27001 kinderopvang” krijg je kinderopvangorganisaties die hun informatiebeveiliging op peil hebben, conform die standaard. Dus een praktische oplossing is er wel zeker: doe je kinderen naar een organisatie die fatsoenlijk gecertificeerd is, en niet naar een beunhaas.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.