Als je onderwijsinstelling een website heeft waarop gegevens van studenten worden verzameld, dan is het beschermen van die gegevens zowel een wettelijke als ethische verantwoordelijkheid.

Naast het handhaven van het vertrouwen van studenten en hun familie, is het in veel rechtsgebieden verplicht om de wetten voor gegevensbescherming na te leven. Twee belangrijke regels om rekening mee te houden zijn:

  • FERPA (Family Educational Rights and Privacy Act). Deze Amerikaanse regelgeving bevat nalevingsvereisten zoals het beperken van de toegang tot leerlinggegevens tot alleen bevoegde personen en het verkrijgen van schriftelijke toestemming voordat leerlinggegevens worden gedeeld. Het Amerikaanse Ministerie van Onderwijs heeft een speciale website voor studentenprivacy met veel informatie over FERPA.
  • GDPR (Algemene Verordening Gegevensbescherming). Deze Europese verordening bevat een aantal nalevingsvereisten, zoals het verkrijgen van duidelijke toestemming voor het verzamelen van gegevens, het waarborgen van de overdraagbaarheid van gegevens, het implementeren van “privacy by design” principes en het direct op de hoogte stellen van studenten en autoriteiten als er een datalek is. We hebben een volledig bericht geschreven over WordPress GDPR en AVG compliance.

Dit artikel gaat over een aantal praktische manieren om gegevens van leerlingen te beveiligen op educatieve websites die zijn gebouwd met WordPress. Hieronder vallen technische tips, zoals het versleutelen van leerlinggegevens, maar ook andere belangrijke strategieën, zoals het onderwijzen van je personeel over gegevensbeveiliging.

Laten we beginnen..

Gebruik een veilige hostingprovider

Een veilige hostingprovider is een van de meest effectieve manieren om leerlingdata op je WordPress site te beschermen. Een goed geconfigureerde host helpt onbevoegde toegang, datalekken en downtime te voorkomen.

Kinsta biedt bijvoorbeeld managed hosting voor WordPress voor onderwijsinstellingen met ingebouwde beveiligingsfuncties om de gegevens van je organisatie te helpen beschermen, waaronder:

  • Veilige infrastructuur. Kinsta maakt gebruik van een veilige infrastructuur die wordt aangedreven door Google Cloud Platform voor het netwerk zelf en Cloudflare aan de rand van het netwerk.
  • Gratis SSL certificaat. Kinsta biedt gratis SSL certificaten aan, wat belangrijk is omdat het inschakelen van een SSL certificaat je in staat stelt om gegevens te versleutelen wanneer ze tussen de server van je website en de browsers van leerlingen worden doorgegeven.
  • Firewalls. Alle sites worden beschermd door twee firewalls op zakelijk niveau. De firewall van Cloudflare beschermt je site aan de rand van het netwerk en voorkomt dat veel aanvallen de origin server van je site bereiken. Je site wordt ook beschermd door de op IP gebaseerde firewall van Google Cloud Platform.
  • Automatische backups. Kinsta maakt voor alle plannen automatisch dagelijks een backup van je site en slaat je backups op een veilige locatie op. Je kunt de frequentie van deze automatische backups ook verhogen, tot backups per uur.
  • Twee-factor authenticatie (2FA). Je kunt 2FA gebruiken om de toegang tot je hostingaccount te beveiligen.
  • 24/7 ondersteuning. Je hebt toegang tot 24/7 live chatondersteuning als je ergens hulp bij nodig hebt.
Kinsta hostinginfrastructuur.
Kinsta hostinginfrastructuur.

Welke hostingprovider je ook kiest, zorg ervoor dat je alle beveiligingsfuncties volledig benut.

Versleutel gegevens en backups

Encryptie kan helpen bij het beschermen van leerlinggegevens tijdens het transport en in rust, zodat gevoelige informatie beveiligd blijft tegen ongeautoriseerde toegang.

Om te beginnen is het essentieel om een SSL/TLS certificaat te gebruiken en HTTPS in te schakelen op je WordPress website. Dit versleutelt gegevens terwijl ze worden verzonden tussen de browsers van leerlingen en je WordPress website, waardoor ze niet door derden kunnen worden onderschept.

Als je gegevens van leerlingen opslaat, moet je mogelijk ook gegevens in rust versleutelen. De aanpak hangt af van waar de gegevens worden opgeslagen:

  • Als de gegevens worden opgeslagen in je WordPress database, overweeg dan om een database te gebruiken met ingebouwde versleutelingsmogelijkheden. MariaDB ondersteunt bijvoorbeeld Transparent Data Encryption (TDE) om gegevens in rust te versleutelen.
  • Als je een externe database gebruikt, controleer dan of deze encryptie ondersteunt en hoe je deze goed kunt configureren.

Het is ook belangrijk om backups met leerlinggegevens te versleutelen, omdat deze een andere ingang kunnen zijn voor onbevoegden om toegang te krijgen tot leerlinggegevens.

Als je Kinsta gebruikt, hoef je je hier geen zorgen over te maken, omdat backups op serverniveau worden gemaakt en veilig worden opgeslagen in Google Cloud Storage op het Google Cloud Platform (GCP). Als je echter meer flexibiliteit wilt, kun je met de Externe backups add-on backups opslaan in je eigen externe objectopslag zoals Amazon S3, waar je encryptie kunt toepassen met de tools van de provider.

Een lijst met backups van de automatische backup tool van Kinsta.
Een lijst met backups van Kinsta’s automatische backuptool.

Veel WordPress backupplugins bevatten ook functies waarmee je je WordPress backups kunt versleutelen. BackWPup Pro heeft bijvoorbeeld een speciale versleutelingsfunctie die je kunt gebruiken om leerlinggegevens in backups te beveiligen.

Onderwijs medewerkers en beheerders over gegevensbeveiliging

Het beveiligen van leerlinggegevens is iets waar je je hele team voor nodig hebt. Zelfs als je alles technisch perfect hebt ingesteld, kan een simpele menselijke fout, zoals het hergebruiken van een zwak wachtwoord of het verkeerd omgaan met gevoelige gegevens, leiden tot beveiligingsproblemen.

Om deze risico’s te voorkomen is het belangrijk om personeel en beheerders te informeren over hun verantwoordelijkheden bij het omgaan met leerlinggegevens.

Een aantal van de onderwerpen die je moet behandelen zijn de volgende:

  • Wachtwoordbeleid. Eis van medewerkers dat ze unieke, sterke wachtwoorden gebruiken voor hun accounts. Je kunt ze ook aanmoedigen om een wachtwoordmanager zoals Bitwarden of LastPass te gebruiken.
  • Praktijken voor het omgaan met gegevens. Geautoriseerd personeel moet getraind worden in het veilig omgaan met leerlinggegevens. Het versleutelen van leerlinggegevens op je server helpt bijvoorbeeld niet als medewerkers onversleutelde bestanden delen via e-mail of andere onbeveiligde kanalen.
  • Preventie van phishing. Je moet veelvoorkomende soorten phishingaanvallen uitleggen en hoe je personeel problemen kan voorkomen. Bijvoorbeeld door niet te klikken op links in e-mails, nooit OTP’s te delen voor twee-factor authenticatie, etc. De Britse overheid heeft een geweldige pagina over hoe je je organisatie kunt beschermen tegen phishingaanvallen.

Beperk de toegang tot je site en gegevens

Naast het opleiden van personeel en beheerders over de juiste omgang met gegevens, moet je beperken wie toegang heeft tot de gegevens van leerlingen. In het algemeen geldt dat als er minder mensen toegang hebben tot leerlinggegevens, deze gemakkelijker te beveiligen zijn en de kans kleiner is dat een menselijke fout leidt tot een datalek.

Naast het verbeteren van de gegevensbeveiliging in het algemeen, vereist FERPA ook expliciet dat je de toegang tot leerlinggegevens beperkt tot bevoegde personen.

Op WordPress kun je het WordPress gebruikersrolsysteem gebruiken om de toegang van elke gebruiker te beperken. WordPress wordt geleverd met vijf ingebouwde gebruikersrollen (of zes als je WordPress Multisite gebruikt), maar je bent vrij om je eigen rollen te maken of de standaard rollen aan te passen.

Een afbeelding die de standaard WordPress-rollen laat zien als een stapel cilinders, gesorteerd op wat ze kunnen.
De standaard WordPress gebruikersrollen.

Elke rol wordt geleverd met een vooraf gedefinieerde set “mogelijkheden”, die individuele acties/toegang voor gebruikers regelen. We behandelen deze onderwerpen in onze gedetailleerde gids voor WordPress rollen en mogelijkheden.

Om deze rollen en mogelijkheden gemakkelijker te beheren, kun je de User Role Editor plugin gebruiken.

Het biedt een eenvoudige interface waar je specifieke mogelijkheden kunt in- of uitschakelen door gewoon een vakje aan te vinken. Je kunt de mogelijkheden voor de standaard WordPress gebruikersrollen bewerken of je eigen rollen maken.

Een afbeelding die laat zien hoe je gebruikersrollen en bevoegdheden kunt beheren met User Role Editor.
Zo beheer je gebruikersrollen en mogelijkheden met User Role Editor.

Je kunt dan verder gaan door twee-factor authenticatie te implementeren voor alle gebruikers die toegang hebben tot gevoelige gegevens. Je kunt dit instellen met een plugin zoals Wordfence Login Security, waarmee je twee-factor authenticatie kunt vereisen voor specifieke gebruikersrollen op je site.

Als je twee-factor authenticatie verplicht stelt voor elke gebruikersrol die toegang heeft tot leerlinggegevens (samen met het afdwingen van sterke wachtwoorden), kun je de kans dat een onbevoegd persoon toegang krijgt sterk verkleinen.

Als je je website host bij Kinsta, bieden we ook sterk gebruikersrolbeheer voor mensen met toegang tot je hostingaccount. Je kunt gebruikers toewijzen aan specifieke websites, tweefactorauthenticatie afdwingen en meer.

Zorg voor verantwoorde gegevensverzameling (en minimaliseer het verzamelen van gegevens)

Naast het beveiligen van de leerlinggegevens die je hebt, is het ook belangrijk om goed na te denken over hoe je leerlinggegevens verzamelt.

Om te beginnen moet je de gegevens die je verzamelt tot een minimum beperken. Probeer te bedenken waarom je gegevens verzamelt en verzamel alleen gegevens die echt nodig zijn voor het functioneren van je onderwijsinstelling.

Als je die gegevens dan verzamelt, zorg er dan voor dat je dat op een verantwoorde manier doet.

Je moet toestemmingsformulieren hebben waarmee je expliciete toestemming vraagt voor alle studentengegevens die je verzamelt.

Je moet ook een gedegen privacybeleid hebben waarin het volgende wordt uitgelegd:

  • Welke gegevens je verzamelt.
  • Waarom je die gegevens verzamelt.
  • Hoe je die gegevens opslaat.

Om te helpen bij het maken en weergeven van een privacybeleid kun je een WordPress plugin zoals Complianz gebruiken.

Het is ook essentieel dat je een SSL/TLS certificaat installeert en HTTPS inschakelt, zodat alle gegevens die je via je site verzamelt worden versleuteld wanneer ze van de browser van de gebruiker naar je server gaan. Nogmaals, Kinsta’s WordPress hosting biedt gratis SSL/TLS certificaten.

Tot slot moet je een databewaringsbeleid implementeren dat bepaalt hoe lang je gegevens bewaart en moet je regelmatig gegevens verwijderen die je niet meer nodig hebt.

Als je bijvoorbeeld alleen bepaalde informatie nodig hebt over actieve studenten, dan heeft het geen zin om die gegevens te blijven opslaan zodra een student afstudeert. Een dataretentiebeleid kan ervoor zorgen dat je gegevens op de juiste manier verwijdert als ze niet langer nodig zijn.

Om een deel van dit dataretentiebeleid te automatiseren, kun je een WordPress plugin zoals Advanced Database Cleaner gebruiken. Hiermee kun je bepaalde gegevens uit je database verwijderen volgens een schema dat je instelt (of je kunt het gewoon handmatig uitvoeren wanneer dat nodig is).

Een afbeelding die laat zien hoe je gegevens kunt verwijderen met de plugin Advanced Database Cleaner.
Zo verwijder je gegevens met de Advanced Database Cleaner plugin.

Beveilig alle uploads van bestanden en machtigingen

Om je site en gegevens te beschermen tegen kwaadaardige bestanden, is het ook belangrijk om het uploaden van bestanden naar je site te beveiligen. Dit kan het opzettelijk of onopzettelijk uploaden van een kwaadaardig bestand naar je server, dat de potentie heeft om een datalek te veroorzaken, voorkomen.

Om te beginnen moet je beperken welke bestandstypen naar je server mogen worden geüpload. Blokkeer alle mogelijk schadelijke bestandstypen en sta alleen specifieke bestandstypen toe die nodig zijn voor je site. Op WordPress kun je de toegestane bestandstypen regelen met een gratis plugin zoals File Upload Types.

Een afbeelding die laat zien hoe je de plugin File Upload Types kunt gebruiken om bestandstypen te beperken.
Zo gebruik je de File Upload Types plugin om bestandstypen te beperken.

Je moet ook streng controleren welke gebruikers bestanden mogen uploaden naar je site. Zoals we eerder hebben besproken, kun je dit doen met behulp van het WordPress rollensysteem. Meer specifiek kun je de upload_files mogelijkheid gebruiken om te bepalen welke gebruikersrollen de mogelijkheid hebben om bestanden te uploaden.

Het is ook belangrijk om je server te configureren om de toegang tot geüploade bestanden te beperken, wat je kunt doen met .htaccess regels of nginx.conf. Je moet er ook voor zorgen dat je de juiste bestandsrechten instelt om de toegang tot die bestanden op je server te regelen.

Monitor en controleer de toegang tot leerlinggegevens

Het is ook essentieel om je leerlinggegevens te monitoren en de toegang tot leerlinggegevens te controleren.

Als je bijvoorbeeld wilt zien wie de leerlinggegevens heeft bekeken, welke wijzigingen er zijn aangebracht in de leerlinggegevens, enz. Dit kan je helpen bij het signaleren van mogelijke problemen en ervoor zorgen dat je medewerkers zich houden aan het beleid voor het opslaan en verwerken van gegevens.

Om WordPress gebruikers te volgen die leerlinggegevens bekijken of wijzigen, kun je een plugin zoals WP Activity Log gebruiken. Hiermee kun je niet alleen een logboek van acties in je WordPress dashboard bekijken, maar je kunt ook waarschuwingen via e-mail of sms instellen, waarmee je verdachte activiteiten snel kunt opsporen.

Een voorbeeld van de WP Activity Log plugin.
Een voorbeeld van de WP Activity Log plugin.

Naast het loggen van activiteiten in WordPress, moet je ook regelmatig controles uitvoeren om database invoer en logs van gebruikerstoegang te bekijken.

Zowel MySQL als MariaDB bevatten logging tools die je kunt gebruiken, hoewel je ze misschien wel moet inschakelen:

Gebruik alleen vertrouwde WordPress plugins

Het brede aanbod van WordPress plugins is een van de dingen die WordPress zo geweldig maken voor educatieve websites.

Elke plugin die je op je site installeert kan echter ook problemen veroorzaken met de beveiliging van gegevens. Daarom is het essentieel om elke plugin grondig door te lichten en alleen plugins te gebruiken van betrouwbare WordPress ontwikkelaars van hoge kwaliteit.

Zorg ervoor dat je de volgende factoren in overweging neemt voordat je een plugin installeert:

  • Ondersteuning en updates van de ontwikkelaar. Zorg ervoor dat de ontwikkelaar de plugin nog steeds actief ondersteunt en nieuwe updates uitbrengt. Besteed speciale aandacht aan eventuele beveiligingsupdates. Beveiligingsproblemen gebeuren zelfs met de beste software, maar ontwikkelaars bewegen zich om snel een beveiligingspatch uit te brengen en ook informatie te geven over de kwetsbaarheid.
  • Beoordelingen van gebruikers. Deze kunnen een goed beeld geven van de ervaringen van andere gebruikers en de algehele kwaliteit van de plugin.
  • Actieve installaties. Over het algemeen moet je op je hoede zijn voor plugins met een laag aantal actieve installaties. Er kunnen echter uitzonderingen zijn. Als een plugin bijvoorbeeld een zeer niche probleem oplost, maar toch van een betrouwbare ontwikkelaar komt, moet je het niet automatisch uitsluiten.

Naast het kijken naar de kwaliteit van de plugin en de ontwikkelaar, moet je ook beoordelen of de plugin is ontworpen op een manier die compatibel is met FERPA, GDPR en andere relevante richtlijnen.

Zelfs als een plugin afkomstig is van een ontwikkelaar van hoge kwaliteit met een goede staat van dienst, dan nog kan het zijn dat de plugin niet goed past als de plugin inherent gegevens verzamelt of opslaat op een manier die niet voldoet aan FERPA of GDPR.

Werk WordPress, plugins en thema’s onmiddelijk bij

Het up-to-date houden van je WordPress core, plugins en thema’s is cruciaal voor de beveiliging van je site. Verouderde software kan kwetsbaarheden blootleggen waar kwaadwillenden misbruik van kunnen maken.

Volgens een beveiligingsrapport uit 2023 van Sucuri draaide 39,1% van de gehackte CMS websites verouderde software op het moment van infectie. Daarnaast waren plugins in 2023 verantwoordelijk voor 97% van alle nieuwe beveiligingslekken in het WordPress ecosysteem.

Om deze risico’s te beperken, is het essentieel om alle beveiligingsupdates voor de WordPress core, plugins en thema’s direct toe te passen. Regelmatige updates zorgen ervoor dat bekende kwetsbaarheden worden verholpen, waardoor het risico op uitbuiting afneemt.

Als je bang bent dat software-updates problemen veroorzaken op je site, kun je ze testen op een testsite voordat je ze toepast op je live website. Als je je site bij Kinsta host, kun je eenvoudig een staging site maken en sommige of alle wijzigingen live zetten nadat je ze hebt getest.

Als alternatief biedt Kinsta ook een Automatische Updates add-on om het toepassen van updates nog eenvoudiger te maken:

  • Geplande updates voor plugins en thema’s. Het doet dit voor alle plugins en thema’s op de dagen die je kiest, zodat je site actueel blijft.
  • Automatische backups vóór updates. Er wordt automatisch een nieuwe backup gemaakt voordat updates worden toegepast, zodat je een schoon herstelpunt hebt.
  • Visuele regressietests. Dit betekent dat het uiterlijk van je site voor en na een update wordt vergeleken. Als er problemen worden gedetecteerd, wordt er automatisch teruggegaan naar het herstelpunt.
Een afbeelding van de automatische update-tool van Kinsta.
De automatische updatetool van Kinsta.

Je kunt ook een plugin zoals Easy Updates Manager overwegen. Die kan op een paar verschillende manieren helpen:

  • E-mailmeldingen bij beschikbare updates. Je kunt een e-mail ontvangen wanneer er een nieuwe plugin update beschikbaar is, wat handig is als je niet elke dag op het WordPress dashboard kijkt.
  • Automatische updates beheren. Als je automatische plugin updates wilt inschakelen, dan krijg je tools om dat te beheren, zoals plannen wanneer updates moeten worden toegepast.
  • Logging. Je kunt logs bekijken van updates die zijn toegepast.
  • Automatische backups. Als je de UpdraftPlus plugin van de ontwikkelaar gebruikt, kan deze automatisch een backup van je site maken voordat je plugins bijwerkt.

Zorg dat je een protocol voor datalekken klaar hebt liggen

Als je alle bovenstaande tips volgt, zou je in een goede positie moeten zijn om je leerlinggegevens te beveiligen.

Het is echter nog steeds belangrijk om een plan te hebben voor wat er gebeurt als er iets misgaat en daarom moet je een vooraf bepaald protocol hebben voor eventuele datalekken.

Om te beginnen moet je een meldingsplan hebben voor de communicatie bij een datalek:

  • Maak een plan voor het op de hoogte stellen van individuele gebruikers die getroffen zijn. Je moet dit onmiddellijk doen. De GDPR vereist bijvoorbeeld dat je gebruikers binnen 72 uur op de hoogte stelt.
  • Zoek op welke instanties je op de hoogte moet stellen van datalekken en hoe je met hen in contact kunt komen.

Veel WordPress GDPR compliance plugins kunnen je helpen bij het melden van datalekken aan gebruikers die getroffen zijn. De Complianz plugin heeft bijvoorbeeld een Data Leak Report Wizard die je kan helpen bij het rapporteren en beheren van datalekken. Sommige andere plugins bieden ook soortgelijke hulpmiddelen.

Naast het voldoen aan de rapportage-eisen, wil je ook een plan hebben voor het herstellen van je website. Als er bijvoorbeeld een website gehackt is, wil je misschien de meest recente schone backup herstellen.

Je moet ook regelmatig het herstellen van een backup naar een testomgeving testen, omdat je dan praktijkervaring opdoet, zodat je je backup kunt herstellen als de druk hoog is.

Als je host bij Kinsta, kun je eenvoudig een backup terugzetten naar je test- of productieomgeving door gewoon op een knop te klikken.

Een afbeelding die laat zien hoe je een backup terugzet bij Kinsta.
Zo zet je een backup terug bij Kinsta.

Samenvatting

Ongeacht hoe je de website van je onderwijsinstelling bouwt, het is belangrijk om studentgegevens te beveiligen om te voldoen aan wetten zoals de Amerikaanse FERPA en de Europese GDPR.

Als je WordPress gebruikt, kun je de belangrijkste functies van WordPress en de uitgebreide pluginbibliotheek van WordPress gebruiken om je te helpen bij het beveiligen van studentgegevens en het naleven van de wetgeving.

Als je de juiste WordPress installatie en gebruikerseducatie combineert met betrouwbare, veilige webhosting, kun je erop vertrouwen dat de gegevens van je leerlingen veilig zijn.

Als je wilt weten hoe Kinsta’s WordPress hosting je kan helpen een veilige basis te creëren voor de website van je onderwijsinstelling, bekijk dan hier Kinsta’s hosting voor onderwijs.

Jeremy Holcombe Kinsta

Content & Marketing Editor bij Kinsta, WordPress Web Developer en Content Writer. Buiten alles wat met WordPress te maken heeft, geniet ik van het strand, golf en films. En verder heb ik last van alle problemen waar andere lange mensen ook tegenaan lopen ;).