Home » Begrippenlijst

Begrippenlijst

A

Anonimiseren

Anonimiseren is een methode waarbij persoonsgegevens worden bewerkt zodat ze niet meer gebruikt kunnen worden om iemand mee te identificeren. Anonimiseren is onomkeerbaar. De gegevens kunnen dus nooit meer worden teruggeleid tot een persoon. Geanonimiseerde gegevens vallen niet onder de AVG.

Authenticatie

Authenticatie is het bewijzen dat je bent wie je zegt te zijn. Bijvoorbeeld door naar wachtwoord en/of een ander (biometrisch) bewijsmiddel te vragen bij het inloggen op een applicatie. Bij de authenticatie wordt gecontroleerd of het opgegeven bewijs (zoals een wachtwoord) klopt.

Autorisatiematrix

Een schema waarin is vastgelegd wie toegang krijgt tot welke persoonsgegevens. Dat gebeurt bij voorkeur op basis van rollen, functies of een mix daarvan, zodat het need-to-know-principe wordt toegepast.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens.

AVG-rol

Binnen de AVG worden 5 rollen gedefinieerd: de verwerkingsverantwoordelijke, de functionaris gegevensbescherming, de verwerker, de betrokkene en de Autoriteit Persoonsgegevens als toezichthouder. Elke rol heeft eigen rechten, plichten en verantwoordelijkheden met betrekking tot de verwerking van persoonsgegevens.

B

Back-up

Een reservekopie van gegevens, zodat bij beschadiging of verlies van gegevens herstel
kan plaatsvinden.

Betrokkenen

De personen van wie persoonsgegevens worden verwerkt.

Bewaartermijnen

De (wettelijke) periode dat een (persoons)gegeven bewaard moet worden.

C

Capacity- and performancemanagement

Het it-beheerproces dat ervoor zorgt dat de beschikbare capaciteit overeenkomt met dat wat nodig is om te voldoen aan de eisen van de organisatie en dat hierbij ook kijkt naar toekomstige benodigdheden.

Certificeringsschema IBP ROSA

In deze standaard worden afspraken gemaakt over het (basis) niveau van informatiebeveiliging en privacy voor toepassingen die worden gebruikt in het onderwijs (po, vo, mbo en ho). Het certificeringsschema IBP ROSA bepaalt het niveau voor betrouwbaarheid, integriteit en vertrouwelijkheid van een toepassing en schrijft op basis daarvan de benodigde maatregelen voor.

Changemanagement

Het beheerst doorvoeren van wijzigingen in it.

Cloud

De cloud (Nederlands: wolk) staat voor een netwerk dat met alle computers die erop aangesloten zijn, een soort “wolk van computers” vormt. Als je op je werkstation bezig bent, weet meestal niet op hoeveel of op welke computer(s) de software draait of waar die computers precies staan.

CMDB

CMDB staat voor configuratiemanagementdatabase. Het is een database waarin alle zogeheten configuratie-items van de it-omgeving van een organisatie zijn opgeslagen. Denk aan informatie over gebruikte hardware, software, onderlinge relaties, versienummers, licenties en configuratiebaselines.

Cryptografie

De technologie van het omzetten van informatie naar een vorm die alleen door de beoogde ontvangers te lezen is. Een voorbeeld hiervan is geheimschrift: alleen als je de codering weet, kun je het bericht ontcijferen. Wanneer je cryptografische sleutels gebruikt, zul je hierop een vorm van beheer moeten voeren. Dit heet Cryptographic Key Management of Key Lifecycle Management.

CSIRT

Een Computer Security Incident Response Team, ook wel CERT genaamd, is een gespecia­liseerd team voor het reageren op beveiligingsincidenten, met als doel schade te beperken en herstel van dienstverlening te bevorderen. In Nederland is het NCSC de nationale CSIRT en zijn er diverse sectorale CERTs. SURFcert is de bekendste binnen de onderwijssector.

D

Data-integriteit

Data-integriteit heeft betrekking op de juistheid van de informatie. Is het niet verouderd of incorrect?

Dataclassificatie

Het labelen van informatie op basis van kenmerken van de informatie naar een standaardindeling, zodat bepaald kan worden welk beschermingsniveau van toepassing is en welke beheersmaatregelen toegepast dienen te worden.

Dataconversie

Het verplaatsen van data van het ene systeem naar het andere, al dan niet gepaard met een omzetting van bestandsformaat. Vaak is dit noodzakelijk wanneer er een nieuw systeem wordt geïmplementeerd. Denk bijvoorbeeld aan het inzetten van een nieuw financieel systeem. De historische financiële gegevens wil je hoogstwaarschijnlijk ook in het nieuwe systeem kunnen inzien.

Datalek

Bij een datalek raken persoonsgegevens verloren of worden ze opgeslagen, aangepast, verzonden of op een andere manier verwerkt door iemand die daar geen recht toe heeft. Een datalek is een beveiligingsincident.

Dataregister

Het dataregister is een register van verwerkingsactiviteiten speciaal voor het onderwijs. Het dataregister is voor een gedeelte al ingevuld en van suggesties voorzien.

Datareplicatie

Datareplicatie is het maken en onderhouden van meerdere kopieën van dezelfde data. Het is een manier om te voorkomen dat data of delen van data kwijtraakt en ondersteunt bij het beschikbaar en betrouwbaar maken van data.

Documentatieplicht

De documentatieplicht houdt in dat je vast moet leggen op welke manier je je aan de regels van de AVG houdt.

Doelbinding

Je mag persoonsgegevens alleen gebruiken voor een vooraf vastgelegd doel. Als dat doel niet langer bestaat, moet je de persoonsgegevens vernietigen.

DPIA

DPIA is Data Protection Impact Assessment. In het Nederlands heet het gegevensbeschermingseffectbeoordeling. Met een DPIA onderzoek je wat het effect op de privacy van de betrokkenen is bij het verwerken van persoonsgegevens.

E

Encryptie

Encryptie is het versleutelen van persoonsgegevens. Door de versleuteling kan een derde partij de gegevens niet inzien. Alleen de juiste zender en ontvanger beschikken over de sleutel.

Enterprise Information Architecture Model

De informatiearchitectuur beschrijft de inhoudelijke samenhang en relaties tussen applicaties en gegevensverzamelingen, ook wel de informatiehuishouding genoemd, en helpt bij het verbeteren van de vindbaarheid van informatie en de wijze waarop informatie hergebruikt kan worden. Hierdoor wordt de grip op informatie vergroot.

F

FG

Iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG).

Functionaris voor Gegevensbescherming

Iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG).

G

Gezamenlijke verwerkingsverantwoordelijke

Twee of meer verwerkingsverantwoordelijken die gezamenlijk verantwoordelijk zijn voor de verwerking van persoonsgegevens. Zij bepalen samen het doel en de middelen van de verwerking. Bijvoorbeeld als een school samen met een andere organisatie opdrachtgever is van een onderzoek.

Governance

Besturen, zeggenschap hebben en toezicht houden.

Grondslag

De (wettelijke) basis waarop je persoonsgegevens verwerkt. Er zijn 6 mogelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang.

I

IBP-verantwoordelijke

In het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, ict-coördinator, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker.

Incidentmanagement

Het proces om elke ongeplande onderbreking zo snel en goed mogelijk te herstellen.

Informatieplicht

Het aan betrokkenen bekend maken van wat je met hun persoonsgegevens je doet.

Informatierisicomanagement

Het beheersen van risico’s voor informatie, systemen, applicaties en processen langs de lijnen van de betrouwbaarheidskenmerken voor informatiebeveiliging (beschikbaarheid, vertrouwelijkheid en integriteit). Met andere woorden: het gaat hier om risicomanagement binnen het informatiebeveiligingsdomein.

IST

De IST betreft de huidige situatie.

It-verantwoordelijke

Een it-verantwoordelijke is verantwoordelijk is voor het beheren en coördineren van de informatietechnologie van een organisatie. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een it-manager, systeembeheerder, netwerkbeheerder, databasebeheerder, applicatiebeheerder, it-consultant.

J

Jobprocessing

Jobprocessing, ook wel taakverwerking genoemd, is het proces waarbij individuele taken of jobs worden uitgevoerd door een computer of een netwerk van computers. Het omvat de uitvoering van voorgeprogrammeerde instructies die zijn ontworpen om specifieke taken te volbrengen.

Jobscheduling

Jobscheduling is het proces van toewijzen en beheren van de uitvoering van taken (ook wel jobs genoemd) in een computer- of netwerkomgeving. Het omvat het plannen, toewijzen en bewaken van de uitvoering van deze taken om ervoor te zorgen dat ze efficiënt en binnen de vereiste tijdslijnen worden uitgevoerd.

K

Kroonjuwelen

De kroonjuwelen van je organisatie zijn de gegevens waarvan het bijzonder schadelijk zou zijn als ze zouden worden gestolen, vernietigd of op een andere manier zouden verdwijnen. Voor scholen gaat het bijvoorbeeld om gegevens van leerlingen. Maar ook gegevens over medewerkers of financiële gegevens kunnen onder de kroonjuwelen worden geschaard.

L

Leveranciers

Aanbieders van ict- of leermiddelen.

O

Ontvanger

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan aan waaraan persoonsgegevens worden verstrekt.

Opt-in

De mogelijkheid om ervoor te kiezen je persoonsgegevens te delen.

Opt-out

De mogelijkheid om ervoor te kiezen je persoonsgegevens niet te delen.

OTAP

Een OTAP-straat is een begrip uit de it dat de fases van software-ontwikkeling aangeeft: Ontwikkeling, Test, Acceptatie en Productie. Voor de verschillende fases zijn verschillende omgevingen beschikbaar. Er wordt gestart met de ontwikkeling van iets nieuws. Dit wordt vervolgens getest. Dan wordt het opgeleverd aan acceptatie. Acceptatie is een omgeving die zoveel mogelijk gelijk is aan productie. Als de gebruikers en verantwoordelijke akkoord zijn, kan het over naar productie. Dit is de “normale” omgeving waar gebruikers gebruikmaken van de software.

Ouders

Waar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn.

P

Patches

Patches zijn kleine stukjes code die worden toegevoegd aan bestaande programma’s om fouten (bugs) te corrigeren, beveiligingslekken te dichten of functionaliteit te verbeteren.

Patchmanagement

Het verwerven, testen en installeren van wijzigingen die beveiligingsproblemen in software herstellen.

Penetratietest

Een penetratietest of pentest is het toetsen van een systeem op kwetsbaarheden door daadwerkelijk te pogen in te breken op een systeem, zodat duidelijk wordt op welke punten de beveiliging aangescherpt moet worden.

Persoonsgegevens

Alle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres.

Privacy by default

Standaard producten of diensten zo instellen dat privacy wordt gewaarborgd. Alle opties om persoonsgegevens te delen staan standaard ‘uit’.

Privacy by design

Al vanaf de start van het ontwerp wordt privacy meegenomen in de ­ ontwikkeling. Standaardproducten of -diensten staan zo ingesteld dat privacy wordt gewaarborgd. Alle opties om persoonsgegevens te delen staan standaard ‘uit’.

Privacy Officer

In het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker.

Problemmanagement

Het beheren van een reeks incidenten met onbekende hoofdoorzaak.

Profilering

Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.

R

Raamwerk

Een raamwerk is een structuur die als basis kan dienen om binnen een organisatie op een eenduidige manier te werken. Bijvoorbeeld als het gaat om risicomanagement.

Register van verwerkingsactiviteiten

Een register met informatie over verwerkingen van persoonsgegevens.

Response

De manier waarop op een incident gereageerd wordt.

Risicoanalyse

Het analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan.

Rollbackprocedure

Door een rollbackprocedure kun je teruggaan naar de situatie vóór de wijziging werd doorgevoerd, zodat een onvoorzien en ongewenst gevolg kan worden teruggedraaid.

Runbook

Een runbook is een handleiding met duidelijke stappen en instructies die je helpen om taken in it uit te voeren. Het wordt gebruikt om ervoor te zorgen dat taken altijd op dezelfde manier en zonder fouten worden gedaan.

Runbook voor jobscheduling

Een runbook voor jobscheduling is een handleiding met stappen en instructies om dagelijkse it-taken en processen te beheren. Het helpt bij het plannen, uitvoeren en controleren van computertaken.

S

Samenwerkingsverband

De organisatie die in het kader van het passend onderwijs gaat over de toewijzing van extra hulp en ondersteuning voor leerlingen. Alle scholen in de regio van het samenwerkingsverband zijn hierbij aangesloten.

Schoolbestuur

Het schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft.

Security by design

Bij security by design wordt al vanaf de start van het ontwerp informatiebeveiliging meegenomen in de ontwikkeling. Hierdoor worden geen losse maatregelen genomen, maar ontstaat er een geheel aan ontwerpprincipes die gezamenlijk de veiligheid verhogen.

SLA

Service Level Agreement ook wel dienstverleningsovereenkomst (DVO). Bijlage bij een contract waarin de kwaliteit van de dienstverlening beschreven staat. Zo weet de afnemer bijvoorbeeld welke ondersteuning hij kan verwachten, is bepaald wat de beschikbaarheidseisen van de dienst zijn en hoe snel incidenten opgelost worden.

Sleutelfunctie

Een functionaris die cruciaal is voor de continuïteit van de organisatie. Bijvoorbeeld een zeer specifieke applicatiebeheerder die niet gemakkelijk te vervangen is en waar er maar één van is binnen de organisatie, maar ook een schoolbestuurder heeft een sleutelfunctie vanwege de kritieke informatiepositie.

SOLL

De SOLL betreft de gewenste situatie. De gewenste situatie beschrijf je door middel van de gewenste effecten. Dit is de situatie zoals die zou moeten zijn.

Subverwerker

De leverancier van de leverancier van de school. Degene die in opdracht van de verwerker verwerkingen doet. De verwerker is ervoor verantwoordelijk dat de subverwerker op de hoogte is van afspraken met de verwerkingsverantwoordelijke.

Superuser

Het hoogste beheeraccount in een systeem. Met andere woorden: met dit account kan vrijwel alles gewijzigd worden en daarom dient extra zorgvuldig te worden omgegaan met deze rechten.

T

Transparantie

Helder zijn over de persoonsgegevens die je verzamelt en wat je er mee doet.

V

Vernietigen

Het definitief verwijderen van gegevens, zodat de persoonsgegevens niet meer aanwezig of terug te halen zijn.

Versleuteling

De technologie van het omzetten van informatie naar een vorm die alleen door de beoogde ontvangers te lezen is. Een voorbeeld hiervan is geheimschrift: alleen als je de codering weet, kun je het bericht ontcijferen. Wanneer je cryptografische sleutels gebruikt, zul je hierop een vorm van beheer moeten voeren. Dit heet Cryptographic Key Management of Key Lifecycle Management.

Verwerken

Alles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming.

Verwerker

Degene of de organisatie die handelt in opdracht van de verwerkingsverantwoordelijke, zoals de leverancier van het leerlingadministratiesysteem. Deze mag alleen verwerkingen doen waarvoor hij uitdrukkelijk opdracht krijgt.

Verwerkingsverantwoordelijke

Degene die het doel en de middelen bepaalt bij het verwerken van persoonsgegevens, zoals een schoolbestuur.