Fase 2 is net als fases 3 en 4 samengesteld op basis van een aantal kenmerken. Om te beginnen speelt volgordelijkheid een rol. Soms moet je de ene norm hebben uitgevoerd voor je een andere kunt doen. Daarnaast is risicoafweging meegenomen. Dat betekent dat normen die de grootste risico’s afdekken eerder aan de beurt komen. Fase 2 bestaat uit 12 deelprojecten.

Processen en verwerkingsregister

Het opstellen van een register van verwerkingsactiviteitenEen register met informatie over verwerkingen van persoonsgegevens. More bestaat uit het inventariseren van alle persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More die je verwerkt en het registreren van al die verwerkingen in een verwerkingsregister. Zo creëer je onder andere overzicht over welke persoonsgegevens binnen welke processen en met welk doel worden verwerkt.

Risicomanagement

Welke risico’s loop je binnen je organisatie en hoe ga je ermee om? Binnen dit deelprojecten werken het informatiebeveiliging- en het privacyteam nauw samen om risicomanagement goed in te richten binnen je organisatie. Dit deelproject bevat normen voor informatiebeveiliging en privacy.

Bewustwording

Dit deelproject gaat over bewustwording in de breedste zin van het woord. Iedereen binnen jouw school draagt de verantwoordelijkheid om zorgvuldig om te gaan met persoonsgegevens en andere informatie. Het gaat hier niet alleen om medewerkers en leerlingen, maar bijvoorbeeld ook om leveranciersAanbieders van ict- of leermiddelen. More. Dit deelproject bevat normen voor informatiebeveiliging en privacy.

Incidentmanagement en het afhandelen van datalekken

Door processen voor het opvolgen van incidenten, waaronder datalekken, goed in te richten kun je ze op een adequate manier afhandelen. Dit deelproject bevat normen voor informatiebeveiliging en privacy.

Patchmanagement

PatchmanagementHet verwerven, testen en installeren van wijzigingen die beveiligingsproblemen in software herstellen. More is gericht op het inrichten van processen om kwetsbaarheden in systemen zo snel mogelijk te repareren. Dit deelproject is alleen van toepassing op systemen die je zelf beheert. Beheer je een systeem niet zelf? Dan maak je afspraken over patchmanagement binnen het deelproject Risicomanagement leveranciers.

(pre-)DPIA

In dit deelproject richt je de procedure in voor het systematisch uitvoeren van (pre-)DPIA’s. Met een pre-DPIA schat je in of een verwerking van persoonsgegevens een hoog risico kan opleveren voor de privacy van betrokkenenDe personen van wie persoonsgegevens worden verwerkt. More. Als er sprake is van een hoog risico voer je een volledige DPIADPIA is Data Protection Impact Assessment. In het Nederlands heet het gegevensbeschermingseffectbeoordeling. Met een DPIA onderzoek je wat het effect op de privacy van de betrokkenen is bij het verwerken van persoonsgegevens. More uit.

Securitybaselines

In dit deelproject ga je de beveiligingseisen vastleggen waar je systemen aan moeten voldoen. Deze eisen vind je terug in de normen die bij dit deelproject horen. Dit deelproject is alleen van toepassing op systemen die je zelf beheert. Beheer je een systeem niet zelf? Dan maak je afspraken over securitybaselines binnen het deelproject Risicomanagement leveranciers. Let op: de punten een en twee van volwassenheidsniveau 3 uit norm SM.08 komen in twee andere deelprojecten terug.

Uitwisseling persoonsgegevens

Persoonsgegevens mogen niet zomaar worden uitgewisseld met externe partijen. In dit deelproject richt je je organisatie zo in dat altijd getoetst wordt of gegevens gedeeld mogen worden en welke. Je maakt ook afspraken met partijen die gegevens namens jouw school verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. More en zorgt dat er extra maatregelen worden genomen bij het delen van gegevens buiten de Europese Economische Ruimte (EER).

Risicomanagement leveranciers

Beheer je systemen niet zelf? Dan moet je bij de aanbesteding van systemen eisen stellen aan de manier waarop je leverancier met risico’s omgaat. Dat doe je op basis van de classificatie van je systemen. Zie hiervoor het deelproject Classificatie van systemen. Je moet vervolgens ook controleren of de leverancier de beveiligingsmaatregelen naleeft.

Screening van medewerkers

Je moet erop kunnen vertrouwen dat je medewerkers op een verantwoorde manier met systemen en gegevens omgaan. In dit deelproject richt je een proces in voor het screenen van medewerkers, ingehuurde medewerkers en leveranciers. Bij norm HR.01 uit dit deelproject werk je alleen aan het derde punt van volwassenheidsniveau 3.

Business impact analyse

Wat voor effect heeft bijvoorbeeld het uitvallen van systemen op de continuïteit van de processen in je organisatie? Binnen dit deelproject breng je dat in kaart.

Back-up and recovery

Als je data verliest, wil je zo snel mogelijk een back-upEen reservekopie van gegevens, zodat bij beschadiging of verlies van gegevens herstel
kan plaatsvinden. More terug kunnen zetten en zo mogelijk data terughalen. In dit deelproject richt je je organisatie zo in dat dat ook kan. Dit deelproject is alleen van toepassing op systemen die je zelf beheert. Beheer je een systeem niet zelf? Dan maak je afspraken over back-up en recovery binnen het deelproject Risicomanagement leveranciers.