Deelproject 3.5 Fysiek beveiligen van informatie en systemen
Informatie en systemen moeten niet alleen digitaal worden beschermd, maar ook fysiek. Bijvoorbeeld door de toegang naar fysieke ruimtes te beperken. In dit deelproject neem je maatregelen om een pand, of specifieke ruimtes binnen een pand, te beschermen. Zoals ruimtes waar IT-systemen staan of waar nog fysieke dossiers met persoonsgegevens worden verwerkt.
Resultaat van dit deelproject
- Er is een fysiek beveiligingsbeleid opgesteld en het is vastgesteld door het schoolbestuur.
- Er is een autorisatiematrix voor fysieke toegang opgesteld.
- Het proces voor fysieke toegang is geïmplementeerd.
- Indien relevant: Er is een reglement cameratoezicht opgesteld en vastgesteld.
Let op
Bij norm SM.08 uit dit deelproject werk je aan het eerste en tweede punt van volwassenheidsniveau 3.
Wie doet wat
- De verantwoordelijke voor huisvesting stelt het fysieke beveiligingsbeleid, de autorisatiematrixEen schema waarin is vastgelegd wie toegang krijgt tot welke persoonsgegevens. Dat gebeurt bij voorkeur op basis van rollen, functies of een mix daarvan, zodat het need-to-know-principe wordt toegepast., de procesbeschrijving en het reglement cameratoezicht op.
- De IBP’er en/of security officer of privacy officerIn het VO meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (PO of VO) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, security officer, functioneel beheerder, ICT-beheerder, ICT-coördinator of kwaliteitsmedewerker. ondersteunen bij het opstellen en implementeren van het fysieke beveiligingsbeleid, de autorisatiematrix, de procesbeschrijving en het reglement cameratoezicht.
- Het schoolbestuur is verantwoordelijk voor het formeel vaststellen van het fysieke beveiligingsbeleid.
- De (G)MR wordt gevraagd om instemming voor het gebruik van cameratoezicht.
Aan de slag
Met het volgen van onderstaande stappen, maak je beleid en richt je een proces in voor de fysieke toegang tot ruimtes en informatie in jouw organisatie.
1 Voer een risicoanalyse uit
Voer een risicoanalyseHet analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan. uit op de fysieke omgeving van de school en bepaal aan de hand daarvan welke soorten zones er zijn en welke maatregelen er kunnen worden genomen. Je kunt hiervoor de methode gebruiken die je hebt gekozen in het deelproject 2.2 Beheersen van risico’s.
2 Stel een fysiek beveiligingsbeleid op
Stel een fysiek beveiligingsbeleid op. Je kunt hiervoor het voorbeelddocument Fysiek beveiligingsbeleid (docx) gebruiken. Pas het beleid aan zodat dit past bij jouw eigen situatie, of integreer het in het IBP-beleid of ander bestaand beleid. Gebruik de risico’s die je hebt geïdentificeerd bij stap 1 voor het bepalen van de maatregelen.
3 Bepaal de autorisaties en richt het proces voor toegang in
Bepaal wie welke toegang moet hebben tot welke ruimtes en informatie. Je kunt hiervoor de voorbeeldexcel Autorisatiematrix fysieke toegang (xlsx) gebruiken. Richt daarnaast een proces in om deze toegangsrechten te onderhouden. Je kunt hiervoor het voorbeelddocument Procesbeschrijving fysieke toegang (docx) gebruiken. Zorg bij het implementeren van een toegangsysteem ook voor logging, zodat je indien nodig bij een incident ook kunt achterhalen wie fysieke toegang tot specifieke ruimtes heeft gehad.
4 Implementeer de maatregelen
Richt de maatregelen in die je in je beleid hebt bepaald en zorg daarbij dat je de juiste waarborgen treft. Ga je cameratoezicht inzetten? Denk dan goed na over het doel hiervan en of je dit niet op een minder ingrijpende manier kunt bereiken. Voer eerst een DPIADPIA is Data Protection Impact Assessment. In het Nederlands heet het gegevensbeschermingseffectbeoordeling. Met een DPIA onderzoek je wat het effect op de privacy van de betrokkenen is bij het verwerken van persoonsgegevens. uit, zorg dat je instemming hebt van de (G)MR voor het gebruik van beveiligingscamera’s en stel een reglement voor cameratoezicht vast. Je kunt hiervoor gebruikmaken van het voorbeelddocument Modelreglement cameratoezicht (docx). Meer informatie over de voorwaarden voor het gebruik van camera’s, lees je op de website van de Autoriteit Persoonsgegevens.
Let op
Gaat je organisatie verhuizen? Of wordt er een nieuw schoolgebouw gebouwd? Denk dan ook in een vroeg stadium aan de maatregelen voor fysieke beveiliging. Voer een risicoanalyse uit op de nieuwe of tijdelijke situatie om te bepalen welke maatregelen er moeten worden meegenomen in het ontwerp of de planning van het project.
Voorbeelddocumenten
Meer informatie
- Fysieke veiligheid in en rond schoolgebouwen (pdf): deze handreiking van kenniscentrum Ruimte OK beschrijft allerlei vraagstukken rondom fysieke veiligheid in en rond schoolgebouwen.