Deelproject 5.8 Onafhankelijk toetsen van IBP
Door het Normenkader IBP te implementeren, zorg je ervoor dat je risico’s voor de organisatie beheerst en persoonsgegevens van betrokkenen op de juiste manier beveiligt. In dit deelproject ga je onafhankelijk toetsen of je IBP-processen en richtlijnen voldoen aan het Normenkader IBP en aan andere wet- en regelgeving. Zo controleer je of je alles goed hebt ingericht.
Resultaat van dit deelproject
- Een auditplan is vastgesteld
Persoonsgegevens beschermen tegen misbruik
Scholen zijn volgens artikel 32 uit de AVG verplicht persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. te beschermen tegen misbruik, verlies of datalekken. Dit doe je door de normen van het informatiebeveiligingsdeel van het Normenkader IBP te implementeren. Zo voldoe je aan norm GB.03.
Privacy
Met het beveiligen van je informatie volgens de normen van het Normenkader IBP bescherm je álle gegevens. Privacy zich echter specifiek op persoonsgegevens en de maatregelen die daarbij horen. Denk aan toegangsbeheer, encryptieEncryptie is het versleutelen van persoonsgegevens. Door de versleuteling kan een derde partij de gegevens niet inzien. Alleen de juiste zender en ontvanger beschikken over de sleutel. en duidelijke incidentprocedures. Deze moeten passen bij de risico’s die je loopt en regelmatig worden getoetst en verbeterd. Onafhankelijke toetsing laat zien hoe ver je bent met de uitvoering van maatregelen en ondersteunt je verantwoordingsplicht onder de AVG.
Interne of externe audit
Onafhankelijke toetsing kan zowel via een interne als externe audit. Door een audit uit te voeren, identificeer je maatregelen die niet goed lopen en onderneem je acties om de risico’s die hierdoor ontstaan te mitigeren.
Wie doet wat
- Het schoolbestuur stelt het auditplan vast.
- De IBP-adviseur stelt samen met de (interne) auditor het auditplan op en coördineert de audits over het Normenkader IBP.
- De (interne) auditor stelt samen met de IBP-adviseur een auditplan op en voert een audit uit.
Aan de slag
1 Bepaal op welke wijze toetsing wordt ingezet
Je kunt op verschillende manieren een onafhankelijke toetsing uitvoeren. Je kunt dit laten doen door een interne auditor binnen de school of stichting, of je huurt een externe partij in. Om inzicht te hebben in waar je staat ten opzichte van het Normenkader IBP is het belangrijk dat de toetsing niet eenmalig gebeurt, maar periodiek wordt uitgevoerd. Je kunt bijvoorbeeld het Normenkader IBP in verschillende delen opsplitsen en in een periode van drie jaar volledig laten toetsen. Breng ook in kaart welke andere wet- en regelgeving mogelijk relevant is om hierin mee te nemen.
2 Stel een auditplan op en stel het vast
Bij het uitvoeren van een audit, maak je vooraf heldere afspraken over de reikwijdte, tijdslijnen, methodes, rapportagelijnen, opvolgtermijnen en betrokken collega’s. Je kunt hiervoor gebruikmaken van het voorbeelddocument Auditplan (docx). Laat dit auditplan vaststellen door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft..
3 Vertaal bevindingen in concrete acties
Vaak volgen er uit een audit allerlei bevindingen. Deze moeten vertaald worden naar concrete acties en opgevolgd worden. Acties kun je vastleggen in een actieplan, opnemen in je roadmap of in de risicomanagementcyclus.
Voorbeelddocumenten
Meer informatie
- Hoe voldoe je aan de AVG? En waar moet je rekening mee houden? Het antwoord op deze vragen lees je in het artikel De gouden privacyregels voor scholen: zo voldoe je aan de AVG op kennisnet.nl.