Deelproject 5.8 Onafhankelijk toetsen van IBP
Door het Normenkader IBP te implementeren, zorg je ervoor dat je risico’s voor de organisatie beheerst en persoonsgegevens van betrokkenen op de juiste manier beveiligt. In dit deelproject ga je onafhankelijk toetsen of je IBP-processen en richtlijnen voldoen aan het Normenkader IBP en aan andere wet- en regelgeving. Zo controleer je of je alles goed hebt ingericht.
Resultaat van dit deelproject
- Een auditplan is vastgesteld
Interne of externe audit
Onafhankelijke toetsing kan zowel via een interne als externe audit. Door een audit uit te voeren, identificeer je maatregelen die niet goed lopen en onderneem je acties om de risico’s die hierdoor ontstaan te mitigeren.
Wie doet wat
- Het schoolbestuur stelt het auditplan vast.
- De IBP-adviseur stelt samen met de (interne) auditor het auditplan op en coördineert de audits over het Normenkader IBP.
- De (interne) auditor stelt samen met de IBP-adviseur een auditplan op en voert een audit uit.
Aan de slag
1 Bepaal op welke wijze toetsing wordt ingezet
Je kunt op verschillende manieren een onafhankelijke toetsing uitvoeren. Je kunt dit laten doen door een interne auditor binnen de school of stichting, of je huurt een externe partij in. Om inzicht te hebben in waar je staat ten opzichte van het Normenkader IBP is het belangrijk dat de toetsing niet eenmalig gebeurt, maar periodiek wordt uitgevoerd. Je kunt bijvoorbeeld het Normenkader IBP in verschillende delen opsplitsen en in een periode van drie jaar volledig laten toetsen. Breng ook in kaart welke andere wet- en regelgeving mogelijk relevant is om hierin mee te nemen.
2 Stel een auditplan op en stel het vast
Bij het uitvoeren van een audit, maak je vooraf heldere afspraken over de reikwijdte, tijdslijnen, methodes, rapportagelijnen, opvolgtermijnen en betrokken collega’s. Je kunt hiervoor gebruikmaken van het voorbeelddocument Auditplan (docx). Laat dit auditplan vaststellen door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft..
3 Vertaal bevindingen in concrete acties
Vaak volgen er uit een audit allerlei bevindingen. Deze moeten vertaald worden naar concrete acties en opgevolgd worden. Acties kun je vastleggen in een actieplan, opnemen in je roadmap of in de risicomanagementcyclus.
Toetsen van informatiebeveiliging en privacy
Scholen zijn verplicht persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. te beschermen tegen misbruik, verlies of datalekken (AVG, artikel 32). Dit kan door het informatiebeveiligingsdeel van het Normenkader IBP te implementeren. Dit valt onder norm GB.03.
Waar informatiebeveiliging álle gegevens beschermt, richt privacy zich specifiek op persoonsgegevens. Denk aan maatregelen als toegangsbeheer, encryptieEncryptie is het versleutelen van persoonsgegevens. Door de versleuteling kan een derde partij de gegevens niet inzien. Alleen de juiste zender en ontvanger beschikken over de sleutel. en duidelijke incidentprocedures. Deze moeten passen bij de risico’s en regelmatig worden getoetst en verbeterd. Onafhankelijke toetsing laat zien hoe ver je bent met de uitvoering en ondersteunt je verantwoordingsplicht onder de AVG.