Deelproject 5.8 Onafhankelijk toetsen van IBP

Door het Normenkader IBP te implementeren, zorg je ervoor dat je risico’s voor de organisatie beheerst en persoonsgegevens van betrokkenen op de juiste manier beveiligt. In dit deelproject ga je onafhankelijk toetsen of je IBP-processen en richtlijnen voldoen aan het Normenkader IBP en aan andere wet- en regelgeving. Zo controleer je of je alles goed hebt ingericht.

Resultaat van dit deelproject

  • Een auditplan is vastgesteld

Persoonsgegevens beschermen tegen misbruik

Scholen zijn volgens artikel 32 uit de AVG verplicht persoonsgegevens te beschermen tegen misbruik, verlies of datalekken. Dit doe je door de normen van het informatiebeveiligingsdeel van het Normenkader IBP te implementeren. Zo voldoe je aan norm GB.03.

Privacy

Met het beveiligen van je informatie volgens de normen van het Normenkader IBP bescherm je álle gegevens. Privacy zich echter specifiek op persoonsgegevens en de maatregelen die daarbij horen. Denk aan toegangsbeheer, encryptie en duidelijke incidentprocedures. Deze moeten passen bij de risico’s die je loopt en regelmatig worden getoetst en verbeterd. Onafhankelijke toetsing laat zien hoe ver je bent met de uitvoering van maatregelen en ondersteunt je verantwoordingsplicht onder de AVG.

Interne of externe audit

Onafhankelijke toetsing kan zowel via een interne als externe audit. Door een audit uit te voeren, identificeer je maatregelen die niet goed lopen en onderneem je acties om de risico’s die hierdoor ontstaan te mitigeren.

Wie doet wat

  • Het schoolbestuur stelt het auditplan vast.
  • De IBP-adviseur stelt samen met de (interne) auditor het auditplan op en coördineert de audits over het Normenkader IBP.
  • De (interne) auditor stelt samen met de IBP-adviseur een auditplan op en voert een audit uit.

Aan de slag

1 Bepaal op welke wijze toetsing wordt ingezet

Je kunt op verschillende manieren een onafhankelijke toetsing uitvoeren. Je kunt dit laten doen door een interne auditor binnen de school of stichting, of je huurt een externe partij in. Om inzicht te hebben in waar je staat ten opzichte van het Normenkader IBP is het belangrijk dat de toetsing niet eenmalig gebeurt, maar periodiek wordt uitgevoerd. Je kunt bijvoorbeeld het Normenkader IBP in verschillende delen opsplitsen en in een periode van drie jaar volledig laten toetsen. Breng ook in kaart welke andere wet- en regelgeving mogelijk relevant is om hierin mee te nemen.

2 Stel een auditplan op en stel het vast

Bij het uitvoeren van een audit, maak je vooraf heldere afspraken over de reikwijdte, tijdslijnen, methodes, rapportagelijnen, opvolgtermijnen en betrokken collega’s. Je kunt hiervoor gebruikmaken van het voorbeelddocument Auditplan (docx). Laat dit auditplan vaststellen door het schoolbestuur.

3 Vertaal bevindingen in concrete acties

Vaak volgen er uit een audit allerlei bevindingen. Deze moeten vertaald worden naar concrete acties en opgevolgd worden. Acties kun je vastleggen in een actieplan, opnemen in je roadmap of in de risicomanagementcyclus.

Voorbeelddocumenten

Meer informatie

Afdrukken

Op deze pagina