Deelproject 5.8 Onafhankelijk toetsen van IBP

Door het Normenkader IBP te implementeren, zorg je ervoor dat je risico’s voor de organisatie beheerst en persoonsgegevens van betrokkenen op de juiste manier beveiligt. In dit deelproject ga je onafhankelijk toetsen of je IBP-processen en richtlijnen voldoen aan het Normenkader IBP en aan andere wet- en regelgeving. Zo controleer je of je alles goed hebt ingericht.

Resultaat van dit deelproject

  • Een auditplan is vastgesteld

Interne of externe audit

Onafhankelijke toetsing kan zowel via een interne als externe audit. Door een audit uit te voeren, identificeer je maatregelen die niet goed lopen en onderneem je acties om de risico’s die hierdoor ontstaan te mitigeren.

Wie doet wat

  • Het schoolbestuur stelt het auditplan vast.
  • De IBP-adviseur stelt samen met de (interne) auditor het auditplan op en coördineert de audits over het Normenkader IBP.
  • De (interne) auditor stelt samen met de IBP-adviseur een auditplan op en voert een audit uit.

Aan de slag

1 Bepaal op welke wijze toetsing wordt ingezet

Je kunt op verschillende manieren een onafhankelijke toetsing uitvoeren. Je kunt dit laten doen door een interne auditor binnen de school of stichting, of je huurt een externe partij in. Om inzicht te hebben in waar je staat ten opzichte van het Normenkader IBP is het belangrijk dat de toetsing niet eenmalig gebeurt, maar periodiek wordt uitgevoerd. Je kunt bijvoorbeeld het Normenkader IBP in verschillende delen opsplitsen en in een periode van drie jaar volledig laten toetsen. Breng ook in kaart welke andere wet- en regelgeving mogelijk relevant is om hierin mee te nemen.

2 Stel een auditplan op en stel het vast

Bij het uitvoeren van een audit, maak je vooraf heldere afspraken over de reikwijdte, tijdslijnen, methodes, rapportagelijnen, opvolgtermijnen en betrokken collega’s. Je kunt hiervoor gebruikmaken van het voorbeelddocument Auditplan (docx). Laat dit auditplan vaststellen door het schoolbestuur.

3 Vertaal bevindingen in concrete acties

Vaak volgen er uit een audit allerlei bevindingen. Deze moeten vertaald worden naar concrete acties en opgevolgd worden. Acties kun je vastleggen in een actieplan, opnemen in je roadmap of in de risicomanagementcyclus.

Toetsen van informatiebeveiliging en privacy

Scholen zijn verplicht persoonsgegevens te beschermen tegen misbruik, verlies of datalekken (AVG, artikel 32). Dit kan door het informatiebeveiligingsdeel van het Normenkader IBP te implementeren. Dit valt onder norm GB.03.

Waar informatiebeveiliging álle gegevens beschermt, richt privacy zich specifiek op persoonsgegevens. Denk aan maatregelen als toegangsbeheer, encryptie en duidelijke incidentprocedures. Deze moeten passen bij de risico’s en regelmatig worden getoetst en verbeterd. Onafhankelijke toetsing laat zien hoe ver je bent met de uitvoering en ondersteunt je verantwoordingsplicht onder de AVG.

Voorbeelddocumenten

Afdrukken

Op deze pagina