Norm GO.05 Onafhankelijke toetsing

Onafhankelijke toetsing (intern of extern) wordt verkregen om te bepalen in hoeverre de informatievoorziening (inclusief it) voldoet aan relevante wet- en regelgeving, het beleid van de organisatie, de normen en procedures van de organisatie, algemeen aanvaarde werkwijzen en effectieve en efficiënte prestaties van it.

Waarom is dit nodig?

Met een onafhankelijke toetsing krijg je in beeld waar de dagelijkse praktijk op je school afwijkt van het beleid en de procedures. Deze toetsing kan via een interne of externe audit gebeuren. Door een audit uit te voeren, kunnen processen/maatregelen die niet goed lopen, worden geïdentificeerd en kan actie worden ondernomen om de risico’s die hierdoor ontstaan te mitigeren.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er vindt geen onafhankelijke toetsing plaats.
2 Herhaalbaar
  • De interne auditfunctie is gedefinieerd en bestaat onder andere uit toetsing op naleving van relevante wet- en regelgeving, it- of informatiebeleid, standaarden en procedures binnen de organisatie.
3 Bepaald (streefniveau)
  • Onafhankelijke toetsing (intern of extern) wordt ingezet om in beeld te krijgen of de informatievoorziening (inclusief it) voldoet aan relevante wet- en regelgeving, beleid, standaarden, procedures binnen de organisatie en algemeen aanvaarde werkwijzen.
  • De toetsingsactiviteiten zijn beschreven in een auditplan dat is vastgesteld door het schoolbestuur of de schoolleiding en een auditcommissie.
  • De resultaten van deze activiteiten worden gerapporteerd aan het schoolbestuur of de schoolleiding en de auditcommissie.
4 Beheerst

Aanvullend op niveau 3:

  • De uitvoering van de onafhankelijke toetsing wordt periodiek geëvalueerd door de auditcommissie.
  • Het ontwerp van de onafhankelijke toetsingsfunctie wordt periodiek geëvalueerd door een externe partij.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • Onafhankelijke toetsing (intern of extern) omvat ook de effectiviteit en de efficiëntie van de informatieverwerking (inclusief it).

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

  • Stel als schoolbestuur een auditplan vast. Hierin is beschreven welke onderdelen wanneer getoetst worden en of dit door een interne of externe auditor gebeurt. De richtlijn is dat ten minste eens per drie jaar het gehele normenkader getoetst wordt.
  • Bespreek de auditresultaten en formuleer een actieplan. Zorg ervoor dat aan de hand van dit actieplan alle bevindingen worden opgelost.

Gerelateerde wetten en normen

Norm GO.05 Onafhankelijke toetsing is gerelateerd aan de ISO-standaard 27001/2:2022.

ISO 27001/2:2022

  • A5.1
  • A5.35
  • A5.36
Afdrukken

Op deze pagina