Norm HR.04 Verandering of beëindiging van functie
Waarom is dit nodig?
Verlaten medewerkers met specialistische it-kennis de organisatie? Dan kunnen processen in gevaar komen door uitval van systemen of koppelingen. Door tijdig de toegangsrechten van de vertrekkende functionaris in te trekken, verminder je de risico’s van ongeautoriseerde toegang.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Wanneer er functiewijzigingen of ontslagen plaatsvinden worden er geen of ad-hoc-acties ondernomen.
2 Herhaalbaar
- Toegangsrechten van medewerkers worden gewijzigd, opnieuw toegewezen en/of verwijderd op basis van functiewijziging en/of ontslag, maar het tijdig intrekken van toegangsrechten is niet gewaarborgd.
3 Bepaald (streefniveau)
- Goedgekeurde processen zijn ingevoerd om kennis over te dragen en toegangsrechten opnieuw toe te wijzen of in te trekken.
- Kennisoverdracht is geregeld, verantwoordelijkheden zijn opnieuw toegewezen en toegangsrechten worden tijdig ingetrokken. Hierdoor zijn risico’s geminimaliseerd en is de continuïteit van de functie gewaarborgd.
- De stappen van functieoverdracht zijn vastgelegd.
4 Beheerst
Aanvullend op niveau 3:
- Er worden ontslaggesprekken gevoerd en de juistheid en tijdigheid van veranderingen, opnieuw toewijzen of intrekken van toegangsrechten worden periodiek geëvalueerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- De effectiviteit van de processen voor functiewijzigingen en/of ontslag wordt periodiek geëvalueerd en verbeterd.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Wijzigt iemand van functie of wordt een dienstverband beëindigd? Zorg dan dat kennisoverdracht geregeld wordt, de verantwoordelijkheden opnieuw worden toegewezen en toegangsrechten ingetrokken worden.
- Zorg dat HR een checklist van de benodigde stappen heeft en bij de manager voor vertrek van de medewerker checkt of hieraan uitvoering is gegeven.
Gerelateerde wetten en normen
Norm HR.04 Verandering of beëindiging van functie is gerelateerd aan de ISO-standaard 27001:2022.
ISO 27001:2022
- A5.11
- A5.18
- A6.4
- A6.5