Norm DM.04 Inrichting van opslag en retentie
Waarom is het nodig?
Als school stel je alles in het werk om leerlingen, medewerkers en oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn. te beschermen. Op alle vlakken, dus ook wanneer het aankomt op het beschermen van de organisatiegegevens. Organisatiegegevens zijn kostbaar en verdienen het om uiterst zorgvuldig behandeld te worden. Je wilt natuurlijk te allen tijde voorkomen dat deze worden gestolen of op straat komen te liggen. Als school moet je bij het verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. van gegevens voldoen aan wet- en regelgeving. Daarnaast heeft de school haar eigen doelstellingen. Goed omschreven en ingevoerde procedures helpen je om aan de regelgeving en schooldoelstellingen te voldoen. Je bent hierdoor in staat om data veilig op te slaan en zorgt ervoor dat data tijdig wordt gearchiveerd.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er zijn geen procedures voor dataopslag, -bewaring en -archivering.
- Dataopslag is ongestructureerd.
2 Herhaalbaar
- Er zijn beperkte eisen gedefinieerd voor dataopslagtechnieken.
- Er zijn enkele informele richtlijnen voor bewaring en archivering.
3 Bepaald (streefniveau)
- Er zijn formele procedures en richtlijnen voor het opslaan, bewaren en archiveren van data.
- In lijn met bedrijfsvoering zijn er eisen gesteld aan het opslaan, bewaren en archiveren van data (technieken) en deze zijn ingevoerd.
- Er is voor gezorgd dat deze eisen in overeenstemming zijn met (informatie)beveiligingsbeleid, contractuele afspraken en wet- en regelgeving.
4 Beheerst
Aanvullend op niveau 3:
- Afspraken en maatregelen over het opslaan en bewaren worden periodiek geëvalueerd om te bewerkstelligen dat deze nog steeds in overeenstemming zijn met de organisatiedoelen.
- De implementatie en uitvoering van relevante procedures voor het opslaan, bewaren en archiveren van data worden periodiek geëvalueerd.
- Datamanagementtechnieken zoals Command Query Responsibility Segregation (CQRS: leesacties zijn gescheiden van schrijfacties) worden bewaakt of ingevoerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Data- en bewaarmaatregelen zijn onderdeel van informatiemanagement en datalifecyclemanagement.
- Implementatie, uitvoering en kosten van de datalifecyclemanagementprocedures worden regelmatig geëvalueerd en gerapporteerd aan het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding.
- Datamanagementtechnieken zoals Event Sourcing (ES) worden gevolgd of ingevoerd.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Maak gebruik van een eenduidige wijze voor het opslaan, bewaren en archiveren van data. Neem dit onderwerp op in het IBP-beleid.
- Stel termijnen vast voor archivering en verwijderen voor alle data- en document-typen. Maak hiervoor gebruik van het Bewaartermijnenoverzicht.
Hulpmiddelen
Gerelateerde wetten en normen
Norm DM.04 Inrichting van opslag en retentie is gerelateerd aan ISO-standaard 27001/2:2022, het certificeringsschema IBP ROSA en aan privacynormen.
ISO 27001/2:2022
- A5.33
- A5.34
- A7.10
- A8.13
Certificeringsschema IBP ROSA
- Vertrouwelijkheid/Levenscyclus gegevens
- Vertrouwelijkheid/Transport en fysieke opslag