Advies nodig? Neem contact op met Kennisnet support
0800 321 22 33 | ibp@kennisnet.nl
Home » Informatiebeveiliging » Domein 9: Datamanagement » Norm DM.05

Norm DM.05 Uitwisseling van (gevoelige) gegevens

Er zijn beleid en procedures vastgesteld en ingevoerd om aan de eisen van de bescherming van gegevens en software te voldoen op het moment dat gegevens en software worden uitgewisseld binnen de school of met een externe partij. Gevoelige gegevens worden alleen uitgewisseld via een vertrouwd pad of medium waarbij maatregelen zijn genomen om de authenticiteit van de inhoud, bewijs van versturen, bewijs van ontvangst en onweerlegbaarheid van de oorsprong aan te tonen.

Waarom is dit nodig?

Het implementeren en vaststellen van beleid en procedures is van belang voor de bescherming van gegevens tijdens de uitwisseling van deze gegevens. Op deze manier verklein je de kans op ongeautoriseerde toegang of openbaarmaking van gevoelige informatie.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er is geen beleid of richtlijn voor de uitwisseling van (gevoelige) data binnen de organisatie of met externe partijen.
  • De organisatie biedt de mogelijkheid om veilig bestanden en documenten uit te wisselen, maar deze mogelijkheden worden niet (consequent) gebruikt.
2 Herhaalbaar
  • Er is een informeel beleid voor data-uitwisseling.
  • Iedereen binnen de school gebruikt de technieken voor veilige data-uitwisseling die de organisatie biedt.
3 Bepaald (streefniveau)
  • Het IBP-beleid en de procedures zijn gedefinieerd en ingevoerd om data en software te beschermen en uitwisseling mogelijk te maken.
  • Het IBP-beleid is goedgekeurd door het schoolbestuur of de schoolleiding en wordt algemeen toegepast.
  • Bedrijfsdata wordt geclassificeerd naar de mate van vertrouwelijkheid.
  • Data die uitgewisseld wordt buiten de organisatie moet voor versturen versleuteld worden.
  • Logs van essentiële applicaties worden geëvalueerd en incorrecte of incomplete data uitwisselingen worden tegengehouden.
4 Beheerst

Aanvullend op niveau 3:

  • Voordat gevoelige data worden verstuurd, wordt de verwerking ervan met application controls gevalideerd.
  • De relevante applicaties die betrokken zijn bij het loggen en stoppen van incorrecte of incomplete data-uitwisselingen worden periodiek geëvalueerd.
  • Het data-uitwisselingsbeleid en de effectiviteit daarvan worden periodiek geëvalueerd.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • De data-uitwisselingsmethodiek wordt ondersteund door geautomatiseerde (realtime) tooling, workflowprocessing en geïntegreerde dashboards.
  • Er wordt periodiek gerapporteerd over data-uitwisseling

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

  • Leg in het IBP-beleid vast op welke wijze data en software beschermd zijn. Leg ook vast welke middelen de organisatie inzet om gevoelige data uit te wisselen. Meer informatie over het IBP-beleid lees je in norm GO.02 Beleid informatiebeveiliging.
  • Houd bij uitwisselingen van data via applicaties toezicht op de logdata, zodat incorrecte en incomplete data-uitwisselingen gestopt worden.

Hulpmiddelen

Gerelateerde wetten en normen

Norm DM.05 Uitwisseling van (gevoelige) gegevens is gerelateerd aan ISO-standaard 27001/2:2022 en aan privacynormen.

ISO 27001/2:2022
  • A5.12
  • A5.14
  • A5.15
  • A8.20
  • A8.21
  • A8.22
  • A8.26 

Privacynormen

Alle normen van dit domein

Afdrukken

Op deze pagina