Opzet en inhoud
Voor wie
Met de komst van het normenkader gelden dezelfde eisen voor informatiebeveiliging en privacy voor alle scholen en samenwerkingsverbanden in het primair, voortgezet en speciaal onderwijs. Let op: Maak je als speciaal onderwijs ook gebruik van een zorg informatiesysteem? Dan geldt voor jou naast het normenkader IBP voor het onderwijs ook de NEN7510 norm.
Inhoud
Het Normenkader IBP bestaat uit 69 normen voor informatiebeveiliging en 25 normen voor privacy. Deze normen geven je inzicht in de maatregelen die nodig zijn voor een zo goed mogelijke bescherming tegen digitale dreigingen en privacyrisico’s. Elke norm bestaat uit een aantal vaste onderdelen: een beschrijving van de norm, duiding over waarom de norm nodig is, maatregelen per volwassenheidsniveau, voorbeelddocumenten en gerelateerde wetten en normen.
Volwassenheidsniveaus
Alle normen hebben volwassenheidsniveaus: van niveau 1 tot en met 5. Door bepaalde maatregelen te nemen, bereik je een bepaald volwassenheidsniveau per norm. Een hoger niveau betekent een betere bescherming van systemen en gegevens en een verminderd risico op datalekken, cyberaanvallen en privacyschendingen. Aan de hand van de volwassenheidsniveaus kun je als school beter bepalen waar je staat ten opzichte van het Normenkader IBP en waar je naartoe werkt. Niveau 3 is het minimum waar we samen als sector naar streven. Ben je al langer bezig met IBP in je organisatie? Werk dan verder aan de maatregelen van niveau 4 en 5. Hieronder geven we een beknopt beschrijving per niveau.
1 Ad hoc
Jouw schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. hanteert geen gestructureerde aanpak op het gebied van informatiebeveiliging en privacy. Er is weinig tot geen documentatie. Problemen worden reactief opgelost. Jouw organisatie en systemen zijn niet goed beschermd tegen verstoringen, ongeoorloofde toegang en privacyschending. De kans op het niet naleven van wet- en regelgeving is groot.
2 Herhaalbaar
Jouw schoolbestuur heeft basismaatregelen geïmplementeerd om verstoringen, ongeoorloofde toegang en privacyschending van jouw systemen te voorkomen. Er is een zekere mate van bescherming tegen digitale dreigingen en privacyrisico’s, maar procedures worden informeel toegepast.
3 Bepaald
Jouw schoolbestuur hanteert gedocumenteerde procedures en richtlijnen om verstoringen, ongeoorloofde toegang en privacyschending van jouw systemen te voorkomen en past die consistent toe. Je kunt aantonen dat je de maatregelen die hieruit voortvloeien hebt uitgevoerd. Deze maatregelen zijn ook getest en effectief. De kans op incidenten is hierdoor aanzienlijk verminderd.
4 Beheerst
Jouw schoolbestuur monitort haar beveiligings- en privacymaatregelen actief en zorgt voor periodieke in- en externe evaluaties. Het beleid en de procedures worden continu getoetst, verbetert en aangepast, en wet- en regelgeving worden goed nageleefd.
De maatregelen in volwassenheidsniveau 4 zijn aanvullend op de maatregelen in volwassenheidsniveau 3.
5 Continue verbeteren
Jouw schoolbestuur hanteert een proactieve en innovatieve aanpak op het gebied van informatiebeveiliging en privacy. Beide onderdelen zijn volledig geïntegreerd in de onderwijsstrategie en dagelijkse praktijk. De kans op incidenten is hierdoor minimaal.
De maatregelen in volwassenheidsniveau 5 zijn aanvullend op de maatregelen in volwassenheidsniveau 3 en 4 aan.
Raakvlakken informatiebeveiliging en privacy
Informatiebeveiliging en privacy hebben veel raakvlakken met elkaar, maar zijn toch verschillend. De normen voor informatiebeveiliging gaan over de bescherming van de organisatie en alle vormen van informatie. De privacynormen gaan over de bescherming van persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. van leerlingen, oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn. en medewerkers en vloeien voort uit de AVG, de Algemene Verordening Gegevensbescherming. Is er een relatie tussen een norm van informatiebeveiliging en een norm van privacy? Dan zie je dit terug op de pagina van de norm.
Normen die niet van toepassing lijken
Wat kun je doen wanneer een norm niet van toepassing lijkt op jouw school? Denk aan normen over softwareontwikkeling of ICT-diensten die je wellicht hebt uitbesteed aan een leverancier. Je mag deze normen niet zomaar overslaan. Het schoolbestuur is namelijk eindverantwoordelijk voor de digitale veiligheid op school, ook wanneer diensten zijn uitbesteed. Zorg daarom dat je altijd kunt verantwoorden hoe je omgaat met normen die je niet (zelf) kunt toepassen en toon altijd aan waarom dit zo is. Dat doe je als volgt:
- Toelichten. Licht uitgebreid toe waarom een norm of een deel van de norm niet van toepassing is. Dit kan bijvoorbeeld voorkomen wanneer bepaalde diensten zijn uitbesteed aan leveranciersAanbieders van ICT- of leermiddelen..
- Registreren. Leg deze toelichting ergens vast. Zo kun je bij een audit aantonen waarom je deze norm niet of niet helemaal hebt geïmplementeerd. Dit is ook belangrijk bij een eventuele controle door de Autoriteit PersoonsgegevensDe Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens..
Voldoen aan het normenkader
Heb je de privacynormen uit het normenkader allemaal toegepast? Dan voldoe je aan alle regels en verplichtingen van de Algemene Verordening Gegevensbescherming (AGV). Voor de informatiebeveiligingsnormen bestaat dergelijke regelgeving nog niet. Zodra er meer bekend is over een verplichting om ook aan de informatiebeveiligingsnormen te voldoen, brengen we je daarvan op de hoogte. Wees je ervan bewust dat je als schoolbestuur sowieso de verantwoordelijkheid draagt voor een zorgvuldige gegevensverwerking én voor een goede informatiebeveiliging. Om je te helpen te voldoen aan het Normenkader kun je gebruikmaken van het Groeipad.
Vragen?
Kennisnet is verantwoordelijk voor de doorontwikkeling en het beheer van het Normenkader IBP. Vanzelfsprekend werken we nauw samen met SIVON, de PO-Raad en VO-raad. Heb je een vraag, opmerking of compliment over het Normenkader IBP? Neem dan contact op via ibp@kennisnet.nl
Het Normenkader maakt onderdeel uit van het programma Digitaal Veilig Onderwijs.
Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en de VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het programma biedt schoolbesturen heldere leidraden en een concreet ondersteuningsaanbod. Het programma stimuleert ook dat leveranciers hun productportfolio in lijn brengen met het normenkader. Zo kunnen scholen voldoen aan hun verantwoordelijkheid om een digitaal veilige organisatie te realiseren. Stap voor stap, Bit by Bit.