Inhoud
Het Normenkader IBP bestaat uit 69 normen voor informatiebeveiliging en 25 normen voor privacy. Deze normen geven inzicht in de maatregelen die nodig zijn voor een zo goed mogelijke bescherming tegen digitale dreigingen en privacyrisico’s. We gaan op deze pagina nader in op de opbouw van een norm, op raakvlakken tussen normen en wat je moet doen als normen niet van toepassing lijken.
Vaste opbouw
Elke norm bestaat uit een aantal vaste onderdelen. Denk aan een beschrijving van de norm, duiding over waarom de norm nodig is, maatregelen per volwassenheidsniveau, maatregelen om volwassenheidsniveau 3 te bereiken, de hulpmiddelen die je daarbij kunt gebruiken en gerelateerde wetten en normen. De meeste van die onderdelen spreken voor zich. De volwassenheidsniveaus leggen we hieronder uit.
Volwassenheidsniveaus
Alle normen hebben volwassenheidsniveaus: van niveau 1 tot en met 5. Door bepaalde maatregelen te nemen, bereik je een bepaald volwassenheidsniveau per norm. Een hoger niveau betekent een betere bescherming van systemen en gegevens en een verminderd risico op datalekken, cyberaanvallen en privacyschendingen. Aan de hand van de volwassenheidsniveaus kun je als school beter bepalen waar je staat ten opzichte van het Normenkader IBP en waar je naartoe werkt. Niveau 3 is het minimum waar we samen als sector naar streven. Ben je al langer bezig met IBP in je organisatie? Werk dan verder aan de maatregelen van niveau 4 en 5. Hieronder geven we een beknopt beschrijving per niveau.
1 Ad hoc
Jouw schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. hanteert geen gestructureerde aanpak op het gebied van informatiebeveiliging en privacy. Er is weinig tot geen documentatie. Problemen worden reactief opgelost. Jouw organisatie en systemen zijn niet goed beschermd tegen verstoringen, ongeoorloofde toegang en privacyschending. De kans op het niet naleven van wet- en regelgeving is groot.
2 Herhaalbaar
Jouw schoolbestuur heeft basismaatregelen geïmplementeerd om verstoringen, ongeoorloofde toegang en privacyschending van jouw systemen te voorkomen. Er is een zekere mate van bescherming tegen digitale dreigingen en privacyrisico’s, maar procedures worden informeel toegepast.
3 Bepaald
Jouw schoolbestuur hanteert gedocumenteerde procedures en richtlijnen om verstoringen, ongeoorloofde toegang en privacyschending van jouw systemen te voorkomen en past die consistent toe. Je kunt aantonen dat je de maatregelen die hieruit voortvloeien hebt uitgevoerd. Deze maatregelen zijn ook getest en effectief. De kans op incidenten is hierdoor aanzienlijk verminderd.
4 Beheerst
Jouw schoolbestuur monitort haar beveiligings- en privacymaatregelen actief en zorgt voor periodieke in- en externe evaluaties. Het beleid en de procedures worden continu getoetst, verbetert en aangepast, en wet- en regelgeving worden goed nageleefd.
De maatregelen in volwassenheidsniveau 4 zijn aanvullend op de maatregelen in volwassenheidsniveau 3.
5 Continue verbeteren
Jouw schoolbestuur hanteert een proactieve en innovatieve aanpak op het gebied van informatiebeveiliging en privacy. Beide onderdelen zijn volledig geïntegreerd in de onderwijsstrategie en dagelijkse praktijk. De kans op incidenten is hierdoor minimaal.
De maatregelen in volwassenheidsniveau 5 zijn aanvullend op de maatregelen in volwassenheidsniveau 3 en 4 aan.
Raakvlakken normen informatiebeveiliging en privacy
Informatiebeveiliging en privacy hebben veel raakvlakken met elkaar, maar zijn toch verschillend. De normen voor informatiebeveiliging gaan over de bescherming van de organisatie en alle vormen van informatie. De privacynormen gaan over de bescherming van persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. van leerlingen, oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn. en medewerkers en vloeien voort uit de AVG, de Algemene Verordening Gegevensbescherming. Is er een relatie tussen een norm van informatiebeveiliging en een norm van privacy? Dan zie je dit terug op de pagina van de norm.
Normen die niet van toepassing lijken
Wat kun je doen wanneer een norm niet van toepassing lijkt op jouw school? Denk aan normen over softwareontwikkeling of ict-diensten die je wellicht hebt uitbesteed aan een leverancier. Je mag deze normen niet zomaar overslaan. Het schoolbestuur is namelijk eindverantwoordelijk voor de digitale veiligheid op school, ook wanneer diensten zijn uitbesteed. Zorg daarom dat je altijd kunt verantwoorden hoe je omgaat met normen die je niet (zelf) kunt toepassen en toon altijd aan waarom dit zo is. Dat doe je als volgt:
- Toelichten. Licht uitgebreid toe waarom een norm of een deel van de norm niet van toepassing is. Dit kan bijvoorbeeld voorkomen wanneer bepaalde diensten zijn uitbesteed aan leveranciersAanbieders van ict- of leermiddelen..
- Registreren. Leg deze toelichting ergens vast. Zo kun je bij een audit aantonen waarom je deze norm niet of niet helemaal hebt geïmplementeerd. Dit is ook belangrijk bij een eventuele controle door de Autoriteit PersoonsgegevensDe Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens..
Vragen?
Kennisnet is verantwoordelijk voor de doorontwikkeling en het beheer van het Normenkader IBP. Vanzelfsprekend werken we nauw samen met SIVON, de PO-Raad en VO-raad. Heb je een vraag, opmerking of compliment over het Normenkader IBP? Neem dan contact op via ibp@kennisnet.nl