Home » Over het Normenkader » Inhoud

Inhoud

Het Normenkader IBP bestaat uit 69 normen voor informatiebeveiliging en 25 normen voor privacy. Deze normen geven inzicht in de maatregelen die nodig zijn voor een zo goed mogelijke bescherming tegen digitale dreigingen en privacyrisico’s. We gaan op deze pagina nader in op de opbouw van een norm, op raakvlakken tussen normen en wat je moet doen als normen niet van toepassing lijken.

Vaste opbouw

Elke norm bestaat uit een aantal vaste onderdelen. Denk aan een beschrijving van de norm, duiding over waarom de norm nodig is, maatregelen per volwassenheidsniveau, maatregelen om volwassenheidsniveau 3 te bereiken, de hulpmiddelen die je daarbij kunt gebruiken en gerelateerde wetten en normen. De meeste van die onderdelen spreken voor zich. De volwassenheidsniveaus leggen we hieronder uit.

Volwassenheidsniveaus

Alle normen hebben volwassenheidsniveaus: van niveau 1 tot en met 5. Door bepaalde maatregelen te nemen, bereik je een bepaald volwassenheidsniveau per norm. Een hoger niveau betekent een betere bescherming van systemen en gegevens en een verminderd risico op datalekken, cyberaanvallen en privacyschendingen. Aan de hand van de volwassenheidsniveaus kun je als school beter bepalen waar je staat ten opzichte van het Normenkader IBP en waar je naartoe werkt. Niveau 3 is het minimum waar we samen als sector naar streven. Ben je al langer bezig met IBP in je organisatie? Werk dan verder aan de maatregelen van niveau 4 en 5. Hieronder geven we een beknopt beschrijving per niveau.

1 Ad hoc

Jouw schoolbestuur hanteert geen gestructureerde aanpak op het gebied van informatiebeveiliging en privacy. Er is weinig tot geen documentatie. Problemen worden reactief opgelost. Jouw organisatie en systemen zijn niet goed beschermd tegen verstoringen, ongeoorloofde toegang en privacyschending. De kans op het niet naleven van wet- en regelgeving is groot.

2 Herhaalbaar

Jouw schoolbestuur heeft basismaatregelen geïmplementeerd om verstoringen, ongeoorloofde toegang en privacyschending van jouw systemen te voorkomen. Er is een zekere mate van bescherming tegen digitale dreigingen en privacyrisico’s, maar procedures worden informeel toegepast.

3 Bepaald

Jouw schoolbestuur hanteert gedocumenteerde procedures en richtlijnen om verstoringen, ongeoorloofde toegang en privacyschending van jouw systemen te voorkomen en past die consistent toe. Je kunt aantonen dat je de maatregelen die hieruit voortvloeien hebt uitgevoerd. Deze maatregelen zijn ook getest en effectief. De kans op incidenten is hierdoor aanzienlijk verminderd.

4 Beheerst

Jouw schoolbestuur monitort haar beveiligings- en privacymaatregelen actief en zorgt voor periodieke in- en externe evaluaties. Het beleid en de procedures worden continu getoetst, verbetert en aangepast, en wet- en regelgeving worden goed nageleefd.

De maatregelen in volwassenheidsniveau 4 zijn aanvullend op de maatregelen in volwassenheidsniveau 3.

5 Continue verbeteren

Jouw schoolbestuur hanteert een proactieve en innovatieve aanpak op het gebied van informatiebeveiliging en privacy. Beide onderdelen zijn volledig geïntegreerd in de onderwijsstrategie en dagelijkse praktijk. De kans op incidenten is hierdoor minimaal.

De maatregelen in volwassenheidsniveau 5 zijn aanvullend op de maatregelen in volwassenheidsniveau 3 en 4 aan.

Raakvlakken normen informatiebeveiliging en privacy

Informatiebeveiliging en privacy hebben veel raakvlakken met elkaar, maar zijn toch verschillend. De normen voor informatiebeveiliging gaan over de bescherming van de organisatie en alle vormen van informatie. De privacynormen gaan over de bescherming van persoonsgegevens van leerlingen, ouders en medewerkers en vloeien voort uit de AVG, de Algemene Verordening Gegevensbescherming. Is er een relatie tussen een norm van informatiebeveiliging en een norm van privacy? Dan zie je dit terug op de pagina van de norm.

Normen die niet van toepassing lijken

Wat kun je doen wanneer een norm niet van toepassing lijkt op jouw school? Denk aan normen over softwareontwikkeling of ict-diensten die je wellicht hebt uitbesteed aan een leverancier. Je mag deze normen niet zomaar overslaan. Het schoolbestuur is namelijk eindverantwoordelijk voor de digitale veiligheid op school, ook wanneer diensten zijn uitbesteed. Zorg daarom dat je altijd kunt verantwoorden hoe je omgaat met normen die je niet (zelf) kunt toepassen en toon altijd aan waarom dit zo is. Dat doe je als volgt:

  • Toelichten. Licht uitgebreid toe waarom een norm of een deel van de norm niet van toepassing is. Dit kan bijvoorbeeld voorkomen wanneer bepaalde diensten zijn uitbesteed aan leveranciers.
  • Registreren. Leg deze toelichting ergens vast. Zo kun je bij een audit aantonen waarom je deze norm niet of niet helemaal hebt geïmplementeerd. Dit is ook belangrijk bij een eventuele controle door de Autoriteit Persoonsgegevens.

Vragen?

Kennisnet is verantwoordelijk voor de doorontwikkeling en het beheer van het Normenkader IBP. Vanzelfsprekend werken we nauw samen met SIVON, de PO-Raad en VO-raad. Heb je een vraag, opmerking of compliment over het Normenkader IBP? Neem dan contact op via ibp@kennisnet.nl

Afdrukken

Op deze pagina