Informatiebeveiligings- en privacy beleid Stichting ProCon

Bron

saMBO-ICT Kennisnet

Bewerkt door:

Stichting ProCon

Versie

1.0
Datum 
17-5-2019

Vastgesteld door het Bestuur van Stichting ProCon

T. Diepeveen

Ingestemd door (G)MR van Stichting ProCon

Het onderwijsveld is in toenemende mate afhankelijk van informatie en (meestal geautomatiseerde) informatievoor- zieningen. Ook neemt de hoeveelheid informatie toe door ontwikkelingen als gepersonaliseerd leren met ict. Deze afhankelijkheid van ict en gegevens brengt nieuwe kwetsbaarheden en risico’s met zich mee. Het is van belang om adequate maatregelen te nemen op het gebied van informatiebeveiliging en privacy (IBP) om de gevolgen van deze risico’s tot een aanvaardbaar niveau te reduceren en de voortgang van het onderwijs en de bedrijfsvoering optimaal te kunnen waarborgen.

Onder informatiebeveiliging wordt verstaan het treffen en onderhouden van een samenhangend pakket aan maat- regelen om de kwaliteitsaspecten van de informatievoorziening te garanderen.

Deze aspecten zijn:

• Beschikbaarheid: de mate waarin gegevens en/of functionaliteiten beschikbaar zijn op de juiste momen- ten.

• Integriteit: de mate waarin gegevens en/of functionaliteiten juist en volledig zijn.

• Vertrouwelijkheid: de mate waarin de toegang tot gegevens en/of functionaliteiten beperkt is tot degenen die daartoe bevoegd zijn.

Onvoldoende informatiebeveiliging kan leiden tot onacceptabele risico’s bij de uitvoering van onderwijs en bij de bedrijfsvoering van de instelling. Incidenten en inbreuken in deze processen kunnen leiden tot financiële schades en imagoverlies.

Privacy gaat over persoonsgegevens. Persoonsgegevens dienen beschermd te worden conform huidige wet – en regelgeving. Bescherming van de privacy regelt onder andere onder welke voorwaarden persoonsgegevens ge- bruikt mogen worden. Persoonsgegevens zijn hierbij alle gegevens die herleidbaar zijn tot een bepaald individu. Onder verwerking wordt verstaan elke handeling met betrekking tot persoonsgegevens. De wet noemt als voor- beelden van verwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadple- gen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikking- stelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.

Uit voorgaande blijkt dat informatiebeveiliging een belangrijk onderdeel is van privacy, terwijl omgekeerd de zorg- vuldige omgang met persoonsgegevens noodzakelijk is voor informatiebeveiliging. Beide begrippen staan naast elkaar, en zijn van elkaar afhankelijk. Het onderwerp informatiebeveiliging en privacy wordt afgekort tot IBP. Dit beleid ligt ten grondslag aan de aanpak van informatiebeveiliging en privacy binnen Stichting ProCon.

2 Doel en reikwijdte
2.1 Doel

Dit beleid heeft als doelen:

➢ Het waarborgen van de continuïteit van het onderwijs en de bedrijfsvoering.

➢ Het garanderen van de privacy van leerlingen en medewerkers waardoor beveiligings- en privacy-

incidenten en de eventuele gevolgen hiervan worden voorkomen.

Dit beleid is erop gericht om de kwaliteit van de verwerking van informatie en de beveiliging van persoonsgegevens te optimaliseren waarbij een goede balans moet zijn tussen privacy, functionaliteit en veiligheid. Uitgangspunt is dat de persoonlijke levenssfeer van de betrokkene, met name van medewerkers en leerlingen, wordt gerespecteerd en Stichting ProCon voldoet aan relevante wet- en regelgeving.

• Het informatiebeveiligings- en het privacy beleid binnen Stichting ProCon geldt voor alle medewerkers, leerlingen, ouders/verzorgers, (geregistreerde) bezoekers en externe relaties (inhuur / outsourcing), als- mede voor alle organisatieonderdelen. Onder dit beleid vallen ook alle devices van waar geautoriseerde toegang tot het schoolnetwerk verkregen kan worden.

• De nadruk van het beleid ligt op die toepassingen, die vallen onder de verantwoordelijkheid van Stichting ProCon. Het beleid heeft zowel betrekking op gecontroleerde informatie, die door de school zelf is gege- nereerd en wordt beheerd. Daarnaast is het ook van toepassing op niet-gecontroleerde informatie waarop de school kan worden aangesproken, zoals uitspraken van medewerkers en leerlingen in discussies, op (persoonlijke pagina’s van) websites,.

• Het beleid heeft betrekking op het verwerken van persoonsgegevens van alle betrokkenen binnen Stich- ting ProCon waaronder in ieder geval alle medewerkers, leerlingen, ouders/verzorgers, (geregistreerde) bezoekers en externe relaties (inhuur/outsourcing), evenals op andere betrokkenen waarvan Stichting ProCon persoonsgegevens verwerkt.

• In het beleid ligt de nadruk op de, geheel of gedeeltelijk, geautomatiseerde/systematische verwerking van persoonsgegevens die plaatsvindt onder de verantwoordelijkheid van Stichting ProCon evenals op de daaraan ten grondslag liggende documenten die in een bestand zijn opgenomen. Het beleid is ook van toepassing op niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgeno- men of die bestemd zijn om daarin te worden opgenomen.

• IBP-beleid binnen Stichting ProCon heeft raakvlakken met:

o Algemeen veiligheids- en toegangsbeveiligingsbeleid; met als aandachtspunten bedrijfshulpverlening, fysieke toegang en beveiliging, crisismanagement, huisvesting en ongevallen

o Personeels- en organisatiebeleid; met als aandachtspunten in- en uitstroom van medewerkers, functiewisselingen, functiescheiding en vertrouwensfuncties

o IT-beleid; met als aandachtspunten aanschaf, beheer en gebruik van ict en (digitale) leermiddelen o Medezeggenschap van leerlingen, hun ouders/verzorgers en medewerkers

o Beleid inzake aanschaf en gebruik van digitale leermiddelen

De belangrijkste beleidsuitgangspunten bij Stichting ProCon zijn:

• Informatiebeveiliging en het privacy dient te voldoen aan alle relevante wet- en regelgeving, in het bijzon- der aan de Wet bescherming persoonsgegevens en de Algemene Verordening Gegevensbescherming (die 25 mei 2018 in werking treedt).

De verwerking van persoonsgegevens is gebaseerd op één van de wettelijke grondslagen. Waarbij een goede balans tussen het belang van Stichting ProCon om persoonsgegevens te verwerken en het belang van betrokkene om in een vrije omgeving eigen keuzes te maken met betrekking tot zijn persoonsgege- vens van belang is.

• Binnen Stichting ProCon is het veilig en betrouwbaar omgaan met informatie de verantwoordelijkheid van iedereen. Hierbij hoort niet alleen het actief bijdragen aan de veiligheid van geautomatiseerde systemen en de daarin opgeslagen informatie, maar ook van fysieke documenten.

• De school is als rechtspersoon eigenaar van de informatie die onder haar verantwoordelijkheid wordt ge- produceerd. Daarnaast beheert de school informatie, waarvan het eigendom (auteursrecht) toebehoort aan derden. Medewerkers en leerlingen moeten goed geïnformeerd worden over de regelgeving rond het gebruik van informatie.

• Informatie heeft een waarde: financieel, economisch maar zeker ook emotioneel. De waarde van informa- tie wordt bij Stichting ProCon geclassificeerd. De classificatie is het uitgangspunt voor de te nemen maat- regelen. Vervolgens worden mogelijke risico’s geïdentificeerd door middel van een risicoanalyse, waarbij gebruik gemaakt wordt van de classificatie. Er is een balans tussen de risico’s van hetgeen we willen beschermen en de benodigde investeringen en maatregelen.

Stichting ProCon sluit met alle leveranciers van digitale onderwijsmiddelen (zowel van educatieve als be- drijfsapplicaties) ver- of bewerkersovereenkomsten af als zij persoonsgegevens ontvangen van de school. Hierbij wordt gebruik gemaakt van de meest recente versie van het convenant ‘Digitale leermiddelen privacy’ (www.privacyconvenant.nl) en de bijbehorende model ver- of bewerkersovereenkomst. Dit geldt ook voor overheids- en andere instellingen indien er gegevens van leerlingen of medewerkers worden ver- strekt, al dan niet op wettelijke basis.

Er wordt van alle medewerkers, leerlingen, (geregistreerde) bezoekers en externe relaties verwacht dat zij zich ‘fatsoenlijk’ gedragen met een eigen verantwoordelijkheid. Het is niet acceptabel dat door al dan niet opzettelijk gedrag onveilige situaties ontstaan die leiden tot schade en/of imagoverlies. Stichting Pro- Con heeft hiervoor een gedragscode geformuleerd, vastgesteld en geïmplementeerd.

Informatiebeveiliging en privacy is bij Stichting ProCon een continu proces, waarbij regelmatig (minimaal jaarlijks) wordt geëvalueerd en wordt gekeken of aanpassing gewenst is.

Bij wijzigingen in de infrastructuur of de aanschaf van nieuwe (informatie)systemen, wordt bij Stichting ProCon vanaf de start rekening gehouden met informatiebeveiliging en privacy.

vuistregels met betrekking tot de omgang van persoonsgegevens bij Stichting ProCon zijn:

Doelbepaling en doelbinding: persoonsgegevens worden alleen gebruikt voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Deze doeleinden zijn concreet en voorafgaand aan de verwerking vastgesteld. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doelen waarvoor ze zijn verkregen.

Grondslag: verwerking van Persoonsgegevens is gebaseerd op een van de wettelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang.

Dataminimalisatie: bij de verwerking van Persoonsgegevens blijft de hoeveelheid en het soort gegevens beperkt: het type persoonsgegevens moet redelijkerwijs nodig zijn om het doel te bereiken; ze staan in verhouding staan tot het doel (= proportioneel). Het doel kan niet met minder, alternatieve of andere gegevens worden bereikt. Dit betekent ook dat data niet langer wordt bewaard dan noodzakelijk. Transparantie: de school legt aan betrokkenen (leerlingen, hun ouders en medewerkers) op transparante wijze verantwoording af over het gebruik van hun persoonsgegevens, alsmede over het gevoerde IBP-beleid. Deze informatievoorziening vindt ongevraagd plaats. Daarnaast hebben deze betrokkenen recht op verbetering, aanvulling, verwijdering of afscherming van hun Persoonsgegevens. Daarnaast kunnen betrokkenen zich verzetten tegen het gebruik van hun gegevens.

Data-integriteit: er zijn maatregelen getroffen om te waarborgen dat de te verwerken Persoonsgegevens juist en actueel zijn.

 Persoonsgegevens moeten adequaat worden beveiligd volgens algemeen en breed geaccepteerde beveiligingsnormen.

Bij alle registraties op basis van toestemming, zal Stichting ProCon aan de Betrokkene een eenduidige zogenaamde Opt-out procedure worden aangeboden.

Stichting ProCon voldoet aan alle van toepassing zijnde relevante wet- en regelgeving, waaronder:

• Wet primair onderwijs

• Wet goed onderwijs en goed bestuur PO/VO

• Wet bescherming persoonsgegevens

• Algemene Verordening Gegevensbescherming (AVG)

• Archiefwet

• Leerplichtwet

• Auteurswet

• Wetboek van Strafrecht

Hiernaast zijn de bepalingen van het convenant ‘Digitale onderwijsmiddelen en privacy 3.0’ leidend bij het maken van afspraken met leveranciers.

De organisatie van IBP gaat over processen, gewoontes, beleid, wetten en regels die van betekenis zijn voor de manier waarop mensen een organisatie sturen, besturen, beheren en controleren. Hierbij spelen de relaties tussen de verschillende betrokkenen en de doelen van de organisatie een rol.

Dit hoofdstuk beschrijft hoe IBP bij Stichting ProCon is georganiseerd. Er wordt daarbij onderscheid gemaakt tussen drie niveaus:

• Richtinggevend (strategisch)

• Sturend (tactisch)

• Uitvoerend (operationeel)

Voor elk niveau wordt beschreven welke rollen welke verantwoordelijkheden en taken hebben en wat de documenten zijn die daarbij passen

Om informatiebeveiliging en privacy gestructureerd en gecoördineerd op te pakken worden bij Stichting ProCon een aantal rollen onderkend die aan medewerkers in de bestaande organisatie zijn toegewezen.

Eindverantwoordelijke

De bestuurder van stichting ProCon is eindverantwoordelijk voor IBP en stelt het beleid en de basismaatregelen op het gebied van informatiebeveiliging en privacy vast.

De toepassing en werking van het IBP-beleid wordt op basis van regelmatige rapportages geëvalueerd.

De inhoudelijke verantwoordelijkheid voor IBP is gemandateerd aan de manager IBP
.

Manager IBP [Deze rol ligt bij de directeuren i.s.m. FG en SO]

Manager IBP is een rol op sturend niveau. Hij/zij geeft terugkoppeling en advies aan de eindverantwoordelijke en stuurt de mensen aan op uitvoerend niveau. De manager IBP moet:

• Het beleid vertalen naar richtlijnen, procedures, maatregelen en documenten voor de gehele instelling

• De uniformiteit bewaken binnen Stichting ProCon

• Het aanspreekpunt zijn voor incidenten op het gebied van informatiebeveiliging en privacy

• De verdere afhandeling van incidenten binnen Stichting ProCon coördineren

Functionaris voor Gegevensbescherming [m.i.v. feb 2019 C. Geenen, PEP onderwijsadvisering]

De functionaris voor gegevensbescherming (FG) houdt binnen Stichting ProCon toezicht op de toepassing en na- leving van de AVG. De wettelijke taken en bevoegdheden van de FG geven deze functionaris een onafhankelijke positie in de organisatie. De FG zorgt voor het afhandelen van vertrouwelijke informatiebeveiligingsincidenten. FG heeft regelmatig overleg met manager IBP. De FG is meestal ook de contactpersoon voor klachten en vragen van betrokkenen.

Portefeuillehouder ICT / ICT beheer [F. v. A.] adviseert samen met manager IBP/ informatiemanager de bestuurder en is verantwoordelijk voor het organiseren van ICT en informatiebeveiliging binnen Stichting ProCon
.

Binnen de school zijn er verschillende domeinen/processen, zoals ict, personeel (HRM, P&O), administratie, facili- taire- en financiële zaken, onderwijs et cetera. Op elk van deze domeinen/processen is iemand verantwoordelijk om te bepalen op welke wijze IBP daarbinnen wordt vormgegeven in richtlijnen, procedures en instructies.

Deze proceseigenaar is tevens verantwoordelijk voor de risico’s die veroorzaakt worden doordat personen of ap- plicaties ten onrechte toegang krijgen tot applicaties. Om deze risico’s te verkleinen hebben proceseigenaren de volgende specifieke taken:

• Samen met het de bestuurder stellen zij het beleid voor toegang vast.

• Samen met functioneel beheer en ICT-beheer zien zij er op toe dat gebruikers alleen toegang krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn.

• Samen met functioneel beheer en ICT-beheer beoordelen zij regelmatig de toegangsrechten van gebrui- kers.

Leidinggevenden hebben hierbij een voorbeeldrol ten opzichte van hun medewerkers.

5.4 Uitvoerend

Security Officer [m.i.v. feb. 2019 F. v. A.]

De Security Officer vormt een technisch aanspreekpunt inzake informatiebeveiliging voor het management en de medewerkers.

De functioneel beheerder wordt vanuit de domeinverantwoordelijke / proceseigenaar voorzien van een ingevuld werkpakket, bestaande uit richtlijnen, procedures en instructies. Op basis hiervan voert hij zijn of haar taken uit.

.

Alle medewerkers hebben verantwoordelijkheid met betrekking tot informatiebeveiliging in hun dagelijkse werk- zaamheden. Deze verantwoordelijkheden zijn beschreven in o.a. het personeelshandboek en een aantal andere beleidsdocumenten. Daarnaast worden medewerkers in hun dagelijkse werkzaamheden, waar nodig, ondersteund met checklists en formulieren.

Medewerkers worden gevraagd om actief betrokken te zijn bij informatiebeveiliging. Dit kan door meldingen te maken van security incidenten, het doen van verbetervoorstellen en het uitoefenen van invloed op het beleid (indi- vidueel of via de MR)

Naleving van het informatiebeveiligingsbeleid is onderdeel van de integrale bedrijfsvoering. Iedere leidinggevende heeft op uitvoerend niveau de taak om:

• er voor te zorgen dat zijn medewerkers op de hoogte zijn van het beveiligingsbeleid;

• toe te zien op de naleving van het IBP-beleid door de medewerkers, waarbij hij/zij zelf een voorbeeldfunctie

heeft;

• periodiek het onderwerp IBP onder de aandacht te brengen in werkoverleggen, beoordelingen etc.;

• als aanspreekpunt beschikbaar te zijn voor alle personeel gerelateerde IBP-onderwerpen.

De leidinggevende kan in zijn taak ondersteund worden door de manager IBP.

Dit informatiebeveiligings- en privacybeleid wordt minimaal elke twee jaar getoetst en bijgesteld door het MT. Hierbij wordt rekening gehouden met:

• De status van de informatiebeveiliging als geheel (beleid, organisatie, risico’s)

• De effectiviteit van de genomen maatregelen en aantoonbare werking daarvan

Daarnaast kent Stichting ProCon een jaarlijkse planning en control cyclus voor informatiebeveiliging en privacy. Dit is een periodiek evaluatieproces waarmee de inhoud en effectiviteit van het informatiebeveiligings- en privacybeleid wordt getoetst.

Voor alle overlegmomenten geldt dat deze zoveel mogelijk ingepast worden in bestaande overlegvormen met het- zelfde karakter waarbij op:

• strategisch niveau richtinggevend wordt gesproken over organisatie en compliance, alsmede over doe- len, scope en ambitie op het gebied van IBP.

• tactisch niveau wordt de strategie vertaald naar plannen, te hanteren normen, evaluatiemethoden, e.d. Deze plannen en instrumenten zijn sturend voor de uitvoering.

• operationeel niveau worden de onderwerpen besproken die de dagelijkse bedrijfsvoering (uitvoering) aangaan. Deze overlegvorm wordt decentraal georganiseerd, en indien nodig in elk organisatieonderdeel van Stichting ProCon

Beleid en maatregelen zijn niet voldoende om risico’s op het terrein van informatiebeveiliging en privacy uit te sluiten. In de praktijk blijkt de mens meestal de belangrijkste speler. Daarom wordt bij Stichting ProCon het bewust- zijn van de individuele medewerkers voortdurend aangescherpt, zodat de kennis van risico’s wordt verhoogd en veilig en verantwoord gedrag wordt aangemoedigd. Onderdeel van het beleid zijn de regelmatig terugkerende be- wustwordingscampagnes voor medewerkers, deelnemers en gasten. Verhoging van het beveiligingsbewustzijn is een verantwoordelijkheid van de manager IBP / informatie manager/ Security Officer met de bestuurder als eind- verantwoordelijke.

Bij Stichting ProCon heeft alle informatie waarde, daarom worden alle gegevens waarop dit beleid van toepassing is, geclassificeerd. Het niveau van de beveiligingsmaatregelen is afhankelijk van de classificatie. De classificatie van informatie is afhankelijk van de gegevens in het informatiesysteem en wordt bepaald op basis van risicoanaly- ses. Daarbij zijn beschikbaarheid, integriteit en vertrouwelijkheid de kwaliteitsaspecten die van belang voor de in- formatievoorziening.

Alle incidenten kunnen worden gemeld bij Security@stichting-procon.nl en binnen de SharePoint omgeving https://stichtingprocon.sharepoint.com/Algemeen/AVG/SitePages/Introductiepagina.aspx . De afhandeling van deze incidenten volgt een gestructureerd proces, die ook voorziet in de juiste stappen rondom de meldplicht data- lekken.

De naleving bestaat uit algemeen toezicht op de dagelijkse praktijk van het IBP proces. Van belang hierbij is dat leidinggevenden en proceseigenaren hun verantwoordelijkheid nemen en hun medewerkers aanspreken in geval van tekortkomingen. Bij Stichting ProCon wordt actief aandacht besteed aan IBP bij de aanstelling, tijdens functio- neringsgesprekken, met een instelling brede gedragscode, met periodieke bewustwordingscampagnes, et cetera. Voor de bevordering van de naleving van de Wet bescherming persoonsgegevens vervult de Functionaris voor Gegevensbescherming (FG) een belangrijke rol. De FG wordt aangesteld door de College van Bestuur, en heeft een wettelijk omschreven en onafhankelijke toezichthoudende taak. De FG werkt via een door de bestuurder vast te stellen reglement.

Mocht de naleving ernstig tekort schieten, dan kan Stichting ProCon de betrokken verantwoordelijke medewerkers een sanctie opleggen, binnen de kaders van de CAO en de wettelijke mogelijkheden.

Bij Stichting ProCon is het melden van beveiligingsincidenten en datalekken vastgelegd in een protocol.

Bijlage 1: Tabel IBP rollen en taken

   Niveau

    Wie Rollen

    Hoe

Verantwoordelijkheid / taken

    Wat

Realiseren / vastleggen

   Richtinggevend (strategisch)

  Bestuurder RvT

 • Eindverantwoordelijk

• IBP-beleidsvorming, -vastlegging en het

uitdragen ervan

• Verantwoordelijk voor het zorgvuldig

en rechtmatig verwerken van per-

soonsgegevens

• Evalueren toepassing en werking IBP-

beleid op basis van rapportages

• Organisatie IBP inrichten

  • Informatiebeveiligings- en privacy be- leid

• Baseline / basismaatregelen

• Reglement FG vaststellen

• Privacyreglement vaststellen

    Sturend (tactisch)

 Directeuren Pro- Con i.s.m. FG en SO

 • Inhoudelijk verantwoordelijk voor IBP

• IBP-planning en controle

• Adviseert bestuur/CvB/directie over

IBP

• Voorbereiden uitvoeren IBP-beleid,

Classificatie/risicoanalyse

• Hanteren IBP normen en wijze van

toetsen

• Evalueren IBP-beleid en maatregelen

• Uitwerken algemeen beleid naar speci-

fiek beleid op een uniforme wijze

• Schrijven en beheren van processen,

richtlijnen en procedures om de uitvoe- ring te ondersteunen

 Processen, richtlijnen en procedures IBP, waaronder:

• activiteitenkalender

• Protocol beveiligingsincidenten en da-

talekken

• Bewerkersovereenkomsten regelen

• Brief toestemming gebruik foto’s en vi-

deo

• Opstellen informatie documentatie

richting leerlingen, ouders / verzorgers

• Security awareness activiteiten

• Sociale media reglement

• Gedragscode ict en internetgebruik

• Gedragscode medewerkers en leer- lingen

      Functionaris voor Gegevensbe- scherming /

C. Geenen Privacy officer

F. v. A.

   • Toezicht op naleving privacy wetgeving

• Richtlijnen, kaders vaststellen en aan- bevelingen doen t.b.v. verbeterde be- scherming van verwerkingen van per-

soonsgegevens

• Afwikkeling klachten en incidenten

   • Privacyreglement,

• procedure IBP-incident afhandeling

• Inrichten meldpunt datalekken

     Domeinverantwo ordelijke/ Pro- ceseigenaren waaronder:

ict, personeel (HRM / P&O),

Facilitair,

onderwijs , financiën, inkoop en

administratie

  • Classificatie / risicoanalyse in samen- werking met Manager IBP (Informatie- manager / verantwoordelijke IBP / Se- curity officer)

• Toegangsbeleid zowel fysiek als digitaal vaststellen en laten goedkeuren door bestuur/CvB/directie

• Samen met functioneel beheer en ICT beheer er op toezien dat gebruikers al- leen toegang krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn.

• Samen met functioneel beheer en ICT beheer de toegangsrechten van gebrui- kers regelmatig beoordelen en contro- leren.

  • Inventariseren waar persoonsgegevens van de school terechtkomen (leveran- ciers lijst)

• Classificatie- en risicoanalyse documen- ten.

Diverse aanvullende beleidsstukken, richtlij- nen, procedures en protocollen, waaronder:

• Toegangsmatrix diverse informatiesys- temen en netwerk

 Pagina 10 van 11

  Niveau

   Wie Rollen

   Hoe

Verantwoordelijkheid / taken

   Wat

Realiseren / vastleggen Vanuit de Wiki

   Uitvoerend (operationeel)

  Security officer

(F. v. A.)

Functioneel be- heerder

(F. v. A.)

Medewerker

Dagelijkse lei- ding / leidingge- vende / directie

 • Incidentafhandeling (registreren en evalueren).

• Technisch aanspreekpunt voor IBP-in- cidenten.

• Uitvoeren taken conform gegeven richtlijnen en procedures.

• Verantwoordelijk omgaan met IBP bij hun dagelijkse werkzaamheden.

• Communicatie naar alle betrokkenen; er voor zorgen dat medewerkers op de hoogte zijn van het IBP-beleid en de consequenties ervan.

• Toezien op de naleving van het IBP- beleid en de daarbij behorende pro- cessen, richtlijnen en procedures door de medewerkers.

• Voorbeeldfunctie met positieve en ac- tieve houding t.a.v. IBP-beleid.

• Implementeren IBP-maatregelen.

• periodiek het onderwerp informatie-

beveiliging onder de aandacht te brengen in werkoverleggen, beoorde- lingen etc.;

• Rapporteren voortgang m.b.t. doel- stellingen IBP-beleid aan bestuur.

   Communiceren, informeren en toezien op naleving van o.a.:

• IBP in het algemeen

• Regels passend onderwijs

• Hoe omgaan met leerling dossiers

• Wie mogen wat zien

• Gedragscode

• Omgaan met sociale media

• Mediawijs maken