INFORMATIEVEILIGHEIDS- EN PRIVACYBELEID
Vrije Basisschool De Linde
voor:
Vrije Basisschool De Linde
Versie |
Datum |
Status |
Auteur(s) |
Opmerking |
1.0 |
2018-05-26 |
GELDIG |
Lieven Vanoyenbrugge |
|
|
|
|
Hans Ickx |
|
|
|
|
Luc Van Gelder |
|
|
|
|
|
|
|
|
|
|
|
Inhoud
1.1 Toelichting informatieveiligheid. 3
1.3 Vervlechting informatieveiligheid en privacy. 3
3.1 Algemene beleidsuitgangspunten. 5
5.1 Rollen (functies) rondom IVP. 7
6.1 Voorlichting en bewustzijn. 9
6.2 Classificatie en risicoanalyse. 9
6.3 Incidenten en datalekken. 9
6.4 Controle, naleving en sancties. 9
Bijlage 1: Tabel IVP rollen en taken. 10
Bijlage 2: Aanvullende nota’s. 12
Informatie en ict zijn noodzakelijk in de ondersteuning van het onderwijs. Denken we maar aan de leerlingadministratie- en leerlingvolgsystemen, agenda- en rapportprogramma’s, oefen- en toetssystemen…. Vaak verwerken deze geautomatiseerde systemen persoonsgegevens (van leerlingen, ouders, lesgevers…) en is de privacywetgeving (AVG) hierop van toepassing.
Deze informatieverwerking en het gebruik van ict brengen risico’s met zich mee. Denken we bijvoorbeeld maar aan een cyberaanval waarbij de gegevens versleuteld worden, een vergissing waardoor gegevens onherroepelijk gewist zijn, de natuur (bijv. overstroming of brand), et cetera. Het niet beschikbaar zijn van ict, incorrecte administraties en het uitlekken van gegevens kan leiden tot inbreuken op het geven van onderwijs en het vertrouwen in onze school.
Deze bedreigingen maken het noodzakelijk om adequate maatregelen te nemen op het gebied van informatieveiligheid en privacy (IVP) om de risico’s die gepaard gaan met deze bedreigingen tot een aanvaardbaar niveau te reduceren. Om dit structureel op te pakken is het noodzakelijk dat we een duidelijk maken waar het om gaat, een doel stellen en de manier waarop we dit doel willen bereiken.
Onder informatieveiligheid wordt verstaan: het nemen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten van de informatie en ict zo maximaal mogelijk te garanderen.
Deze kwaliteitsaspecten zijn:
Onvoldoende informatieveiligheid kan leiden tot onacceptabele risico’s bij de uitvoering van onderwijs en bij de dagdagelijkse werking van de onderwijsinstelling. Incidenten en inbreuken in deze processen kunnen leiden tot financiële schade en imagoverlies.
Privacy gaat over de verwerking van persoonsgegevens. Persoonsgegevens dienen beschermd te worden conform de huidige wet- en regelgeving. De bescherming van de privacy regelt onder andere de voorwaarden waaronder persoonsgegevens gebruikt mogen worden.
Persoonsgegevens zijn hierbij alle gegevens van een geïdentificeerd of identificeerbaar individu. Onder verwerking wordt verstaan elke handeling met betrekking tot persoonsgegevens. Denken we maar aan het verzamelen, raadplegen, bijwerken, verspreiden tot met het wissen van deze gegevens.
Informatieveiligheid is noodzakelijk om privacy te waarborgen. Beide begrippen zijn met elkaar verbonden. Het onderwerp informatieveiligheid en privacy wordt afgekort tot IVP. Deze beleidstekst ligt ten grondslag aan de aanpak van informatieveiligheid en privacy binnen VBS De Linde
Dit beleid heeft als doelen:
Dit beleid is erop gericht om de kwaliteit van de verwerking van informatie en de beveiliging van persoonsgegevens te optimaliseren waarbij er een goede balans moet zijn tussen privacy, functionaliteit, veiligheid en middelen. Uitgangspunt is dat de persoonlijke levenssfeer van de betrokkene, met name van medewerkers, leerlingen en ouders wordt gerespecteerd en dat VBS De Linde voldoet aan relevante wet- en regelgeving.
De belangrijkste beleidsuitgangspunten bij VBS De Linde zijn:
De zes vuistregels met betrekking tot de omgang van persoonsgegevens bij VBS De Linde zijn:
Bij alle registraties op basis van toestemming, zal VBS De Linde een eenduidige procedure hanteren die een actieve en aantoonbare handeling vereist.
VBS De Linde voldoet aan alle van toepassing zijnde relevante wet- en regelgeving, waaronder:
De organisatie van IVP gaat over processen, gewoontes, beleid, wetten en regels die van betekenis zijn voor de manier waarop mensen een organisatie besturen, beheren en controleren. Hierbij spelen de relaties tussen de verschillende betrokkenen en de doelen van de organisatie een rol. Dit hoofdstuk beschrijft hoe IVP in VBS De Linde is georganiseerd. Er wordt daarbij onderscheid gemaakt tussen drie niveaus:
Voor elk niveau wordt beschreven welke verantwoordelijkheden en taken de verschillende rollen met zich meebrengen.
Om IVP gestructureerd en gecoördineerd aan te pakken worden bij VBS De Linde een aantal rollen aan medewerkers in de bestaande organisatie toegewezen.
Verwerkingsverantwoordelijke
Het schoolbestuur is eindverantwoordelijk voor IVP en stelt het beleid en de basismaatregelen op het gebied van IVP vast. Linde
De toepassing en werking van het IVP-beleid wordt op basis van regelmatige rapportages geëvalueerd.
Zie bijlage 1 voor een schematische weergave van de rol- en taakverdelingen aangaande IVP op VBS De en binnen VBS De Linde
Data Protection Officer (DPO) van de koepelorganisatie
Vanuit de koepelorganisatie Katholiek Onderwijs Vlaanderen wordt er een Data Protection Officer aangesteld. Deze zal binnen het schoolbestuur of instelling het Aanspreekpunt Informatieveiligheid (AIV) aansturen. De taak bestaat uit:
Aanspreekpunt Informatieveiligheid
Het AIV is een rol op sturend niveau. Hij geeft terugkoppeling en advies aan de eindverantwoordelijke (directie van de instelling, raad van bestuur van het schoolbestuur) en staat de mensen op uitvoerend niveau bij. Het AIV moet:
Domeinverantwoordelijke / proceseigenaar
Binnen elke instelling zijn er verschillende domeinen/processen, zoals bv. ict, personeel, administratie, facilitaire en financiële zaken, onderwijs et cetera. Op elk van deze domeinen/processen is iemand verantwoordelijk om te bepalen op welke wijze IVP daarbinnen wordt vormgegeven in richtlijnen, procedures en instructies.
De proceseigenaar is verantwoordelijk voor de risico’s die veroorzaakt worden doordat personen of applicaties ten onrechte toegang krijgen tot applicaties. Om deze risico’s te verkleinen hebben proceseigenaren de volgende specifieke taken:
Leidinggevenden hebben een voorbeeldrol ten opzichte van hun medewerkers.
Leidinggevende
Naleving van het Informatieveiligheidsbeleid is onderdeel van de integrale bedrijfsvoering. Iedere leidinggevende heeft op uitvoerend niveau de taak om:
De leidinggevende kan in zijn taak ondersteund worden door het AIV.
Ict-coördinator
De ict-coördinator vormt een technisch aanspreekpunt inzake informatieveiligheid voor het management en de medewerkers, en zorgt in de praktijk voor de implementatie van toegangsrechten en de rapportage aangaande digitale informatieveiligheid.
Functioneel beheerder
De functioneel beheerder wordt vanuit de domeinverantwoordelijke / proceseigenaar voorzien van een ingevuld werkpakket, bestaande uit richtlijnen, procedures en instructies. Op basis hiervan voert hij zijn of haar taken uit.
Medewerker
Alle medewerkers hebben een verantwoordelijkheid met betrekking tot informatieveiligheid in hun dagelijkse werkzaamheden. Deze verantwoordelijkheden zijn beschreven in o.a. het privacyreglement en eraan toegevoegde nota’s en visieteksten aangaande IVP op VBS De Linde. Daarnaast worden medewerkers in hun dagelijkse werkzaamheden, waar nodig, ondersteund met checklists, formulieren en praktische tools.
Medewerkers wordt gevraagd om actief betrokken te zijn bij informatieveiligheid. Dit kan door meldingen te maken van veiligheidsincidenten, het doen van voorstellen ter verbetering van IVP en het uitoefenen van invloed op het beleid (individueel of via de ervoor voorziene overlegorganen en/of via het aanspreekpunt). Zelf hebben zij ook een voorbeeldfunctie naar andere medewerkers, externen en vooral leerlingen toe.
Van ambtswege uit, of eventueel contractueel, worden alle medewerkers (ook extern) van VBS De Linde die toegang kunnen hebben tot persoonsgegevens, gebonden aan een discretieplicht. Welbepaalde (externe) medewerkers zijn wettelijk gebonden aan een beroepsgeheim.
Daarnaast kent VBS De Linde een jaarlijkse planning en controlecyclus voor IVP. Dit is een vast evaluatieproces waarmee de inhoud en effectiviteit van het IVP-beleid wordt getoetst.
Voor alle overlegmomenten geldt dat deze zoveel mogelijk ingepast worden in bestaande overlegvormen met hetzelfde karakter waarbij op:
Beleid en maatregelen zijn niet voldoende om risico’s op het terrein van informatieveiligheid en privacy uit te sluiten. In de praktijk blijkt de mens meestal de belangrijkste speler. Daarom wordt bij VBS De Linde het bewustzijn van de individuele medewerkers voortdurend aangescherpt, zodat de kennis van risico’s wordt verhoogd en veilig en verantwoord gedrag wordt aangemoedigd. Onderdeel van het beleid zijn onder andere de regelmatig terugkerende bewustwordingscampagnes voor iedereen binnen de school. Verhoging van het beveiligingsbewustzijn is een verantwoordelijkheid van het AIV en leidinggevende(n), met de raad van bestuur van VBS De Linde als eindverantwoordelijke.
Bij VBS De Linde heeft alle informatie waarde, daarom worden alle gegevens waarop dit beleid van toepassing is, geclassificeerd. De risicoanalyse zal het niveau van de beveiligingsmaatregelen bepalen rekening houdend met de classificatie van de gegevens. Daarbij zijn beschikbaarheid, integriteit en vertrouwelijkheid de kwaliteitsaspecten die van belang zijn voor de informatievoorziening.
Bij VBS De Linde is het melden van beveiligingsincidenten en datalekken vastgelegd in een protocol.
Alle incidenten kunnen worden gemeld bij privacy@vbsdelinde.be. De afhandeling van deze incidenten volgt een gestructureerd proces, waarbij men ook voorziet in de juiste stappen rondom de meldplicht datalekken.
De naleving bestaat uit algemeen toezicht op de dagelijkse praktijk van het IVP proces. Van belang hierbij is dat leidinggevenden en proceseigenaren hun verantwoordelijkheid nemen en hun medewerkers aanspreken in geval van tekortkomingen. Bij VBS De Linde wordt actief aandacht besteed aan IVP bij de aanstelling, tijdens functioneringsgesprekken, met een gedragscode, met periodieke bewustwordingscampagnes, et cetera.
Mocht de naleving ernstig tekort schieten, dan kan VBS De Linde de betrokken verantwoordelijke medewerkers een sanctie opleggen, binnen de kaders van de CAO en de wettelijke mogelijkheden. Voor de bevordering van de naleving van de AVG heeft het AIV een belangrijke rol.
Rollen |
Hoe Verantwoordelijkheid / taken |
Wat Realiseren / vastleggen |
School- of centrumbestuur
|
|
|
Leidinggevende (directie)
|
|
Communiceren, informeren en toezien op naleving van o.a.:
|
Data protection officer koepel
|
|
|
Wie Rollen |
Hoe Verantwoordelijkheid / taken |
Wat Realiseren / vastleggen |
Aanspreekpunt informatieveiligheid
|
|
Voorstellen van aanpassingen aan de uitgewerkte formulieren van processen, richtlijnen en procedures rond IVP, bijvoorbeeld:
Invullen van register verwerkingsactiviteiten voor schooleigen situatie |
Informatieveiligheidscel (CIV) van de school of het schoolbestuur [1]
|
|
Diverse aanvullende beleidsstukken, richtlijnen, procedures en protocollen, waaronder:
|
Iedereen |
|
Richtlijnen en procedures volgen Melden incidenten aan aanspreekpunt informatieveiligheid |
Bij dit algemene deel van het IVP-beleid horen nog enkele specifieke nota’s :
Tevens is er een bijkomend document voorzien, dat de nodige achtergrondinformatie bij deze nota’s.
[1] bestaande uit domeinverantwoordelijke/ proceseigenaren waaronder: ICT, personeelsdienst, preventieadviseur, financiën, leerlingenadministratie, facilitair management, leidinggevende en het aanspreekpunt informatieveiligheid
INFORMATIEVEILIGHEIDS-
EN PRIVACYBELEID
Vrije Basisschool De Linde
voor:
Vrije Basisschool De Linde
Versie |
Datum |
Status |
Auteur(s) |
Opmerking |
1.0 |
2018-05-26 |
GELDIG |
Lieven Vanoyenbrugge |
|
|
|
|
Hans Ickx |
|
|
|
|
Luc Van Gelder |
|
|
|
|
|
|
|
|
|
|
|
Inhoud
1.1 Toelichting informatieveiligheid. 3
1.3 Vervlechting informatieveiligheid en privacy. 3
3.1 Algemene beleidsuitgangspunten. 5
5.1 Rollen (functies) rondom IVP. 7
6.1 Voorlichting en bewustzijn. 9
6.2 Classificatie en risicoanalyse. 9
6.3 Incidenten en datalekken. 9
6.4 Controle, naleving en sancties. 9
Bijlage 1: Tabel IVP rollen en taken. 10
Bijlage 2: Aanvullende nota’s. 12
Informatie en ict zijn noodzakelijk in de ondersteuning van het onderwijs. Denken we maar aan de leerlingadministratie- en leerlingvolgsystemen, agenda- en rapportprogramma’s, oefen- en toetssystemen…. Vaak verwerken deze geautomatiseerde systemen persoonsgegevens (van leerlingen, ouders, lesgevers…) en is de privacywetgeving (AVG) hierop van toepassing.
Deze informatieverwerking en het gebruik van ict brengen risico’s met zich mee. Denken we bijvoorbeeld maar aan een cyberaanval waarbij de gegevens versleuteld worden, een vergissing waardoor gegevens onherroepelijk gewist zijn, de natuur (bijv. overstroming of brand), et cetera. Het niet beschikbaar zijn van ict, incorrecte administraties en het uitlekken van gegevens kan leiden tot inbreuken op het geven van onderwijs en het vertrouwen in onze school.
Deze bedreigingen maken het noodzakelijk om adequate maatregelen te nemen op het gebied van informatieveiligheid en privacy (IVP) om de risico’s die gepaard gaan met deze bedreigingen tot een aanvaardbaar niveau te reduceren. Om dit structureel op te pakken is het noodzakelijk dat we een duidelijk maken waar het om gaat, een doel stellen en de manier waarop we dit doel willen bereiken.
Onder informatieveiligheid wordt verstaan: het nemen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten van de informatie en ict zo maximaal mogelijk te garanderen.
Deze kwaliteitsaspecten zijn:
Onvoldoende informatieveiligheid kan leiden tot onacceptabele risico’s bij de uitvoering van onderwijs en bij de dagdagelijkse werking van de onderwijsinstelling. Incidenten en inbreuken in deze processen kunnen leiden tot financiële schade en imagoverlies.
Privacy gaat over de verwerking van persoonsgegevens. Persoonsgegevens dienen beschermd te worden conform de huidige wet- en regelgeving. De bescherming van de privacy regelt onder andere de voorwaarden waaronder persoonsgegevens gebruikt mogen worden.
Persoonsgegevens zijn hierbij alle gegevens van een geïdentificeerd of identificeerbaar individu. Onder verwerking wordt verstaan elke handeling met betrekking tot persoonsgegevens. Denken we maar aan het verzamelen, raadplegen, bijwerken, verspreiden tot met het wissen van deze gegevens.
Informatieveiligheid is noodzakelijk om privacy te waarborgen. Beide begrippen zijn met elkaar verbonden. Het onderwerp informatieveiligheid en privacy wordt afgekort tot IVP. Deze beleidstekst ligt ten grondslag aan de aanpak van informatieveiligheid en privacy binnen VBS De Linde
Dit beleid heeft als doelen:
Dit beleid is erop gericht om de kwaliteit van de verwerking van informatie en de beveiliging van persoonsgegevens te optimaliseren waarbij er een goede balans moet zijn tussen privacy, functionaliteit, veiligheid en middelen. Uitgangspunt is dat de persoonlijke levenssfeer van de betrokkene, met name van medewerkers, leerlingen en ouders wordt gerespecteerd en dat VBS De Linde voldoet aan relevante wet- en regelgeving.
De belangrijkste beleidsuitgangspunten bij VBS De Linde zijn:
De zes vuistregels met betrekking tot de omgang van persoonsgegevens bij VBS De Linde zijn:
Bij alle registraties op basis van toestemming, zal VBS De Linde een eenduidige procedure hanteren die een actieve en aantoonbare handeling vereist.
VBS De Linde voldoet aan alle van toepassing zijnde relevante wet- en regelgeving, waaronder:
De organisatie van IVP gaat over processen, gewoontes, beleid, wetten en regels die van betekenis zijn voor de manier waarop mensen een organisatie besturen, beheren en controleren. Hierbij spelen de relaties tussen de verschillende betrokkenen en de doelen van de organisatie een rol. Dit hoofdstuk beschrijft hoe IVP in VBS De Linde is georganiseerd. Er wordt daarbij onderscheid gemaakt tussen drie niveaus:
Voor elk niveau wordt beschreven welke verantwoordelijkheden en taken de verschillende rollen met zich meebrengen.
Om IVP gestructureerd en gecoördineerd aan te pakken worden bij VBS De Linde een aantal rollen aan medewerkers in de bestaande organisatie toegewezen.
Verwerkingsverantwoordelijke
Het schoolbestuur is eindverantwoordelijk voor IVP en stelt het beleid en de basismaatregelen op het gebied van IVP vast. Linde
De toepassing en werking van het IVP-beleid wordt op basis van regelmatige rapportages geëvalueerd.
Zie bijlage 1 voor een schematische weergave van de rol- en taakverdelingen aangaande IVP op VBS De en binnen VBS De Linde
Data Protection Officer (DPO) van de koepelorganisatie
Vanuit de koepelorganisatie Katholiek Onderwijs Vlaanderen wordt er een Data Protection Officer aangesteld. Deze zal binnen het schoolbestuur of instelling het Aanspreekpunt Informatieveiligheid (AIV) aansturen. De taak bestaat uit:
Aanspreekpunt Informatieveiligheid
Het AIV is een rol op sturend niveau. Hij geeft terugkoppeling en advies aan de eindverantwoordelijke (directie van de instelling, raad van bestuur van het schoolbestuur) en staat de mensen op uitvoerend niveau bij. Het AIV moet:
Domeinverantwoordelijke / proceseigenaar
Binnen elke instelling zijn er verschillende domeinen/processen, zoals bv. ict, personeel, administratie, facilitaire en financiële zaken, onderwijs et cetera. Op elk van deze domeinen/processen is iemand verantwoordelijk om te bepalen op welke wijze IVP daarbinnen wordt vormgegeven in richtlijnen, procedures en instructies.
De proceseigenaar is verantwoordelijk voor de risico’s die veroorzaakt worden doordat personen of applicaties ten onrechte toegang krijgen tot applicaties. Om deze risico’s te verkleinen hebben proceseigenaren de volgende specifieke taken:
Leidinggevenden hebben een voorbeeldrol ten opzichte van hun medewerkers.
Leidinggevende
Naleving van het Informatieveiligheidsbeleid is onderdeel van de integrale bedrijfsvoering. Iedere leidinggevende heeft op uitvoerend niveau de taak om:
De leidinggevende kan in zijn taak ondersteund worden door het AIV.
Ict-coördinator
De ict-coördinator vormt een technisch aanspreekpunt inzake informatieveiligheid voor het management en de medewerkers, en zorgt in de praktijk voor de implementatie van toegangsrechten en de rapportage aangaande digitale informatieveiligheid.
Functioneel beheerder
De functioneel beheerder wordt vanuit de domeinverantwoordelijke / proceseigenaar voorzien van een ingevuld werkpakket, bestaande uit richtlijnen, procedures en instructies. Op basis hiervan voert hij zijn of haar taken uit.
Medewerker
Alle medewerkers hebben een verantwoordelijkheid met betrekking tot informatieveiligheid in hun dagelijkse werkzaamheden. Deze verantwoordelijkheden zijn beschreven in o.a. het privacyreglement en eraan toegevoegde nota’s en visieteksten aangaande IVP op VBS De Linde. Daarnaast worden medewerkers in hun dagelijkse werkzaamheden, waar nodig, ondersteund met checklists, formulieren en praktische tools.
Medewerkers wordt gevraagd om actief betrokken te zijn bij informatieveiligheid. Dit kan door meldingen te maken van veiligheidsincidenten, het doen van voorstellen ter verbetering van IVP en het uitoefenen van invloed op het beleid (individueel of via de ervoor voorziene overlegorganen en/of via het aanspreekpunt). Zelf hebben zij ook een voorbeeldfunctie naar andere medewerkers, externen en vooral leerlingen toe.
Van ambtswege uit, of eventueel contractueel, worden alle medewerkers (ook extern) van VBS De Linde die toegang kunnen hebben tot persoonsgegevens, gebonden aan een discretieplicht. Welbepaalde (externe) medewerkers zijn wettelijk gebonden aan een beroepsgeheim.
Daarnaast kent VBS De Linde een jaarlijkse planning en controlecyclus voor IVP. Dit is een vast evaluatieproces waarmee de inhoud en effectiviteit van het IVP-beleid wordt getoetst.
Voor alle overlegmomenten geldt dat deze zoveel mogelijk ingepast worden in bestaande overlegvormen met hetzelfde karakter waarbij op:
Beleid en maatregelen zijn niet voldoende om risico’s op het terrein van informatieveiligheid en privacy uit te sluiten. In de praktijk blijkt de mens meestal de belangrijkste speler. Daarom wordt bij VBS De Linde het bewustzijn van de individuele medewerkers voortdurend aangescherpt, zodat de kennis van risico’s wordt verhoogd en veilig en verantwoord gedrag wordt aangemoedigd. Onderdeel van het beleid zijn onder andere de regelmatig terugkerende bewustwordingscampagnes voor iedereen binnen de school. Verhoging van het beveiligingsbewustzijn is een verantwoordelijkheid van het AIV en leidinggevende(n), met de raad van bestuur van VBS De Linde als eindverantwoordelijke.
Bij VBS De Linde heeft alle informatie waarde, daarom worden alle gegevens waarop dit beleid van toepassing is, geclassificeerd. De risicoanalyse zal het niveau van de beveiligingsmaatregelen bepalen rekening houdend met de classificatie van de gegevens. Daarbij zijn beschikbaarheid, integriteit en vertrouwelijkheid de kwaliteitsaspecten die van belang zijn voor de informatievoorziening.
Bij VBS De Linde is het melden van beveiligingsincidenten en datalekken vastgelegd in een protocol.
Alle incidenten kunnen worden gemeld bij privacy@vbsdelinde.be. De afhandeling van deze incidenten volgt een gestructureerd proces, waarbij men ook voorziet in de juiste stappen rondom de meldplicht datalekken.
De naleving bestaat uit algemeen toezicht op de dagelijkse praktijk van het IVP proces. Van belang hierbij is dat leidinggevenden en proceseigenaren hun verantwoordelijkheid nemen en hun medewerkers aanspreken in geval van tekortkomingen. Bij VBS De Linde wordt actief aandacht besteed aan IVP bij de aanstelling, tijdens functioneringsgesprekken, met een gedragscode, met periodieke bewustwordingscampagnes, et cetera.
Mocht de naleving ernstig tekort schieten, dan kan VBS De Linde de betrokken verantwoordelijke medewerkers een sanctie opleggen, binnen de kaders van de CAO en de wettelijke mogelijkheden. Voor de bevordering van de naleving van de AVG heeft het AIV een belangrijke rol.
Rollen |
Hoe Verantwoordelijkheid / taken |
Wat Realiseren / vastleggen |
School- of centrumbestuur
|
|
|
Leidinggevende (directie)
|
|
Communiceren, informeren en toezien op naleving van o.a.:
|
Data protection officer koepel
|
|
|
Wie Rollen |
Hoe Verantwoordelijkheid / taken |
Wat Realiseren / vastleggen |
Aanspreekpunt informatieveiligheid
|
|
Voorstellen van aanpassingen aan de uitgewerkte formulieren van processen, richtlijnen en procedures rond IVP, bijvoorbeeld:
Invullen van register verwerkingsactiviteiten voor schooleigen situatie |
Informatieveiligheidscel (CIV) van de school of het schoolbestuur [1]
|
|
Diverse aanvullende beleidsstukken, richtlijnen, procedures en protocollen, waaronder:
|
Iedereen |
|
Richtlijnen en procedures volgen Melden incidenten aan aanspreekpunt informatieveiligheid |
Bij dit algemene deel van het IVP-beleid horen nog enkele specifieke nota’s :
Tevens is er een bijkomend document voorzien, dat de nodige achtergrondinformatie bij deze nota’s.
[1] bestaande uit domeinverantwoordelijke/ proceseigenaren waaronder: ICT, personeelsdienst, preventieadviseur, financiën, leerlingenadministratie, facilitair management, leidinggevende en het aanspreekpunt informatieveiligheid