Normenkaderwijzer

Rollen en verantwoordelijkheden zijn gescheiden om de kans te verkleinen dat individuele personen kritieke processen in gevaar brengen. Medewerkers voeren alleen geautoriseerde taken uit die bij hun functies en rol horen.

Een strategie en visie vormen de leidraad voor het nemen van goede beslissingen over de informatiebeveiliging van de organisatie. Ze geven richting en duidelijkheid bij het maken van beveiligingskeuzes en helpen om passende antwoorden te vinden op veranderingen in de schoolomgeving. Op deze manier kan de school een digitaal veilige omgeving creëren voor leerlingen, ouders en medewerkers.

Er is een raamwerk voor informatierisicomanagement opgesteld dat is afgestemd op de doelstellingen van de organisatie en het raamwerk voor organisatierisicomanagement.

Risicobeoordelingen worden uitgevoerd om actuele risico’s die betrekking hebben op de doelstellingen van het schoolbestuur of de school te bepalen. De waarschijnlijkheid en impact van alle geïdentificeerde risico’s worden regelmatig beoordeeld, met behulp van kwalitatieve en kwantitatieve methoden.

Beheersactiviteiten worden op alle niveaus geprioriteerd en gepland om de benodigde mitigerende maatregelen te implementeren, inclusief het bepalen van kosten en baten en de verantwoordelijkheid voor de uitvoering. Goedkeuring wordt verkregen voor aanbevolen acties en er wordt voor gezorgd dat uitgevoerde acties onder verantwoordelijkheid van betrokken proceseigenaar(s) vallen. De uitvoering van plannen wordt bewaakt en eventuele afwijkingen worden gerapporteerd aan het schoolbestuur of de schoolleiding.

Wervingsprocessen voor medewerkers worden onderhouden in overeenstemming met het algemene personeelsbeleid en de procedures van de organisatie (bijvoorbeeld werving, positieve werkomgeving, oriëntatie, enzovoorts). Processen worden ingevoerd om ervoor te zorgen dat de organisatie beschikt over geschikte (IT-)medewerkers, met de vaardigheden die nodig zijn om de organisatiedoelen te bereiken. Screening maakt deel uit van het wervingsproces. De mate en frequentie waarmee deze screening wordt uitgevoerd, worden bepaald door hoe gevoelig en/of cruciaal de functie is. Screening wordt ingevoerd voor medewerkers, ingehuurde medewerkers en leveranciers.

Opleiding, training en/of ervaring worden regelmatig getoetst om te zien of medewerkers over de benodigde competenties beschikken om taken naar behoren te vervullen. Basis (IT-)competenties zijn vastgesteld en indien nodig worden kwalificatie- en certificeringsprogramma’s gebruikt om te controleren of ze worden bijgehouden.

Er is een back-upplan voor kritieke medewerkers (sleutelfiguren) en afdelingen.

Wanneer er functiewijzigingen plaatsvinden, met name een beëindiging van een dienstverband, wordt direct effectief actie ondernomen. Kennisoverdracht wordt geregeld, verantwoordelijkheden worden opnieuw toegewezen en toegangsrechten worden verwijderd, zodat risico’s worden geminimaliseerd en de continuïteit van de functie wordt gewaarborgd.

Overdracht van kennis en vaardigheden is geregeld, zodat eindgebruikers het systeem effectief en efficiënt kunnen gebruiken om bedrijfsprocessen te ondersteunen.

Er is een bewustwordingsprogramma om gebruikers bewust te maken van hun verantwoordelijkheid om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie(middelen) te beschermen.

Een formeel incidentmanagementproces wordt gecommuniceerd en ingevoerd. Er zijn procedures om ervoor te zorgen dat alle incidenten en storingen worden geregistreerd, geanalyseerd, gecategoriseerd en geprioriteerd naar impact. Alle incidenten worden bijgehouden en periodiek beoordeeld om ervoor te zorgen dat ze tijdig worden verholpen.

Er worden procedures voor incidentmanagement (of voor de servicedesk) vastgesteld die ervoor zorgen dat serviceniveaus adequaat worden geëscaleerd als incidenten niet binnen de afgesproken termijn kunnen worden opgelost. En dat zo nodig wordt voorzien in een tijdelijke oplossing. Eigenaarschap van incidenten en levenscyclusmonitoring blijven de verantwoordelijkheid van de servicedesk voor gebruikersincidenten, ongeacht wie aan de oplossing werkt.

De organisatie beschikt over mogelijkheden voor incidentrespons om (cyber)beveiligingsincidenten snel te detecteren, te isoleren en de impact te beperken en om diensten op een betrouwbare manier te herstellen en weer in de lucht te brengen.

Een formeel problemmanagementproces is gedefinieerd en ingevoerd. Komt een incident veelvuldig voor, dan is sprake van een probleem. Er zijn procedures ingesteld om oorzaken van (potentiële) problemen (proactief en reactief) te identificeren en bekende fouten te beheersen totdat ze zijn opgelost. Structurele fouten in IT-services worden geminimaliseerd, zodat aantal en impact van mogelijke problemen wordt verminderd.

Voorafgaand aan migratie naar de productieomgeving worden wijzigingen op onafhankelijke wijze getest in overeenstemming met het gedefinieerde testplan. Het plan houdt rekening met beveiliging en prestaties.

Alle wijzigingsverzoeken worden op een gestructureerde manier beoordeeld om de impact te bepalen voor operationele systemen en functionaliteit. Alle wijzigingen zijn gecategoriseerd, geprioriteerd en geautoriseerd.

Wijzigingen tijdens een noodsituatie die onmiddellijk doorgevoerd moeten worden, worden op de juiste manier afgehandeld om de impact op systemen en IT-toepassingen te minimaliseren. De noodsituatiewijziging wordt na implementatie geregistreerd, geëvalueerd, getest en goedgekeurd door het schoolbestuur.

Wijzigingen tijdens een noodsituatie die onmiddellijk doorgevoerd moeten worden, worden op de juiste manier afgehandeld om de impact op systemen en IT-toepassingen te minimaliseren. De noodsituatiewijziging wordt na implementatie geregistreerd, geëvalueerd, getest en goedgekeurd door het schoolbestuur.

Voorafgaand aan migratie naar de productieomgeving worden wijzigingen op onafhankelijke wijze getest in overeenstemming met het gedefinieerde testplan. Het plan houdt rekening met beveiliging en prestaties.

Na het testen wordt het gewijzigde systeem op gecontroleerde wijze en volgens het implementatieplan overgezet naar de productieomgeving. Goedkeuring wordt verkregen van belangrijke stakeholders, zoals gebruikers, systeemeigenaar en operationeel management. Waar nodig wordt het gewijzigde systeem enige tijd naast het oude systeem gebruikt en worden gedrag en resultaten vergeleken.

Er zijn configuratieprocedures vastgesteld om het beheer en loggen van alle wijzigingen in de configuratiemanagementdatabase (CMDB) te ondersteunen. Deze procedures zijn in overeenstemming met en een voorwaarde voor procedures voor change-, incident- en problemmanagement.

Een strategie en visie op informatiebeveiliging zijn leidend voor alle gerelateerde activiteiten en maatregelen binnen de organisatie.

Er is een gestructureerde aanpak voor de interne ontwikkeling en aanschaf van software ingevoerd, in de vorm van een levenscyclus voor veilige softwareontwikkeling. Deze aanpak zorgt ervoor dat potentiële risico’s voor bedrijfsvoering adequaat worden beoordeeld en beperkt, en dat de aspecten vertrouwelijkheid, integriteit en beschikbaarheid worden meegenomen. Voor elke nieuwe ontwikkeling of acquisitie is goedkeuring vereist door het juiste niveau van school- en IT-management.

Medewerkers en ontwikkelaars die betrokken zijn bij de ontwikkeling en implementatie van wijzigingen in applicaties en ondersteunende besturingssystemen en databases, hebben geen schrijftoegang tot de productieomgeving. Medewerkers en ontwikkelaars die verantwoordelijk zijn voor het vrijgeven van de broncode voor productie hebben geen schrijftoegang tot de test- of ontwikkelomgeving.

Het schoolbestuur beschikt over beheersmaatregelen om te zorgen dat dataconversie accuraat en volledig is. Deze dataconversiecontroles zijn opgesteld om de data-integriteit gedurende het conversieproces te behouden.

De organisatie beschikt over procedures en hulpmiddelen om de verantwoordelijkheid voor en eigenaarschap van informatie en informatiesystemen aan te wijzen. Eigenaren beslissen over het classificeren van informatie en informatiesystemen en beschermen ze in overeenstemming met deze classificatie.

Er is een dataclassificatieschema dat voor de hele organisatie geldt. Hierin staat hoe kritisch en gevoelig (bijvoorbeeld openbaar, vertrouwelijk, geheim) organisatiegegevens zijn. Het dataclassificatieschema wordt gebruikt als basis voor het toepassen van maatregelen zoals toegangscontrole, archivering en versleuteling. Een dataclassificatieschema bevat daarom details over het eigenaarschap van gegevens, passende (informatie)beveiligingsniveaus en beschermingsmaatregelen en een korte beschrijving van eisen voor het bewaren en vernietigen van gegevens en een beschrijving van de gevoeligheid.

Beleid en procedures zijn vastgesteld en ingevoerd om informatiebeveiligingseisen te identificeren en toe te passen op de ontvangst, verwerking, opslag en doorgifte van relevante gegevens. Dit is in lijn met de doelstellingen van de school, het informatiebeveiligingsbeleid en wettelijke vereisten, bijvoorbeeld privacy van bepaalde gegevens.

Er zijn procedures gedefinieerd en ingevoerd om gegevens effectief en efficiënt op te slaan, te bewaren en archiveren. Daarmee voldoet de school aan de organisatiedoelstellingen, het informatiebeveiligingsbeleid en wettelijke vereisten.

Er zijn beleid en procedures vastgesteld en ingevoerd om aan de eisen van de bescherming van gegevens en software te voldoen op het moment dat gegevens en software worden uitgewisseld binnen de school of met een externe partij. Gevoelige gegevens worden alleen uitgewisseld via een vertrouwd pad of medium waarbij maatregelen zijn genomen om de authenticiteit van de inhoud, bewijs van versturen, bewijs van ontvangst en onweerlegbaarheid van de oorsprong aan te tonen.

Er zijn procedures vastgesteld en ingevoerd om ervoor te zorgen dat bij het verwijderen of overdragen van gegevens of hardware wordt voldaan aan voorwaarden voor het beschermen van (gevoelige) gegevens en software.

De organisatie heeft in een autorisatiematrix toegangsgroepen of rollen gedefinieerd op basis van – door het schoolbestuur – vastgestelde regels, waaronder functiescheiding. Er zijn procedures vastgesteld die tijdige initiatie en update in de autorisatiematrices voor alle toepassingen regelen. Het schoolbestuur keurt wijzigingen in vastgestelde rechten voor toegangsgroepen of rollen goed. Alle gebruikersactiviteiten zijn traceerbaar tot op het individu, bijvoorbeeld gebaseerd op een combinatie van gebruikersnaam en wachtwoord, token of biometrische informatie.

Toegangsrechten van medewerkers worden toegewezen in overeenstemming met de toegewezen taakverantwoordelijkheden, bijvoorbeeld via op rollen gebaseerde toegang. Beheerprocedures zijn beschikbaar voor het aanvragen, uitgeven of sluiten van een account en de bijbehorende toegangsrechten voor gebruikers. Deze procedure omvat tevens de methode om deze activiteiten op de juiste wijze te autoriseren. Toegang wordt verschaft op basis van het need-to-know/need-to-have-principe.

Het schoolbestuur heeft maatregelen ingevoerd die ervoor zorgen dat superusertoegang beperkt is tot de juiste (beperkte) groep individuen en dat activiteiten die worden uitgevoerd met superuseraccounts worden gemonitord. Superuseraccounts moeten worden goedgekeurd door het verantwoordelijk management.

Er is een procedure vastgesteld om in geval van nood toegang van accounts met superuserrechten te beheren.

Het management beoordeelt periodiek de gebruikerstoegang die ingevoerd is voor de relevante applicaties (IST-situatie) om de juistheid van accounts en rollen (de toegangsrechten) te bevestigen, en valideert dat toegangsrechten passend zijn voor toegewezen taken, zoals bepaald door de toegangsregels (SOLL-situatie). Elke onjuiste toegang die tijdens het beoordelingsproces wordt opgemerkt, wordt direct ingetrokken. Deze controle houdt in dat SOLL- en IST-matrices worden vergeleken door het verantwoordelijke management.

Voor specifieke (kantoor)ruimten waarin gevoelige informatie aanwezig is of IT-componenten staan, heeft de organisatie fysieke beveiligingsmaatregelen vastgesteld en ingevoerd in overeenstemming met de organisatie-eisen. De toegang tot informatiesystemen wordt hierdoor op passende wijze beperkt en risico’s met betrekking tot diefstal, temperatuur, brand, rook, water, trillingen, terreur, vandalisme, stroomuitval, chemicaliën of explosieven worden effectief voorkomen, gedetecteerd en beperkt. Toegang tot deze ruimten wordt gemotiveerd, geautoriseerd, geregistreerd en gemonitord. Dit geldt voor alle personen die de ruimten betreden, inclusief medewerkers, tijdelijke medewerkers, leerlingen, leveranciers, bezoekers of welke andere derde partij dan ook.

Procedures worden vastgesteld en gevolgd om toegang en noodtoegang tot kritieke IT-ruimtes of datacenters (zoals locaties, gebouwen en ruimten) toe te staan, te beperken en in te trekken, afhankelijk van organisatiebehoeften. Adequate beveiligingsmaatregelen, zoals een slot op deur of een toegangssysteem met kaartsleutel of cijferslot, worden gebruikt om fysieke toegang tot computerfaciliteiten waarin zich belangrijke applicaties bevinden te beperken.

De organisatie heeft procedures voor geautomatiseerde jobprocessing. Taakactiviteiten worden gecontroleerd en omvatten het gebruik van interfaces tussen relevante systemen om te bevestigen dat de datatransmissies volledig, nauwkeurig en geldig zijn. En de resultaten van de back-ups om de succesvolle uitvoering te bevestigen. Storingen worden geregistreerd en opgelost via de procedure voor incidentmanagement. De mogelijkheid om taakschema’s, batchtaken en geautomatiseerde interfaces te wijzigen is beperkt tot geautoriseerde personen.

De organisatie heeft procedures ingevoerd om ervoor te zorgen dat de prestaties en capaciteit van IT-services en de IT-infrastructuur de overeengekomen servicedoelstellingen op een kosteneffectieve en tijdige manier kunnen realiseren. Capacity- en performancemanagement houdt rekening met alle middelen die nodig zijn om de IT-service te leveren en met plannen voor korte, middellange en lange termijn businessrequirements, inclusief het voorspellen van toekomstige behoeften op basis van eisen voor werkbelasting, opslag en onvoorziene gebeurtenissen.

Business- en IT-continuïteitsplannen dienen ontworpen te zijn om de impact van een grote verstoring op de belangrijkste bedrijfsfuncties en bedrijfsprocessen te verminderen. De plannen zijn gebaseerd op risicogericht inzicht in potentiële bedrijfsimpact en houden rekening met vereisten betreffende veerkracht en alternatieve verwerkings- en herstelmogelijkheden in alle kritieke IT-services. De plannen omvatten ook gebruiksrichtlijnen, rollen en verantwoordelijkheden, procedures, communicatieprocessen en de testmethode.

Bedrijfs- en IT-continuïteitsplannen worden regelmatig getest zodat essentiële systemen en diensten effectief kunnen worden hersteld, tekortkomingen worden aangepakt en het plan relevant blijft. Dit vereist een zorgvuldige voorbereiding, documentatie, rapportage van de resultaten, en de implementatie van een actieplan. De mate van testherstel in afzonderlijke applicaties varieert van geïntegreerde testscenario's tot end-to-endtests en geïntegreerde leverancierstests.

Alle kritieke back-upmedia, documentatie en andere IT-resources die nodig zijn in het kader van IT-herstel- en bedrijfscontinuïteitsplannen worden offsite opgeslagen. De inhoud van back-upopslag wordt bepaald in samenspraak met de eigenaren van bedrijfsprocessen en IT-medewerkers. Het beheer op de externe opslagfaciliteit werkt op basis van het beleid voor dataclassificatie en de gebruikelijk manier van mediaopslag van de organisatie. IT-management zorgt ervoor dat offsite-arrangementen periodiek, ten minste jaarlijks, worden beoordeeld op inhoud, bescherming tegen omgevingsfactoren en beveiliging. De compatibiliteit van hardware en software voor het herstellen van gearchiveerde gegevens is gewaarborgd en gearchiveerde gegevens worden periodiek getest en ververst.

Datareplicatie is opgezet tussen de productiefaciliteit van de organisatie en de disasterrecoveryfaciliteit, zodat kritieke financiële en operationele gegevens op korte termijn beschikbaar zijn. Replicatiestatus wordt gemonitord als onderdeel van het bewakingsproces voor systeemtaken.

De organisatie heeft crisismanagement ingericht om snel, grondig en gecoördineerd op incidenten te reageren, de gevolgen te verminderen en de dienstverlening binnen een redelijke tijd te herstellen.

Beveiligingsbaselines en richtlijnen voor IT-infrastructuur zijn vastgesteld om het risico van ongeoorloofde toegang tot IT-middelen te beperken. Beveiligingsbaselines worden formeel vastgelegd, periodiek geactualiseerd en goedgekeurd door het schoolbestuur of de schoolleiding. De verantwoordelijke IT-medewerkers worden hiervan op de hoogte gesteld. Ingevoerde beveiligingsinstellingen voor IT-middelen worden periodiek beoordeeld op naleving van beveiligingsbaselines. Afwijkingen van de baselines zijn gedocumenteerd en goedgekeurd.

Alle gebruikers (intern, extern en tijdelijk) en hun activiteiten op IT-systemen moeten uniek en identificeerbaar zijn. Het management is verantwoordelijk voor de periodieke controle van de lijst met actieve ID’s in relevante applicaties. Dit is nodig om te bepalen of unieke gebruiker-ID’s zijn doorgevoerd, zodat activiteiten traceerbaar zijn. Daarnaast moet het management ervoor zorgen dat algemene- en systeemaccounts geblokkeerd zijn of op andere wijze beschermd zijn. Alle onjuiste of inactieve gebruiker-ID’s die tijdens het controleproces worden opgemerkt, worden direct gedeactiveerd.

Informatiebeveiliging wordt geborgd bij het gebruik van mobiele apparaten en telewerkfaciliteiten. Mobile Device Management, versleuteling en bescherming tegen malware zijn aanwezig om de risico's te beperken.

Eisen voor logging zijn gedefinieerd op basis van monitoring- en rapportagebehoeften en ingevoerd in systemen, databases en netwerkcomponenten. Logs worden periodiek beoordeeld op indicaties van ongepaste of ongebruikelijke activiteiten en er worden adequate follow-upacties gedefinieerd. Bewaartermijnen van logs en toegangsrechten zijn in lijn met de vereisten van de school.

Implementatie van IT-beveiliging wordt proactief getest en bewaakt. IT-beveiliging wordt regelmatig getoetst om ervoor te zorgen dat de door de organisatie goedgekeurde baseline voor informatiebeveiliging wordt gehandhaafd. Een log- en bewakingsfunctie maakt vroegtijdige preventie en detectie mogelijk en daardoor tijdige rapportage van ongebruikelijke en/of abnormale activiteiten.

Beschikbare patches en/of beveiligingsfixes worden geïnstalleerd in overeenstemming met vooraf vastgesteld en goedgekeurd beleid (inclusief dat voor besturingssystemen, databases en geïnstalleerde applicaties) en aanbevelingen van het Cyber Security Incident Response Team (CSIRT) en/of leveranciers.

Installeer je patches of beveiligingsoplossingen niet of te laat? Dan kan dat ertoe leiden dat kwaadwillende personen bekende kwetsbaarheden misbruiken om ongeautoriseerde toegang tot de IT-infrastructuur van je school te verkrijgen.

Er is een proces voor threat- en vulnerabilitymanagement ingevoerd om bedreigingen te identificeren en kwetsbaarheden tijdig te detecteren en te verhelpen. Het gaat hierbij om kwetsbaarheden die kunnen leiden tot een verslechtering van de prestaties van of een aanval op bedrijfsmiddelen. Welke aanvalsvectoren cybercriminelen gebruiken, wordt ook beschouwd en er worden maatregelen genomen om blootstelling te verminderen.

Interne beheers-, beveiligings- en auditmaatregelen worden ingevoerd tijdens configuratie, integratie en onderhoud van hardware en infrastructuursoftware met het doel om middelen te beschermen en beschikbaarheid en integriteit te waarborgen. Verantwoordelijkheden voor het gebruik van gevoelige infrastructuurcomponenten zijn duidelijk gedefinieerd en bekend bij degenen die infrastructuurcomponenten ontwikkelen en integreren. Het gebruik ervan wordt gecontroleerd en geëvalueerd.

Een strategie of plan voor het onderhoud aan de infrastructuur is ontwikkeld en borgt dat wijzigingen worden beheerd in overeenstemming met de changemanagementprocedure van de organisatie. Hieronder vallen ook periodieke beoordelingen van organisatiebehoeften, patchmanagement, upgradestrategieën, risico's, beoordeling van kwetsbaarheden en beveiligingseisen.

Er zijn beleid en procedures voor het genereren, veranderen, intrekken, vernietigen, verspreiden, certificeren, opslaan, invoeren, gebruik en de archivering van cryptografische sleutels om de sleutels te beschermen tegen aanpassing en ongeautoriseerde toegang.

Beveiligingstechnieken en bijbehorende beheerprocedures, zoals firewalls, beveiligingsapparatuur, netwerksegmentatie en inbraakdetectie, worden gebruikt voor het autoriseren van toegangs- en besturingsinformatiestromen van en naar netwerken. Er wordt gebruikgemaakt van best practices op dit gebied (bijvoorbeeld NCSC, ISO/IEC, ITSec).

Preventie-, detectie- en correctiemaatregelen met actuele beveiligingspatches en virusscanning zijn in de hele organisatie aanwezig om informatiesystemen en technologie te beschermen tegen malware, bijvoorbeeld in de vorm van virussen, wormen, spyware, spam.

Technologie gerelateerd aan beveiliging is bestand gemaakt tegen manipulatie en beveiligingsdocumentatie wordt niet onnodig openbaar gemaakt.

IT-services die aan de organisatie worden geleverd, worden gedefinieerd in het contract en in de bijhorende Service Level Agreement (SLA). Er zijn maatregelen genomen om ervoor te zorgen dat diensten voldoen aan de huidige en toekomstige behoeften van de organisatie.

Business requirements en de manier waarop IT-services en serviceniveaus bedrijfsprocessen ondersteunen, worden periodiek geanalyseerd. Nagegaan wordt of overeengekomen serviceniveaus worden gehaald. Afwijkingen worden besproken met leveranciers.

Risico's met betrekking tot het vermogen van leveranciers om effectieve dienstverlening op een veilige en efficiënte manier voort te zetten, worden voortdurend geïdentificeerd en beperkt. Contracten voldoen aan universele zakelijke standaarden in overeenstemming met wet- en regelgeving. Leveranciersrisicomanagement neemt aspecten in overweging als niet-openbaarmakingsovereenkomsten (non-disclosure agreements, NDA’s), escrowcontracten, voortdurende levensvatbaarheid van de leverancier, conformiteit met beveiligingseisen, alternatieve leveranciers, boetes en beloningen, enzovoort.

De status van de interne beheersmaatregelen van externe dienstverleners wordt beoordeeld. Er zijn procedures om te zorgen dat externe dienstverleners voldoen aan wet- en regelgeving en contractuele verplichtingen.

Er is een privacybeleid vastgesteld voor de gehele organisatie.

Rollen, taken en verantwoordelijkheden met betrekking tot privacy binnen de organisatie zijn benoemd, belegd en vastgelegd in het privacybeleid.

De organisatie heeft inzicht in de risico's van de verwerking van persoonsgegevens en behandelt deze op een adequate wijze.

De organisatie heeft de operationele processen waarin persoonsgegevens worden verwerkt in beeld en beschreven.

De organisatie houdt een verwerkingsregister bij dat voldoet aan de wettelijke eisen.

De organisatie houdt het verwerkingsregister continu actueel.

De organisatie identificeert systematisch of verwerkingen een hoog risico in kunnen houden voor de rechten en vrijheden van betrokkenen.

Indien een verwerking is geïdentificeerd die een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen, wordt een DPIA uitgevoerd die aan de eisen van de AVG voldoet. De organisatie beheert de uitkomsten van DPIA's systematisch.

Bij de ontwikkeling, het ontwerp, de selectie en het gebruik van toepassingen, diensten en producten houdt de organisatie zo vroeg mogelijk in het proces rekening met de privacybeginselen en privacyrisico’s en past gegevensbescherming door ontwerp en standaardinstellingen toe. Toepassingen zijn standaard privacyvriendelijk ingesteld.

Persoonsgegevens worden tijdig verwijderd of geanonimiseerd.

De organisatie heeft een functionaris gegevensbescherming (FG) aangesteld en zodanig onafhankelijk gepositioneerd dat deze effectief toezicht kan houden.

Er is – naast de FG – ruime (juridische) kennis en ervaring binnen de organisatie beschikbaar over bescherming van persoonsgegevens en relevante wet- en regelgeving.

De medezeggenschapsraad (MR) wordt geïnformeerd en betrokken bij de omgang met en de bescherming van persoonsgegevens van medewerkers en leerlingen.

Medewerkers en leerlingen worden bewust gemaakt van privacygerelateerde kwesties en hun verantwoordelijkheden met betrekking tot het beschermen van persoonsgegevens. Ook zijn er voldoende middelen beschikbaar om medewerkers te trainen.

De organisatie heeft een procedure voor de afhandeling van rechten van betrokkenen waarin de technische en organisatorische maatregelen zijn vastgelegd en wie verantwoordelijk is om deze uit te voeren.

Betrokkenen worden, zoveel als mogelijk, voorafgaand aan een verwerking op de hoogte gesteld van de wettelijk vereiste informatie over de verwerking van hun persoonsgegevens.

De organisatie voldoet aan de wettelijke vereisten wanneer een verwerking is gebaseerd op toestemming.

De organisatie voldoet aan de wettelijke vereisten voor geautomatiseerde individuele besluitvorming, waaronder profilering.

De organisatie heeft de AVG-rol voor alle betrokken partijen die persoonsgegevens verwerken inzichtelijk en heeft conform de AVG met deze partijen afspraken gemaakt.

De organisatie toetst ieder voornemen om persoonsgegevens aan een derde partij te verstrekken aan de relevante wet- en regelgeving.

Doorgifte van persoonsgegevens buiten de EER vindt uitsluitend plaats wanneer een passend beschermingsniveau is gewaarborgd.

De organisatie heeft een proces vastgesteld en gedocumenteerd voor de detectie, classificatie en afhandeling van datalekken.

De organisatie heeft een gestructureerd proces ingericht en gedocumenteerd voor het tijdig en volledig melden van datalekken aan de relevante partijen, inclusief de Autoriteit Persoonsgegevens (AP) en de betrokkenen.

De organisatie neemt passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen. Om te zorgen voor een passend beveiligingsniveau voldoet de organisatie aan de informatiebeveiligingsnormen van het Normenkader IBP.

De organisatie houdt periodiek interne en externe stakeholders op de hoogte over de naleving van de AVG.

Een strategie en visie op informatiebeveiliging zijn leidend voor alle gerelateerde activiteiten en maatregelen binnen de organisatie.

De organisatie heeft een informatiebeveiligingsbeleid beschreven, vastgesteld en gecommuniceerd naar de medewerkers. Indien van toepassing wordt het beleid actief meegedeeld aan leveranciers. Het beleid wordt regelmatig geëvalueerd en zo nodig geactualiseerd en goedgekeurd door het schoolbestuur.

De doelstellingen, risico’s en compliance-eisen met betrekking tot de informatiebeveiliging van de organisatie worden vertaald in een informatiebeveiligingsplan. Hierbij zijn een planning en roadmap opgesteld om invulling te geven aan de uitvoering van het informatiebeveiligingsbeleid.

Er is een Enterprise Information Architecture Model (EIAM) opgesteld en toegepast om applicatieontwikkeling en beslissingsondersteunende activiteiten mogelijk te maken volgens informatie- of IT-plannen. Dit model moet het mogelijk maken om effectief, veilig en op een robuuste manier informatie te creëren, te gebruiken en te delen zoals wordt vereist door organisatiedoelstellingen en wettelijke voorschriften.

Onafhankelijke toetsing (intern of extern) wordt verkregen om te bepalen in hoeverre de informatievoorziening (inclusief IT) voldoet aan relevante wet- en regelgeving, het beleid van de organisatie, de normen en procedures van de organisatie, algemeen aanvaarde werkwijzen en effectieve en efficiënte prestaties van IT.