IBP-beleid
Het organiseren van informatiebeveiliging en privacyHet recht om met rust te worden gelaten, om te weten en te bepalen wat er met gegevens over jou gebeurt en om te weten wie de beschikking heeft over jouw persoonsgegevens. More op school begint met een IBP-beleid. Hierin leg je vast welke uitgangspunten je hanteert bij het beveiligen van informatie en het garanderen van privacy van medewerkers en leerlingen. Én welke maatregelen, procedures en afspraken hierbij horen. Daaronder vallen ook alle maatregelen die je moet nemen om aan de AVG te voldoen. Tot slot vermeld je in je IBP-beleid wie verantwoordelijk is voor de uitvoering van IBP binnen jouw organisatie.
Het is belangrijk dat iedereen op school weet dat er een IBP-beleid is en hoe ze het kunnen vinden. Je IBP-beleid is niet statisch. Nieuwe wet- en regelgeving, maar ook nieuwe processen en systemen kunnen betekenen dat je je beleid periodiek evalueert en zo nodig aanpast.
Is het wettelijk verplicht?
Het maken van een IBP-beleid is niet verplicht volgens de AVG. De AVG eist wel dat je op school gebruikte persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More goed beveiligd. Met het opstellen van een IBP-beleid weet je zeker dat je alle maatregelen neemt die verplicht zijn vanuit de AVG. Wil je voldoen aan de code voor informatiebeveiliging (ISO-norm 27001 en 27002)? Dan is het opstellen van en communiceren over beleidsregels voor informatiebeveiliging noodzakelijk.
Meer informatie vind je in artikel 24 en artikel 32 van de AVG. Raadpleeg het Normenkader IBP FO voor maatregelen die hierbij horen.
Wie doet wat?
Bij het opstellen van een IBP-beleid zijn verschillende rollen betrokken met elk hun eigen taken:
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. More is verantwoordelijk voor het opstellen, vastleggen en communiceren van het IBP-beleid.
- De ict-coördinatorIn het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker. More of Privacy OfficerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker. More bereidt het IBP-beleid voor.
- De (G)MR keurt het IBP-beleid goed.
Meer weten over de rol- en taakverdeling? Ga naar rollen en verantwoordelijkheden.
Aan de slag
Volg de stappen hieronder om tot een eerste opzet van een IBP-beleid te komen.
Stap 1 | Vul het model IBP-beleid in
Om je op weg te helpen, heeft Kennisnet een template IBP-beleid gemaakt.
Stap 2 | Wie doet wat
In het beleid wijs je de mensen aan die binnen je organisatie IBP gaan uitvoeren.
Stap 3 | Vraag de (G)MR om instemming
Omdat het IBP beleid betrekking heeft op persoonsgegevens, ben je verplicht de (G)MR om instemming met het beleid vragen.
Stap 4 | Vaststellen
Heeft de (G)MR ingestemd? Dan kun je het beleid vaststellen.
Stap 5 | Communiceren en uitvoeren
Nu het beleid is vastgesteld, is het belangrijk dat iedereen weet dat het er is en wat erin staat. Je kunt daarna de maatregelen uit het beleid gaan uitvoeren.
Stap 6 | Evalueren en verbeteren
Zorg ervoor dat het IBP-beleid jaarlijks wordt geëvalueerd en pas het aan als dat nodig is. Om het evalueren en verbeteren van je IBP-beleid structureel aan te pakken, is het handig om dat te doen aan de hand van een PDCA-cyclusPlan Do Check Act cyclus: een voortdurende cyclus van evaluatie en verbetering. More. PDCA staat voor Plan, Do, Check, Act.
