IBP-beleid

bijgewerkt op 08 oktober 2019

Het organiseren van informatiebeveiliging en privacy op school begint met een IBP-beleid. Hierin leg je vast welke uitgangspunten je hanteert bij het beveiligen van informatie en het garanderen van privacy van medewerkers en leerlingen. Én welke maatregelen, procedures en afspraken hierbij horen. Daaronder vallen ook alle maatregelen die je moet nemen om aan de AVG te voldoen. Tot slot vermeld je in je IBP-beleid wie verantwoordelijk is voor de uitvoering van IBP binnen jouw organisatie.

Het is belangrijk dat iedereen op school weet dat er een IBP-beleid is en hoe ze het kunnen vinden. Je IBP-beleid is niet statisch. Nieuwe wet- en regelgeving, maar ook nieuwe processen en systemen kunnen betekenen dat je je beleid periodiek evalueert en zo nodig aanpast.

Is het wettelijk verplicht?

Het maken van een IBP-beleid is niet verplicht volgens de AVG. De AVG eist wel dat je op school gebruikte persoonsgegevens goed beveiligd. Met het opstellen van een IBP-beleid weet je zeker dat je alle maatregelen neemt die verplicht zijn vanuit de AVG. Wil je voldoen aan de code voor informatiebeveiliging (ISO-norm 27001 en 27002)? Dan is het opstellen van en communiceren over beleidsregels voor informatiebeveiliging noodzakelijk.

Meer informatie vind je in artikel 24 en artikel 32 van de AVG. Raadpleeg het Normenkader IBP voor maatregelen die hierbij horen. 

Wie doet wat?

Bij het opstellen van een IBP-beleid zijn verschillende rollen betrokken met elk hun eigen taken:

  • Het schoolbestuur is verantwoordelijk voor het opstellen, vastleggen en communiceren van het IBP-beleid.
  • De ict-coördinator of Privacy Officer bereidt het IBP-beleid voor.
  • De (G)MR keurt het IBP-beleid goed.

Meer weten over de rol- en taakverdeling? Ga naar rollen en verantwoordelijkheden.

Aan de slag

Volg de stappen hieronder om tot een eerste opzet van een IBP-beleid te komen.

Stap 1 | Vul het model IBP-beleid in

Om je op weg te helpen, heeft Kennisnet een template IBP-beleid gemaakt.

Stap 2 | Wie doet wat

In het beleid wijs je de mensen aan die binnen je organisatie IBP gaan uitvoeren.

Stap 3 | Vraag de (G)MR om instemming

Omdat het IBP beleid betrekking heeft op persoonsgegevens, ben je verplicht de (G)MR om instemming met het beleid vragen.

Stap 4 | Vaststellen

Heeft de (G)MR ingestemd? Dan kun je het beleid vaststellen.

Stap 5 | Communiceren en uitvoeren

Nu het beleid is vastgesteld, is het belangrijk dat iedereen weet dat het er is en wat erin staat. Je kunt daarna de maatregelen uit het beleid gaan uitvoeren.

Stap 6 | Evalueren en verbeteren

Zorg ervoor dat het IBP-beleid jaarlijks wordt geëvalueerd en pas het aan als dat nodig is. Om het evalueren en verbeteren van je IBP-beleid structureel aan te pakken, is het handig om dat te doen aan de hand van een PDCA-cyclus. PDCA staat voor Plan, Do, Check, Act.

Tools en voorbeelddocumenten

Inhoudsopgave