IBP-beleid

Het organiseren van informatiebeveiliging en privacy op school begint met een IBP-beleid. Hierin leg je vast welke uitgangspunten je hanteert bij het beveiligen van informatie en het garanderen van privacy van medewerkers en leerlingen. Én welke maatregelen, procedures en afspraken hierbij horen. Daaronder vallen ook alle maatregelen die je moet nemen om aan de AVG te voldoen. Tot slot vermeld je in je IBP-beleid wie verantwoordelijk is voor de uitvoering van IBP binnen jouw organisatie.

Het is belangrijk dat iedereen op school weet dat er een IBP-beleid is en hoe ze het kunnen vinden. Je IBP-beleid is niet statisch. Nieuwe wet- en regelgeving, maar ook nieuwe processen en systemen kunnen betekenen dat je je beleid periodiek evalueert en zo nodig aanpast.

Is het wettelijk verplicht?

Het maken van een IBP-beleid is niet verplicht volgens de AVG. De AVG eist wel dat je op school gebruikte persoonsgegevens goed beveiligd. Met het opstellen van een IBP-beleid weet je zeker dat je alle maatregelen neemt die verplicht zijn vanuit de AVG. Wil je voldoen aan de code voor informatiebeveiliging (ISO-norm 27001 en 27002)? Dan is het opstellen van en communiceren over beleidsregels voor informatiebeveiliging noodzakelijk.

Meer informatie vind je in artikel 24 en artikel 32 van de AVG. De bijbehorende maatregelen vind je in de ISO 27001, artikel 5.2, artikel 6.2, artikel 9 en artikel 10 en in de ISO 27002, artikel 15.1.1 en artikel 18. Deze vind je terug in het toetsingskader IBP po vo.

Wie doet wat?

In het overzicht hieronder zie je wie wat doet bij het opstellen van een IBP-beleid.

Verantwoordelijkheid


Schoolbestuur
Verantwoordelijk voor het opstellen, vastleggen en communiceren van het IBP-beleid

Uitvoering


Ict-coördinator of
Privacy Officer
Voorbereiden van het IBP-beleid.

Instemming


(G)MR
Goedkeuren van het IBP-beleid.

Meer weten over de rol- en taakverdeling? Ga naar rollen en verantwoordelijkheden.

Aan de slag

Volg de stappen hieronder om tot een eerste opzet van een IBP-beleid te komen.

Stap 1 | Vul het model IBP-beleid in

Om je op weg te helpen, heeft Kennisnet een model IBP-beleid gemaakt.

Stap 2 | Wie doet wat

In het beleid wijs je de mensen aan die binnen je organisatie IBP gaan uitvoeren.

Stap 3 | Vraag de (G)MR om instemming

Omdat het IBP beleid betrekking heeft op persoonsgegevens, ben je verplicht de (G)MR om instemming met het beleid vragen.

Stap 4 | Vaststellen

Heeft de (G)MR ingestemd? Dan kun je het beleid vaststellen.

Stap 5 | Communiceren en uitvoeren

Nu het beleid is vastgesteld, is het belangrijk dat iedereen weet dat het er is en wat erin staat. Je kunt daarna de maatregelen uit het beleid gaan uitvoeren.

Stap 6 | Evalueren en verbeteren

Zorg ervoor dat het IBP-beleid jaarlijks wordt geëvalueerd en pas het aan als dat nodig is. Om het evalueren en verbeteren van je IBP-beleid structureel aan te pakken, is het handig om dat te doen aan de hand van een PDCA-cyclus. PDCA staat voor Plan, Do, Check, Act.

Tool: Template IBP-beleidsplan

Inhoudsopgave