Klaar?
Het IBP-beleid staat op papier. De Functionaris voor GegevensbeschermingIemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). More is benoemd. Toestemming voor het delen van persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More is gevraagd en vastgelegd en iedereen is op de hoogte van het belang van informatiebeveiliging en privacyHet recht om met rust te worden gelaten, om te weten en te bepalen wat er met gegevens over jou gebeurt en om te weten wie de beschikking heeft over jouw persoonsgegevens. More (IBP). Het lijkt erop dat je klaar bent. Maar een school ontwikkelt zich. Nieuwe systemen worden aangeschaft. Er wordt gewisseld van ict-leverancier. Leerlingen en medewerkers komen en gaan. Je bent nooit echt klaar met IBP.
Evalueren
Als je privacy van leerlingen en medewerkers goed wil blijven waarborgen en je informatiebeveiliging op orde wilt houden, is het belangrijk dat je regelmatig controleert of alles nog goed gaat. Doe dit bij voorkeur jaarlijks, maar sowieso bij iedere wijziging of elk incident. Een handige manier om dit doen is via de zogeheten PDCA-cyclusPlan Do Check Act cyclus: een voortdurende cyclus van evaluatie en verbetering. More. De PDCA-cyclus is een gestructureerde manier om continu te blijven evalueren. Het staat voor:
- Plan: in dit stadium maak je plannen voor een wijziging.
- Do: voer het plan uit.
- Check: controleer het resultaat.
- Act: is het resultaat naar wens? Voer de wijziging dan in. Is het niet naar wens? Stuur dan bij.
Wil je weten hoe ver je nu bent met IBP?
Maak dan gebruik van de tool: Inzicht in ict-voorwaarden in de Kennisnetwijzer. Lees wat de mogelijkheden zijn en klik op de oranje button met de tekst “gebruik deze tool”. Kies daarna voor het thema “Informatiebeveiliging en privacy”. De hulpvensters leiden je door de tool heen. Ben je erdoor? Dan kun je ervoor kiezen om een rapportage uit te draaien. Wanneer je dit ook door je Privacy OfficerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker. More, de FG, de bestuurder en/of de ICT-coördinatorIn het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker. More laat doen, dan kun je de rapportages met elkaar vergelijken. Zo krijg je een goed inzicht hoe ver jullie zijn. Doe het een jaar later nog eens en kijk of jullie verder gekomen zijn.
Bewustwording en communicatie
Het organiseren van IBP stopt niet bij het uitvoeren van een aantal maatregelen. Het is ook belangrijk medewerkers bewust te maken van de risico’s die je loopt als je niet zorgvuldig met informatiebeveiliging en privacy omgaat. Om je hiermee te helpen, ontwikkelde Kennisnet een aantal filmpjes. En bij alle IBP-onderwerpen waar dat relevant is, staat vermeld hoe je er in de praktijk voor kunt zorgen dat medewerkers zich aan de regels houden. Bewustwording creëer je namelijk het snelst als je het verbindt aan onderwerpen die dagelijkse werkzaamheden raken.
Let op: Blijf op de hoogte van ontwikkelingen op het gebied van informatiebeveiliging en privacy. Kondigt de Autoriteit PersoonsgegevensDe Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens. More aan dat ze controles gaat uitvoeren in het onderwijs? Wees er dan op voorbereid.
