Risicoanalyse

bijgewerkt op 17 april 2020

Op school verwerk je persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More, bijvoorbeeld in een leerlingdossier. De Algemene Verordening Gegevensbescherming (AVG) eist dat je de juiste maatregelen neemt om die persoonsgegevens te beschermen. Dat kan alleen als je weet over welke persoonsgegevens je beschikt, waarom je die moet beschermen en waartegen je ze moet beschermen. Al deze zaken breng je in kaart met een risicoanalyseHet analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan. More.

Voordat je begint aan een risicoanalyse moet je eerst vaststellen hoe belangrijk bepaalde informatie en informatiesystemen zijn. Je moet weten welke persoonsgegevens waar worden opgeslagen, waarom je die nodig hebt en wie er bij kunnen. En je moet weten hoe zwaar het belang weegt van Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) voor die persoonsgegevens, systemen en processen. Dat kun je doen aan de hand van de BIV-classificatieHet indelen van (persoons)gegevens op basis van beschikbaarheid, integriteit en vertrouwelijkheid zijn. More.

De volgende vraag is of je voor al deze persoonsgegevens de juiste beveiligingsmaatregelen hebt genomen. Heb je dat nog niet gedaan? Ga dan kijken welke risico’s je loopt nu de beveiliging niet op orde is. Is de kans op een incident groot? Of is juist de impact van zo’n incident heel groot? Dan loop je een hoog risico. Leg dat vast en stel vervolgens prioriteiten, want alle risico’s uitsluiten is onmogelijk. Op basis van die prioriteiten bepaal je welke maatregelen je als eerste gaat uitvoeren. Ook bij de invoering van een nieuw systeem schat je de risico’s opnieuw in en voeg je mogelijk extra maatregelen toe.

Is het wettelijk verplicht?

Volgens de AVG moet je weten welke risico’s je loopt bij het verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. More van persoonsgegevens in jouw organisatie. Je moet inschatten hoe groot die risico’s zijn en welke maatregelen je kunt nemen om de risico’s te verkleinen. Een risicoanalyse is een belangrijk hulpmiddel om zicht te krijgen op de mate waarin je voldoet aan de verplichting om persoonsgegevens te beveiligen.

Meer informatie vind je in artikel 24 van de AVG. Raadpleeg het normenkader IBP po vo voor maatregelen die hierbij horen.

Wie doet wat?

Bij het uitvoeren van een BIV-classificatie en risicoanalyse zijn verschillende rollen betrokken met elk hun eigen taken:

Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. More is eindverantwoordelijk.
De ict-coördinatorIn het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker. More, Privacy OfficerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker. More of P&O-medewerker voert de BIV-classificatie en risicoanalyse uit.

Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.

Aan de slag: BIV-classificatie

Hoe ga je aan de slag met de BIV-classificatie?

Stap 1 | Vul de BIV-classificatievragenlijsten in

Om de BIV classificatie te bepalen kun je gebruikmaken van een download van de vragenlijst (toetsingkader) van het ROSA certificeringsschema. Hiermee kun je op procesniveau de BIV-classificatie uitvoeren. Dat is veel werk. Maak je gebruik van het dataregister van Kennisnet? Dan zijn voor vrijwel alle categorieën persoonsgegevens de BIV classificaties al vastgesteld. Gebruik je dat niet, dan kun je gebruikmaken van onze BIV classificatietabel. Vul het overzicht aan met de systemen en software die je op school gebruikt en niet in de lijst zijn opgenomen.

Aan de slag: risicoanalyse

Hoe ga je aan de slag met een risicoanalyse?

Stap 1 | Stel je risicoanalysegroep samen

Betrek hier mensen met verschillende rollen en taken bij, zoals de bestuurder, een leraar, een ict-coördinator, een P&O-medewerker en de administratie. Maak de groep niet groter dan 3 tot 6 personen. Zorg dat de deelnemers vooraf weten wat een risico-analyse is. Je kunt hiervoor de kant en klare presentatie van Kennisnet over risicoanalyse workshops gebruiken.

Stap 2 | Inventariseer de risico’s

Bespreek met elkaar wat mogelijke risico’s zijn en schrijf ze op. Het kan handig zijn om daarbij de volgende 6 onderwerpen – ook bekend als clusters – als uitgangspunt te nemen:

Beleid en organisatie
Personeel, leerlingen en derden
Ruimten en apparatuur
Continuïteit
Toegangsbeveiliging
Controle en logging

Je kunt hiervoor de uitleg gebruiken van de clusters die Kennisnet ontwikkeld heeft.

Stap 3 | Beschrijf de risico’s

Geef bij het beschrijven van de risico’s aan hoe groot de kans is dat een risico optreedt: dagelijks, meerdere keren per jaar, jaarlijks, etcetera. En wat de gevolgen zijn: geen verstoring van het primaire proces, wel een verstoring van het primaire proces, extern merkbaar, maar snel opgelost, etcetera. Hierbij wordt de grootte van een risico aangegeven door de waarschijnlijkheid dat een gebeurtenis optreedt (kans) maal de gevolgen (impact) dat het heeft. Op basis hiervan kun je met elkaar de risico’s prioriteren.

Stap 4 | Bepaal welke maatregelen je neemt

Aan de hand van je geprioriteerde lijst met risico’s kun je bepalen in welke maatregelen je het eerste investeert en welke risico’s je bereid bent te accepteren. Maak vervolgens een groep mensen binnen de school verantwoordelijk voor de uitvoering van de maatregelen. Ook de FG zal meekijken of de maatregelen worden uitgevoerd.

Stap 5 | De maatregelen

De risico’s zijn in kaart gebracht. Nu de maatregelen nog. In het normenkader IBP staan alle normen die voor po en vo van toepassing zijn. Per norm kun je kijken welke maatregelen je stapsgewijs kunt nemen om aan de norm te voldoen.

Stap 6 | Iets nieuws

Komt er een nieuw systeem, nieuwe software of een nieuwe verwerking van persoonsgegevens bij? Kijk dan of je een DPIA moet uitvoeren. Verwerk de uitkomst van de DPIADPIA is Data Protection Impact Assessment. In het Nederlands heet het gegevensbeschermingseffectbeoordeling. Met een DPIA onderzoek je wat het effect op de privacy van de betrokkenen is bij het verwerken van persoonsgegevens. More in de prioriteiten lijst die je al hebt.

Download

Normenkader IBP

BIV-classificatie vragenlijst

BIV-classificatietabel voor het onderwijs