Risicoanalyse

Op school verwerk je persoonsgegevens, bijvoorbeeld in een leerlingdossier. De Algemene Verordening Gegevensbescherming (AVG) eist dat je de juiste maatregelen neemt om die persoonsgegevens te beschermen. Dat kan alleen als je weet over welke persoonsgegevens je beschikt, waarom je die moet beschermen en waartegen je ze moet beschermen. Al deze zaken breng je in kaart met een risicoanalyse.

Voordat je begint aan een risicoanalyse moet je eerst vaststellen hoe belangrijk bepaalde informatie en informatiesystemen zijn. Je moet weten welke persoonsgegevens waar worden opgeslagen, waarom je die nodig hebt en wie er bij kunnen. En je moet weten hoe zwaar het belang weegt van Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) voor die persoonsgegevens, systemen en processen. Dat kun je doen aan de hand van de BIV-classificatie.

De volgende vraag is of je voor al deze persoonsgegevens de juiste beveiligingsmaatregelen hebt genomen. Heb je dat nog niet gedaan? Ga dan kijken welke risico’s je loopt nu de beveiliging niet op orde is. Is de kans op een incident groot? Of is juist de impact van zo’n incident heel groot? Dan loop je een hoog risico. Leg dat vast en stel vervolgens prioriteiten, want alle risico’s uitsluiten is onmogelijk. Op basis van die prioriteiten bepaal je welke maatregelen je als eerste gaat uitvoeren. Ook bij de invoering van een nieuw systeem schat je de risico’s opnieuw in en voeg je mogelijk extra maatregelen toe.

Is het wettelijk verplicht?

Volgens de AVG moet je weten welke risico’s je loopt bij het verwerken van persoonsgegevens in jouw organisatie. Je moet inschatten hoe groot die risico’s zijn en welke maatregelen je kunt nemen om de risico’s te verkleinen. Een risicoanalyse is een belangrijk hulpmiddel om zicht te krijgen op de mate waarin je voldoet aan de verplichting om persoonsgegevens te beveiligen.

Meer informatie vind je in artikel 24 van de AVG. De bijbehorende maatregelen vind je in de ISO 27001, artikel 6.1.2 en artikel 8.2 en ISO 27002, artikel 8.2.1. Deze vind je terug in het toetsingskader IBP po vo.

Wie doet wat?

In het overzicht hieronder zie je wie wat doet bij het uitvoeren van een BIV-classificatie en risicoanalyse.

Verantwoordelijkheid


Schoolbestuur
Eindverantwoordelijk.

Uitvoering


Ict-coördinator,
Privacy Officer of
P&O-medewerker
Uitvoeren van BIV-classificatie en risicoanalyse.

Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.

Aan de slag: BIV-classificatie

Hoe ga je aan de slag met de BIV-classificatie?

Stap 1 | Vul de BIV-classificatievragenlijsten in

Je kunt een BIV-classificatie vragenlijst gebruiken. Hiermee kun je op procesniveau de BIV-classificatie uitvoeren. Dat is veel werk. Maak je gebruik van hetdataregister van Kennisnet? Dan zijn voor vrijwel alle categorieën persoonsgegevens de BIV classificaties al vastgesteld. Gebruik je dat niet, dan kun je gebruikmaken van onzeBIV classificatietabel. Vul het overzicht aan met de systemen en software die je op school gebruikt en niet in de lijst zijn opgenomen.

Aan de slag: risicoanalyse

Hoe ga je aan de slag met een risicoanalyse?

Stap 1 | Stel je risicoanalysegroep samen

Betrek hier mensen met verschillende rollen en taken bij, zoals de bestuurder, een leraar, een ict-coördinator, een P&O-medewerker en de administratie. Maak de groep niet groter dan 3 tot 6 personen. Zorg dat de deelnemers vooraf weten wat een risico-analyse is. Je kunt hiervoor de kant en klare presentatie van Kennisnet over risicoanalyse workshops gebruiken.

Stap 2 | Inventariseer de risico’s

Bespreek met elkaar wat mogelijke risico’s zijn en schrijf ze op. Het kan handig zijn om daarbij de volgende 6 onderwerpen – ook bekend als clusters – als uitgangspunt te nemen:

  1. Beleid en organisatie
  2. Personeel, leerlingen en derden
  3. Ruimten en apparatuur
  4. Continuïteit
  5. Toegangsbeveiliging
  6. Controle en logging

Je kunt hiervoor de uitleg gebruiken van de clusters die Kennisnet ontwikkeld heeft.

Stap 3 | Beschrijf de risico’s

Geef bij het beschrijven van de risico’s aan hoe groot de kans is dat een risico optreedt: dagelijks, meerdere keren per jaar, jaarlijks, etcetera. En wat de gevolgen zijn: geen verstoring van het primaire proces, wel een verstoring van het primaire proces, extern merkbaar, maar snel opgelost, etcetera. Hierbij wordt de grootte van een risico aangegeven door de waarschijnlijkheid dat een gebeurtenis optreedt (kans) maal de gevolgen (impact) dat het heeft. Op basis hiervan kun je met elkaar de risico’s prioriteren.

Stap 4 | Bepaal welke maatregelen je neemt

Aan de hand van je geprioriteerde lijst met risico’s kun je bepalen in welke maatregelen je het eerste investeert en welke risico’s je bereid bent te accepteren. Maak vervolgens een groep mensen binnen de school verantwoordelijk voor de uitvoering van de maatregelen. Ook de FG zal meekijken of de maatregelen worden uitgevoerd.

Stap 5 | Zorg dat informatiebeveiliging en privacy onderdeel wordt van de periodieke risicoanalyse

Maken informatiebeveiliging en privacy nog geen onderdeel uit van de periodieke risicoanalyse op school? Neem dan contact op met degene die hiervoor verantwoordelijk is en laat het opnemen als apart hoofdstuk.

Stap 6 | Iets nieuws

Komt er een nieuw systeem, nieuwe software of een nieuwe verwerking van persoonsgegevens bij? Kijk dan of je een DPIA moet uitvoeren. Verwerk de uitkomst van de DPIA in de prioriteiten lijst die je al hebt.

Hou rekening met

De risico’s zijn in kaart gebracht. Nu de maatregelen nog. Binnen het onderwijs is afgesproken om aan te sluiten bij de internationale standaard voor informatiebeveiliging en privacy: de ISO 27000 normering.

Niet alle items van deze norm zijn van toepassing op het onderwijs. Het mbo gebruikt hier al langere tijd het toetsingskader IBP mbo voor. Het primair en voortgezet onderwijs gebruiken sinds oktober 2019 het toetsingskader IBP po en vo. Dit document vind je onder het kopje downloads.

In dit document kun je per cluster bekijken welke onderdelen van toepassing zijn op het onderwijs en welke maatregelen je moet nemen.
Voor het po en vo is dit onderwerp nog vrij nieuw. De komende tijd wordt dit onderwerp daarom aangevuld met de meeste actuele informatie.

Download

Inhoudsopgave