Logo Optimus Def

voor elkaar!

home
Informatie beveilgiing
E
Startpagina
E
Privacy (AVG)
E
Informatie beveiliging

Datalek..?

Ook bij twijfel, gewoon even melden.

Ook al doe je nog zo goed je best… het kan altijd een keer gebeuren. Ook bij twijfel gewoon even melden door op de groene knop hieronder te klikken.

 

Datalek melden
thema kalender
actueel
avg nieuwsbrief
avg team
Datamanagement

Dit onderwerp gaat over: Het indelen van informatie in klassen (Openbaar, Intern, Vertrouwelijk) en daarnaar handelen: wie mag het zien, hoe slaan we het op, hoe delen/vernietigen we het. Elk informatie-onderdeel heeft een eigenaar. Niet geclassificeerd = Intern. Minimaal jaarlijks herzien of bij relevante veranderingen.

IBP Optimus Onderwijs onderdelen

Informatie beveiliging

Privacy bescherming

Algemene informatie

Hieronder vind je meer informatie. Klik op de titel van het onderwerp om de bijhorende informatie te lezen.

    Datamanagement

    Dit onderwerp gaat over: Het indelen van informatie in klassen (Openbaar, Intern, Vertrouwelijk) en daarnaar handelen: wie mag het zien, hoe slaan we het op, hoe delen/vernietigen we het. Elk informatie-onderdeel heeft een eigenaar. Niet geclassificeerd = Intern. Minimaal jaarlijks herzien of bij relevante veranderingen.

    Landelijke IBP- normen

    Dit onderwerp valt onder het IBP domein 9: Datamanagement en geeft invulling aan deze IBP- normen:

    Uitwerking

    Speerpunten
    • We werken met 3 klassen: Openbaar, Intern, Vertrouwelijk.
    • Elke medewerker moet informatie correct classificeren.
    • Informatie zonder label = automatisch ‘intern’
    • Informatie moet juist gelabeld én beveiligd worden.
    • De eigenaar bepaalt de classificatie en bewaakt de juiste omgang.
    Waar het over gaat!

    • Alle informatievormen: digitaal (documenten, e-mail, systemen), papier (dossiers/afdrukken), én mondeling/visueel (overleggen, presentaties)

    • Persoonsgegevens en gevoelige info (leerling, ouder, medewerker), financiële/strategische stukken, beveiligings- en continuïteitsinformatie.

    • Informatiecontainers: Teams/SharePoint-sites en -bibliotheken, Google-Drive-mappen, ParnasSys-overzichten, gedeelde mailboxen/kanalen.

      • Regel: staan in één container documenten met verschillende klassen, dan geldt voor de hele container het hoogste niveau (toegang, delen, opslag).

      • Voorkeur: zet Vertrouwelijk in een aparte bibliotheek/kanaal.

      • Default: geen label = Intern.

    Waar het niet over gaat!

    • Algemeen onderwijsmateriaal en interne communicatie zónder vertrouwelijke of privacygevoelige info. (Tenzij aanvullende richtlijnen anders bepalen.)

    • Publieke informatie in conceptfase: is nog niet openbaar → behandelen volgens toepasselijke (hogere) klasse.

    Wat we (gaan) doen.

    • Classificeren per item: Openbaar / Intern / Vertrouwelijk (op basis van gevoeligheid)

    • Eigenaar vastleggen; opsteller is eigenaar als er geen expliciete eigenaar is.

    • Labelen & omgaan volgens richtlijnen voor distributie, opslag, en afvoer/vernietiging.

    • Toets & borg: controle door domeinbeheerders in opdracht van PSO; CvB keurt beleid en jaarlijkse herziening

      Ezelsbruggetje

      Ezelsbrug: Twijfel = Intern. Bevat het persoonsgegevens of zou openbaarmaking schade doen? → Vertrouwelijk

      Ezelsbrug – wie doet wat?

      • Jij maakt iets? → classificeer (twijfel = Intern) en handel ernaar.
      • Domeinbeheerder → borg rechten & hoogste klasse in de container.
      • ICT/Facilitair → techniek & papier op orde (labels/DLP/retentie & archief/vernietiging).
      • PSO → advies/toezicht/escalatie.
      • CvB → beleid/uitzonderingen/ restrisico’s.

      Rollen, taken en verantwoordelijkheden

      Hieronder zie je wie wat doet bij de uitvoering van dit onderdeel. Klik op de rol om deze open te klappen.

      Medewerker (opsteller/gebruiker)

      Verantwoordelijk voor

      • Classificeren bij aanmaak (Openbaar / Intern / Vertrouwelijk) en zo handelen.

      • Juist opslaan/delen; geen downgraden zonder akkoord eigenaar.

      Taken: (dit moet je doen)

      • Label toevoegen (kopregel of gevoeligheidslabel) en juiste container kiezen.
      • Delen volgens klasse (geen externe deling zonder akkoord).
      • Afvoeren/vernietigen volgens richtlijnen; twijfel → PSO vragen.
      Domeinbeheerder

      Verantwoordelijk voor:

      • Juiste inrichting per container (Teams/SharePoint/Drive/ParnasSys) volgens hoogste aanwezige klasse.

      • Toegangsbeheer: alleen need-to-know.

      Taken: (dit moet je doen)

      • Lidmaatschappen/rechten beheren; externe deling uit waar Vertrouwelijk voorkomt.

      • Voor Vertrouwelijk aparte bibliotheek/kanaal aanbieden.

      • Periodieke permissie-review; verkeerd geplaatste info verplaatsen of melden.

      ICT- en Facilitaire dienstverlening

      Verantwoordelijk voor:

      • Technische én fysieke borging van classificatie-regels.

      Taken: (ICT) (Dit moet je doen)

      • Inrichten gevoeligheidslabels, DLP/versleuteling, sharing/CA-policies, bewaartermijnen.

      • Standaardlocaties/templates aanbieden (Intern vs Vertrouwelijk).

      • Monitoring/logging; misconfiguraties herstellen; support aan domeinbeheerders.

      Taken: (Facilitair) (Dit moet je doen)

      • Fysieke opslag (sluitbare kasten/archief), vernietiging organiseren met bewijs van vernietiging.

      • Clean-desk/printbeleid ondersteunen; contracten met vernietigingspartij beheren.

      Privacy- en Security Officer

      Verantwoordelijk voor:

      • Beleid, advies en toezicht; escalaties bij (hoog) risico.

      Taken (dit moet je doen)

      • Richtlijnen/voorbeelden beheren; vragen en twijfelgevallen beoordelen.

      • Steekproeven op label/deling/opslag/afvoer.

      • Bij bijzondere persoonsgegevens of grote impact: aanvullende maatregelen/DPIA adviseren.

      • Jaarlijkse rapportage aan CvB (naleving & verbeterpunten).

      College van Bestuur

      Verantwoordelijk voor:

      • Vaststellen beleid en acceptatie restrisico’s.

      Taken: (dit moet je weten)

      • Beleid/uitzonderingen besluiten; middelen en prioriteit borgen.

      • Jaarlijkse PSO-rapportage behandelen; acties uitzetten

      Documentatie

      Klik op hieronder voor toegang tot het materiaal:

      Deze documenten hebben een informatieclassificatie intern of vertrouwelijk. Toegang wordt gegeven op aanvraag.