Logo Optimus Def

voor elkaar!

home
p
Informatie beveiliging
E
Startpagina
E
Optimus Onderwijs & Informatie beveiliging
E
Optimus onderwijs & Privacy (AVG)

Datalek..?

Ook bij twijfel, gewoon even melden.

Ook al doe je nog zo goed je best… het kan altijd een keer gebeuren. Ook bij twijfel gewoon even melden door op de groene knop hieronder te klikken.

 

Datalek melden
thema kalender
actueel
avg nieuwsbrief
avg team

Digitale middelen en diensten

Dit onderwerp valt onder het IBP domein 15: Ketenbeheer  en geeft invulling aan deze IBP- normen.

Gerelateerd: SC.01 Service Level Agreement 

Het onderdeel Datamanagement is terug te lezen in het Leveranciersmanagement Digitale middelen en diensten van Optimus Onderwijs. Deze kun je hier downloaden.

 

Waar gaat dit over? (Scope)

Dit onderwerp gaat over toezicht en beheer van leveranciers die software, clouddiensten (SaaS) en digitale hardware leveren, zodat veiligheid, integriteit en continuïteit geborgd zijn.

Wat valt binnen de Scope:

  • Digitale leveranciers van software/cloud (SaaS), beheerdiensten en hardware.

  • Kernapplicaties & koppelingen die (bijzondere) persoonsgegevens verwerken (leerling/personeel).

  • Contractstukken: verwerkersovereenkomst + beveiligingsbijlage, SLA, subverwerkerslijst, datalocatie/retentie/exit.

  • Dataopslag, back-ups en logging bij de leverancier.

  • Leveranciers met impact op meerdere scholen/teams

Wat valt buiten de Scope:

  • Niet-digitale leveranciers (bijv. schoonmaak, catering, gebouwbeheer) zonder digitale dienst of gegevensverwerking.

  • Dagelijks gebruik, gebruikerssupport/incidenten en changes bij bestaande tools (lopen via gebruiks-, incident- of changemanagement).

  • Didactische keuzes met al goedgekeurde tools/apps.

  • Bestellingen binnen bestaande, goedgekeurde raamcontracten zónder wijziging van voorwaarden, dataverwerking of SLA (inkoop/facilitair).

  • Eenmalige werkplekreparaties/device-swaps via bestaande servicecontracten (ticketproces).

  • Interne samenwerking tussen scholen zónder externe leverancier of extra gegevensuitwisseling.

🐴 Ezelsbruggetje

Gaat het om een leverancier die digitale middelen/diensten levert of persoonsgegevens verwerkt? → Leveranciersmanagement. Anders: ander proces (facilitair/gebruik/incident/change)

ProcesScope (aanpak)

  • Intake & voorselectie: Softwarecheck; doel/gegevens/basisrisico bepalen.

  • Toetsing: VO + beveiligingsbijlage op BIV; zo nodig DPIA.

  • Besluit: alleen door bij acceptabel risico; PSO adviseert; CvB bij kernapplicaties/hoog risico.

  • Vastleggen: opnemen in dataregister en Softwarecheck (groen/rood); contract/SLA en subverwerkers borgen.

  • Periodiek beoordelen (min. jaarlijks): controller controleert; risico’s/afwijkingen met PSO bespreken; zo nodig CvB; contract/SLA bijsturen.

  • Beëindigen/exit: overdraagbaarheid, dataverwijdering en bewijs van vernietiging regele

Speerpunten

  • Leveranciers worden vooraf getoetst op BIV: verwerkersovereenkomst + beveiligingsbijlage controleren; alleen door bij acceptabel risico; resultaat registreren in dataregister.
  • Softwarecheckpagina bijwerken: groen (goedgekeurd) / rood (niet toegestaan).
  • Kernapplicaties/-systemen: extra toezicht; PSO kan DPIA adviseren aan CvB.
  • Beheerdiensten met hoge risicoscore: gezamenlijke beoordeling (formulier Leveranciersbeoordeling uitgebreid).
  • Jaarlijkse beoordeling door controller (tab “Jaarlijkse beoordeling”); bij risico’s: met PSO bespreken en CvB voorleggen.

    Rollen, taken en verantwoordelijkheden

    Hieronder zie je wie wat doet bij de uitvoering van dit onderdeel. Klik op de rol om deze open te klappen.

    Domeinbeheerder & schooldirecteur

      Verantwoordelijk voor:

    • Nieuwe of gewijzigde digitale leveranciers tijdig melden bij de Privacy Officer.

    • Samen met de Privacy Officer de risico’s van digitale beheerdiensten beoordelen.

    • Het formulier Leveranciersbeoordeling (uitgebreid) invullen en gebruiken bij de beoordeling

    Taken: (dit moet je doen)

    Schooldirecteur:

    • Wil je gaan werken met nieuwe (methode) software? Controleer vooraf op de Software check (en aanvraag) wat de status is.
    • Als de software niet voorkomt op de lijst de groene software checklijst dien dan een verzoek in bij de Privacy Officer. Hij/zij vraagt de verwerkersovereenkomst op en controleert deze.

      Domeinbeheerder:

      • Nieuwe software of koppelingen die vertrouwelijke informatie verwerken, vooraf melden bij de Privacy Officer.

      • Koppelingen tussen systemen tijdig (ruim van tevoren) voorleggen aan de Privacy Officer.

      • Op verzoek het leveranciersbeoordelingsformulier invullen of de benodigde informatie aanleveren.
      Controller

      Verantwoordelijk voor:

      • Voer jaarlijkse beoordeling leveranciers uit.
      • Vul het tabblad “Jaarlijkse beoordeling” in het Excelbestand in.

      Taken: (dit moet je doen)

      • Jaarlijkse beoordeling van (midden-hoog risico) leveranciers uitvoeren.

      • Tabblad Jaarlijkse beoordeling in het Excelbestand invullen.

      Privacy- en Security Officer

       Verantwoordelijk voor:

      • Controleer verwerkersovereenkomsten en beveiligingsbijlagen.
      • Registreer de verwerkingen in het verwerkingsregister.
      • Beoordeel risico’s van leveranciers.
      • Houd de Softwarecheckpagina actueel.
      • Adviseer het CvB over DPIA.

      Taken: (dit moet je doen)

      • Controleren – VWO & beveiligingsbijlagen

      • Beoordelen – risico’s leveranciers

      • Bijhouden – Softwarecheckpagina

      • Adviseren – CvB over DPIA

      College van bestuur

      Verantwoordelijk voor:

      • Is eindverantwoordelijk.
      • Keurt overeenkomsten goed na beoordeling risico’s en maatregelen.

      Taken: (dit moet je doen)

      Documentatie

      Klik op hieronder voor toegang tot het materiaal:

      Meerdere documenten hebben een informatieclassificatie intern of vertrouwelijk. Toegang wordt hier gegeven op aanvraag.