voor elkaar!

Dit onderwerp heeft een verbinding met de GRC Optimus omgeving en is terug te vinden onder taken:

• IBP Optimus GRC (Governance, Risk, and Compliance) Dashboard – Brede risicobeoordeling Interne en externe gevaren.
• Controle van verwerkersovereenkomsten en beveiligingsbijlagen
• Jaarlijkse beoordeling hoog risico (digitale) dienstenControle van verwerkersovereenkomsten en beveiligingsbijlagen

Dit onderwerp valt onder het IBP domein 15: Ketenbeheer  en geeft invulling aan deze IBP- normen.

• SC.02 Servicelevelmanagement
• SC.03 Leveranciersrisicomanagement
• SC.04 Interne beheersing bij derden

Gerelateerd: SC.01 Service Level Agreement 

Het onderdeel Datamanagement is terug te lezen in het Leveranciersmanagement Digitale middelen en diensten van Optimus Onderwijs. Deze kun je hier downloaden.

• Leveranciers worden vooraf getoetst op BIV: verwerkersovereenkomst + beveiligingsbijlage controleren; alleen door bij acceptabel risico; resultaat registreren in dataregister.
• Softwarecheckpagina bijwerken: groen (goedgekeurd) / rood (niet toegestaan).
• Kernapplicaties/-systemen: extra toezicht; PSO kan DPIA adviseren aan CvB.
• Beheerdiensten met hoge risicoscore: gezamenlijke beoordeling (formulier Leveranciersbeoordeling uitgebreid).
• Jaarlijkse beoordeling door controller (tab “Jaarlijkse beoordeling”); bij risico’s: met PSO bespreken en CvB voorleggen.

• Digitale leveranciers van software/cloud (SaaS), beheerdiensten en hardware.

• Kernapplicaties & koppelingen die (bijzondere) persoonsgegevens verwerken (leerling/personeel).

• Contractstukken: verwerkersovereenkomst + beveiligingsbijlage, SLA, subverwerkerslijst, datalocatie/retentie/exit.

• Dataopslag, back-ups en logging bij de leverancier.

• Leveranciers met impact op meerdere scholen/teams

• Niet-digitale leveranciers (bijv. schoonmaak, catering, gebouwbeheer) zonder digitale dienst of gegevensverwerking.

• Dagelijks gebruik, gebruikerssupport/incidenten en changes bij bestaande tools (lopen via gebruiks-, incident- of changemanagement).

• Didactische keuzes met al goedgekeurde tools/apps.

• Bestellingen binnen bestaande, goedgekeurde raamcontracten zónder wijziging van voorwaarden, dataverwerking of SLA (inkoop/facilitair).

• Eenmalige werkplekreparaties/device-swaps via bestaande servicecontracten (ticketproces).

• Interne samenwerking tussen scholen zónder externe leverancier of extra gegevensuitwisseling.

• Intake & voorselectie: Softwarecheck; doel/gegevens/basisrisico bepalen.

• Toetsing: VO + beveiligingsbijlage op BIV; zo nodig DPIA.

• Besluit: alleen door bij acceptabel risico; PSO adviseert; CvB bij kernapplicaties/hoog risico.

• Vastleggen: opnemen in dataregister en Softwarecheck (groen/rood); contract/SLA en subverwerkers borgen.

• Periodiek beoordelen (min. jaarlijks): controller controleert; risico’s/afwijkingen met PSO bespreken; zo nodig CvB; contract/SLA bijsturen.

• Beëindigen/exit: overdraagbaarheid, dataverwijdering en bewijs van vernietiging regelen.

Gaat het om een leverancier die digitale middelen/diensten levert of persoonsgegevens verwerkt? → Leveranciersmanagement. Anders: ander proces (facilitair/gebruik/incident/change)

Verantwoordelijk voor:

• Nieuwe of gewijzigde digitale leveranciers tijdig melden bij de Privacy Officer.

• Samen met de Privacy Officer de risico’s van digitale beheerdiensten beoordelen.

Taken: (dit moet je doen)

Schooldirecteur:

• Wil je gaan werken met nieuwe (methode) software? Controleer vooraf op de Software check (en aanvraag) wat de status is.
• Als de software niet voorkomt op de lijst de groene software checklijst dien dan een verzoek in bij de Privacy Officer. Hij/zij vraagt de verwerkersovereenkomst op en controleert deze.

Domeinbeheerder:

• Nieuwe software of koppelingen die vertrouwelijke informatie verwerken, vooraf melden bij de Privacy Officer.

• Koppelingen tussen systemen tijdig (ruim van tevoren) voorleggen aan de Privacy Officer.

• Op verzoek het leveranciersbeoordelingsformulier invullen of de benodigde informatie aanleveren.

Verantwoordelijk voor:

• Controleer verwerkersovereenkomsten en beveiligingsbijlagen.
• Registreer de verwerkingen in het verwerkingsregister.
• Beoordeel risico’s van leveranciers.
• Houd de Softwarecheckpagina actueel.
• Adviseer het CvB over DPIA.

Taken: (dit moet je doen)

• Controleren – VWO & beveiligingsbijlagen

• Beoordelen – risico’s leveranciers

• Bijhouden – Softwarecheckpagina

• Adviseren – CvB over DPIA

Verantwoordelijk voor:

• Is eindverantwoordelijk.
• Keurt overeenkomsten goed na beoordeling risico’s en maatregelen