Logo Optimus Def

voor elkaar!

home
p
Informatie beveiliging
E
Startpagina
E
Optimus Onderwijs & Informatie beveiliging
E
Optimus onderwijs & Privacy (AVG)

Datalek..?

Ook bij twijfel, gewoon even melden.

Ook al doe je nog zo goed je best… het kan altijd een keer gebeuren. Ook bij twijfel gewoon even melden door op de groene knop hieronder te klikken.

 

Datalek melden
thema kalender
actueel
avg nieuwsbrief
avg team

Informatie classificatie

Dit onderwerp valt onder het IBP domein 9: Datamanagement en geeft invulling aan deze IBP- normen:

Waar gaat dit over? (Scope)

Dit onderwerp gaat over: Het indelen van informatie in klassen (Openbaar, Intern, Vertrouwelijk) en daarnaar handelen: wie mag het zien, hoe slaan we het op, hoe delen/vernietigen we het. Elk informatie-onderdeel heeft een eigenaar. Niet geclassificeerd = Intern. Minimaal jaarlijks herzien of bij relevante veranderingen.

 

Wat valt binnen de Scope:

  • Alle informatievormen: digitaal (documenten, e-mail, systemen), papier (dossiers/afdrukken), én mondeling/visueel (overleggen, presentaties)

  • Persoonsgegevens en gevoelige info (leerling, ouder, medewerker), financiële/strategische stukken, beveiligings- en continuïteitsinformatie.

  • Informatiecontainers: Teams/SharePoint-sites en -bibliotheken, Google-Drive-mappen, ParnasSys-overzichten, gedeelde mailboxen/kanalen.

    • Regel: staan in één container documenten met verschillende klassen, dan geldt voor de hele container het hoogste niveau (toegang, delen, opslag).

    • Voorkeur: zet Vertrouwelijk in een aparte bibliotheek/kanaal.

    • Default: geen label = Intern.

Wat valt buiten de Scope:

  • Algemeen onderwijsmateriaal en interne communicatie zónder vertrouwelijke of privacygevoelige info. (Tenzij aanvullende richtlijnen anders bepalen.)

  • Publieke informatie in conceptfase: is nog niet openbaar → behandelen volgens toepasselijke (hogere) klasse.

🐴 Ezelsbruggetje

🧭 Ezelsbrug: Twijfel = Intern. Bevat het persoonsgegevens of zou openbaarmaking schade doen? → Vertrouwelijk

🧭 Ezelsbrug – wie doet wat?

  • Jij maakt iets? → classificeer (twijfel = Intern) en handel ernaar.
  • Domeinbeheerder → borg rechten & hoogste klasse in de container.
  • ICT/Facilitair → techniek & papier op orde (labels/DLP/retentie & archief/vernietiging).
  • PSO → advies/toezicht/escalatie.
  • CvB → beleid/uitzonderingen/ restrisico’s.
ProcesScope (aanpak)

  • Classificeren per item: Openbaar / Intern / Vertrouwelijk (op basis van gevoeligheid)

  • Eigenaar vastleggen; opsteller is eigenaar als er geen expliciete eigenaar is.

  • Labelen & omgaan volgens richtlijnen voor distributie, opslag, en afvoer/vernietiging.

  • Toets & borg: controle door domeinbeheerders in opdracht van PSO; CvB keurt beleid en jaarlijkse herziening

Speerpunten

  • We werken met 3 klassen: Openbaar, Intern, Vertrouwelijk.
  • Elke medewerker moet informatie correct classificeren.
  • Informatie zonder label = automatisch ‘intern’
  • Informatie moet juist gelabeld én beveiligd worden.
  • De eigenaar bepaalt de classificatie en bewaakt de juiste omgang.

Rollen, taken en verantwoordelijkheden

Hieronder zie je wie wat doet bij de uitvoering van dit onderdeel. Klik op de rol om deze open te klappen.

Medewerker (opsteller/gebruiker)

Verantwoordelijk voor

  • Classificeren bij aanmaak (Openbaar / Intern / Vertrouwelijk) en zo handelen.

  • Juist opslaan/delen; geen downgraden zonder akkoord eigenaar.

Taken: (dit moet je doen)

  • Label toevoegen (kopregel of gevoeligheidslabel) en juiste container kiezen.
  • Delen volgens klasse (geen externe deling zonder akkoord).
  • Afvoeren/vernietigen volgens richtlijnen; twijfel → PSO vragen.
Domeinbeheerder (functioneel beheer per team/site/map)

Verantwoordelijk voor:

  • Juiste inrichting per container (Teams/SharePoint/Drive/ParnasSys) volgens hoogste aanwezige klasse.

  • Toegangsbeheer: alleen need-to-know.

Taken: (dit moet je doen)

  • Lidmaatschappen/rechten beheren; externe deling uit waar Vertrouwelijk voorkomt.

  • Voor Vertrouwelijk aparte bibliotheek/kanaal aanbieden.

  • Periodieke permissie-review; verkeerd geplaatste info verplaatsen of melden.

ICT- en Facilitaire dienstverlening

Verantwoordelijk voor:

  • Technische én fysieke borging van classificatie-regels.

Taken: (ICT) (Dit moet je doen)

  • Inrichten gevoeligheidslabels, DLP/versleuteling, sharing/CA-policies, bewaartermijnen.

  • Standaardlocaties/templates aanbieden (Intern vs Vertrouwelijk).

  • Monitoring/logging; misconfiguraties herstellen; support aan domeinbeheerders.

Taken: (Facilitair) (Dit moet je doen)

  • Fysieke opslag (sluitbare kasten/archief), vernietiging organiseren met bewijs van vernietiging.

  • Clean-desk/printbeleid ondersteunen; contracten met vernietigingspartij beheren.

Privacy- en Security Officer

Verantwoordelijk voor:

  • Beleid, advies en toezicht; escalaties bij (hoog) risico.

Taken (dit moet je doen)

  • Richtlijnen/voorbeelden beheren; vragen en twijfelgevallen beoordelen.

  • Steekproeven op label/deling/opslag/afvoer.

  • Bij bijzondere persoonsgegevens of grote impact: aanvullende maatregelen/DPIA adviseren.

  • Jaarlijkse rapportage aan CvB (naleving & verbeterpunten).

College van Bestuur

Verantwoordelijk voor:

  • Vaststellen beleid en acceptatie restrisico’s.

Taken: (dit moet je weten)

  • Beleid/uitzonderingen besluiten; middelen en prioriteit borgen.

  • Jaarlijkse PSO-rapportage behandelen; acties uitzetten

Documentatie

Klik op hieronder voor toegang tot het materiaal:

Deze documenten hebben een informatieclassificatie intern of vertrouwelijk. Toegang wordt gegeven op aanvraag.