voor elkaar!

Dit onderwerp gaat over het vaststellen en behandelen van risico’s met mogelijke grote impact op onze digitale infrastructuur en vertrouwelijke (gevoelige/bijzondere) persoonsgegevens.

Dit onderwerp gaat over het vaststellen en behandelen van risico’s met mogelijke grote impact op onze digitale infrastructuur en vertrouwelijke (gevoelige/bijzondere) persoonsgegevens.

• Risico’s worden beoordeeld op kans × impact.
• Elk risico heeft een verantwoordelijke.
• Risicoklasse bepaalt of actie nodig is.
• Hoge risico’s vragen om directe maatregelen.
• Jaarlijkse herbeoordeling verplicht.

• Kerninfrastructuur: netwerk/wifi, internet, identity & toegang (HelloID/Azure AD), centrale configuraties.

• Digitale middelen, gegevens en leveranciers: systemen en data (incl. vertrouwelijke/ bijzondere persoonsgegevens) en koppelingen/ API’s met middel/hoog risico.

• ARBO/BHV/gebouwveiligheid en andere niet-digitale (fysieke) risico’s.

• Incidenten/storingen op één werkplek zonder ketenimpact → servicedesk/incidentmanagement.

• Dagelijks gebruik en eigen, risicoloze instellingen (wifi-code invoeren, lettertype, eigen mappen).

• Kleine werkplekhandelingen zonder ketenimpact (printer kiezen, beamer aansluiten, lokale driver).

• Standaard beheer/incidenten: wachtwoord/2FA-reset, account deblokkeren, licentie toewijzen binnen bundel, 1-op-1 devicevervanging, patches binnen patchbeleid.

• Risico’s identificeren, scoren (kans × impact) en registreren.

• Risico-eigenaar toekennen.

• Maatregelen kiezen: vermijden, verminderen, overdragen (bijv. verzekering) of accepteren.

• Hoge risico’s direct behandelen: maatregelen + plan van aanpak + rapportage.

• Jaarlijkse herbeoordeling; CvB besluit en accepteert (rest)risico’s.

Raakt het kerninfrastructuur of (bijzondere) persoonsgegevens, of heeft het impact op meerdere teams/scholen/systemen → valt onder deze scope. Anders: servicedesk/standaardproces.

Verantwoordelijk voor:

• Bij signaleren van nieuwe risico’s deze delen met de facilitaire dienst en/of ICT-dienstverlening.
• Zo nodig bijdragen aan de beoordeling van kans en impact van een risco.

Taken: (dit moet je doen)

Voor medewerkers zijn geen specifieke taken vastgelegd.

 Verantwoordelijk voor:

• Draagt verantwoordelijkheid voor het specifieke risico.
• Beoordeelt risico’s en komt indien nodig met mitigerende maatregelen.
• Informeert de Privacy- Security Officer bij een middel of hoog risico.
• Houdt de risico’s actueel.

Taken: (dit moet je doen)

Verantwoordelijk voor:

• Ondersteunt bij een hoog risico het hele proces van risicoanalyse en -behandeling.
• Beheert risicobeoordelingstabel, -behandelingstabel en rapportages.
• Stelt het behandelingsplan op en rapporteert hierover aan het CvB.

Taken: (dit moet je doen)

• Meewerken aan de risicoanalyse bij hoog risico.

• Risicotabellen en rapportages bijhouden.

• Indien nodig plan van aanpak maken en delen met het CvB.

Verantwoordelijkheden:

• Accepteert resterende risico’s via Verklaring van Toepasselijkheid.
• Keurt behandelingsplannen goed.

Taken: (dit moet je doen)
Voor de CvB zijn geen afzonderlijke taken vastgelegd.