Ontdek de Kracht van Veilig Digitaal Onderwijs
Informatie Beveiliging Privacy Optimus Onderwijs
Speerpunten
- Risico’s worden beoordeeld op kans × impact.
- Elk risico heeft een verantwoordelijke.
- Risicoklasse bepaalt of actie nodig is.
- Hoge risico’s vragen om directe maatregelen.
- Jaarlijkse herbeoordeling verplicht.
Informatie
Dit onderwerp gaat over het vaststellen en behandelen van risico’s met mogelijke grote impact op onze digitale infrastructuur en vertrouwelijke (gevoelige/bijzondere) persoonsgegevens.
Wat valt binnen de Scope:
-
Kerninfrastructuur: netwerk/wifi, internet, identity & toegang (HelloID/Azure AD), centrale configuraties.
-
Digitale middelen, gegevens en leveranciers: systemen en data (incl. vertrouwelijke/ bijzondere persoonsgegevens) en koppelingen/ API’s met middel/hoog risico.
Wat valt buiten de Scope:
- ARBO/BHV/gebouwveiligheid en andere niet-digitale (fysieke) risico’s.
-
Incidenten/storingen op één werkplek zonder ketenimpact → servicedesk/incidentmanagement.
-
Dagelijks gebruik en eigen, risicoloze instellingen (wifi-code invoeren, lettertype, eigen mappen).
-
Kleine werkplekhandelingen zonder ketenimpact (printer kiezen, beamer aansluiten, lokale driver).
- Standaard beheer/incidenten: wachtwoord/2FA-reset, account deblokkeren, licentie toewijzen binnen bundel, 1-op-1 devicevervanging, patches binnen patchbeleid.
🐴 Ezelsbruggetje
Raakt het kerninfrastructuur of (bijzondere) persoonsgegevens, of heeft het impact op meerdere teams/scholen/systemen → valt onder deze scope. Anders: servicedesk/standaardproces.
ProcesScope (aanpak)
-
Risico’s identificeren, scoren (kans × impact) en registreren.
-
Risico-eigenaar toekennen.
-
Maatregelen kiezen: vermijden, verminderen, overdragen (bijv. verzekering) of accepteren.
-
Hoge risico’s direct behandelen: maatregelen + plan van aanpak + rapportage.
-
Jaarlijkse herbeoordeling; CvB besluit en accepteert (rest)risico’s.
Rollen, verantwoordelijkheden en taken
Alle medewerkers
Verantwoordelijk voor:
- Bij signaleren van nieuwe risico’s deze delen met de facilitaire dienst en/of ICT-dienstverlening.
- Zo nodig bijdragen aan de beoordeling van kans en impact van een risco.
Taken: (dit moet je doen)
Voor medewerkers zijn geen specifieke taken vastgelegd.
ICT- coördinator en facilitaire diensten
Verantwoordelijk voor:
- Draagt verantwoordelijkheid voor het specifieke risico.
- Beoordeelt risico’s en komt indien nodig met mitigerende maatregelen.
- Informeert de Privacy- Security Officer bij een middel of hoog risico.
- Houdt de risico’s actueel.
Taken: (dit moet je doen)
- Informeer de Privacy Security officer.
- Bespreek samen het risico op basis van kans en impact.
- Bij een hoogrisico stel passende maatregelen in, denk aan:
- Extra beveiligingsmaatregel toepassen.
- Overdragen aan externe partij (bijv. via verzekering)
- Risico vermijden (activiteit stoppen)
Privacy- en Security Officer
Verantwoordelijk voor:
- Ondersteunt bij een hoog risico het hele proces van risicoanalyse en -behandeling.
- Beheert risicobeoordelingstabel, -behandelingstabel en rapportages.
- Stelt het behandelingsplan op en rapporteert hierover aan het CvB.
Taken: (dit moet je doen)
-
Meewerken aan de risicoanalyse bij hoog risico.
-
Risicotabellen en rapportages bijhouden.
-
Indien nodig plan van aanpak maken en delen met het CvB.
College van bestuur
Verantwoordelijkheden:
- Accepteert resterende risico’s via Verklaring van Toepasselijkheid.
- Keurt behandelingsplannen goed.
Taken: (dit moet je doen)
Voor de CvB zijn geen afzonderlijke taken vastgelegd.