Views
6 months ago

170904_IBP_beleid INOS

eleidsnotitie

eleidsnotitie IBP INOS versie 1.5 september 2017 • strategisch niveau richtinggevend wordt gesproken over organisatie en compliance, alsmede over doelen, scope en ambitie op het gebied van IBP. • tactisch niveau wordt de strategie vertaald naar plannen, te hanteren normen, evaluatiemethoden, e.d. Deze plannen en instrumenten zijn sturend voor de uitvoering. • operationeel niveau worden de onderwerpen besproken die de dagelijkse bedrijfsvoering (uitvoering) aangaan. Deze overlegvorm wordt decentraal georganiseerd, en indien nodig in elk organisatieonderdeel van INOS. 6.1 Voorlichting en bewustzijn Beleid en maatregelen zijn niet voldoende om risico’s op het terrein van informatiebeveiliging en privacy uit te sluiten. In de praktijk blijkt de mens meestal de belangrijkste speler. Daarom wordt bij INOS het bewustzijn van de individuele medewerkers voortdurend aangescherpt, zodat de kennis van risico’s wordt verhoogd en veilig en verantwoord gedrag wordt aangemoedigd. Onderdeel van het beleid zijn de regelmatig terugkerende bewustwordingscampagnes voor medewerkers, deelnemers en gasten. Verhoging van het beveiligingsbewustzijn is een verantwoordelijkheid van de beleidsadviseur IBP (centraal) en de IBP coördinator en directeur (op schoolniveau) met het College van Bestuur als eindverantwoordelijke. 6.2 Classificatie en risicoanalyse Bij INOS heeft alle informatie waarde, daarom worden alle gegevens waarop dit beleid van toepassing is, geclassificeerd. Het niveau van de beveiligingsmaatregelen is afhankelijk van de classificatie. De classificatie van informatie is afhankelijk van de gegevens in het informatiesysteem en wordt bepaald op basis van risicoanalyses. Daarbij zijn beschikbaarheid, integriteit en vertrouwelijkheid de kwaliteitsaspecten die van belang voor de informatievoorziening. 6.3 Incidenten en datalekken Alle incidenten worden gemeld bij de beleidsadviseur IBP. Op schoolniveau is de directeur als IBP verantwoordelijke het eerste aanspreekpunt m.b.t. incidenten en mogelijke datalekken. De afhandeling van deze incidenten volgt een gestructureerd proces, dat ook voorziet in de juiste stappen rondom de meldplicht datalekken (zie protocol Datalekken INOS). 6.4 Controle, naleving en sancties De naleving bestaat uit algemeen toezicht op de dagelijkse praktijk van het IBP proces. Van belang hierbij is dat leidinggevenden hun verantwoordelijkheid nemen en hun medewerkers aanspreken in geval van tekortkomingen. Bij INOS wordt actief aandacht besteed aan IBP bij de aanstelling, tijdens functioneringsgesprekken, met een instelling brede gedragscode, met periodieke bewustwordingscampagnes, et cetera. Voor de bevordering van de naleving van de Wet bescherming persoonsgegevens vervult de Functionaris voor Gegevensbescherming (FG) een belangrijke rol. De FG wordt aangesteld door het College van Bestuur, en heeft een wettelijk omschreven en onafhankelijke toezichthoudende taak. De FG werkt via een door het CvB vast te stellen reglement. Mocht de naleving ernstig tekort schieten, dan kan INOS de betrokken verantwoordelijke medewerkers een sanctie op leggen, binnen de kaders van de CAO en de wettelijke mogelijkheden. Bij INOS is het melden van beveiligingsincidenten en datalekken vastgelegd in het protocol Datalekken INOS. Pagina 8 van 10

Bijlage 1: Tabel IBP rollen en taken beleidsnotitie IBP INOS versie 1.5 september 2017 Rollen (eind)verantwoordelijke Functionaris Gegevensbescherming Beleidsadviseur IBP leidinggevende Medewerker Verantwoordelijkheid / taken Het College van Bestuur is (eind)verantwoordelijk voor: • IBP-beleidsvorming, -vastlegging en het uitdragen ervan; • het zorgvuldig en rechtmatig verwerken van persoonsgegevens; • het evalueren van de toepassing en werking van het IBP-beleid op basis van rapportages; • het realiseren en vaststellen reglement Functionaris Gegevensbescherming. De functionaris voor gegevensbescherming (FG) voert regie en houdt binnen INOS toezicht op het IBP beleid met als uitgangspunt toepassing en naleving van de Algemene Verordening Gegevensbescherming AVG). De FG: • houdt toezicht op de naleving van de privacy wet- en regelgeving; • is verantwoordelijk en ziet toe op het afhandelen van vertrouwelijke informatiebeveiligingsincidenten • Richtlijnen, kaders vaststellen en aanbevelingen doen t.b.v. verbeterde bescherming van verwerkingen van persoonsgegevens samen met beleidsadviseur IBP. • Evalueren IBP-beleid en maatregelen • Onderhouden relevante externe contacten/netwerken. Beleidsadviseur IBP geeft praktische invulling aan IBP beleid en de daarbij bovenschools belegde taken. • opstellen beleidsdocumenten, aanpassen documentatie • verzamelen van informatie en onderhouden van externe contacten/netwerken m.b.t. IBP. • controle op en assistentie bij naleving, • voorlichting organiseren, • regelen en documenteren van bewerkersovereenkomsten. • Het beleid vertalen naar richtlijnen, procedures, maatregelen en documenten voor de gehele instelling • De uniformiteit bewaken binnen INOS • Het aanspreekpunt zijn voor incidenten op het gebied van informatiebeveiliging en privacy • Contactpersoon voor vragen en klachten m.b.t. IBP van betrokkenen. • De verdere afhandeling van incidenten binnen INOS coördineren • Adviseert bovenschools en schooldirecties over IBPIBP-planning en controle • Voorbereiden uitvoeren IBP-beleid, Classificatie/risicoanalyse De leidinggevende is verantwoordelijk voor het zorgvuldig en rechtmatig verwerken van persoonsgegevens binnen de instelling volgens vastgesteld beleid: • Verantwoordelijk voor uitvoering/naleving binnen de instelling van vastgesteld IBP beleid en bijbehorende afspraken. • Verantwoordelijk voor opnemen in en vertalen van IBP beleid naar school specifieke documenten. • Zorg dragen voor communicatie naar alle betrokkenen; er voor zorgen dat medewerkers op de hoogte zijn van het IBP-beleid en de consequenties ervan. • Toezien op de naleving van het IBP-beleid en de daarbij behorende processen, richtlijnen en procedures door de medewerkers. • Voorbeeldfunctie met positieve en actieve houding t.a.v. IBP-beleid. • Implementeren IBP-maatregelen. • periodiek het onderwerp informatiebeveiliging onder de aandacht te brengen in werkoverleggen, beoordelingen etc.; Alle medewerkers hebben verantwoordelijkheden, rechten en plichten met betrekking tot informatiebeveiliging en privacy in hun dagelijkse werkzaamheden. Deze verantwoordelijkheden zijn o.a. beschreven in o.a. de handreiking IBP en Mediagebruik. • Actief en bewust betrokken te zijn bij informatiebeveiliging en het bijbehorende beleid. • Het melden van mogelijke informatie beveiligingsincidenten • het doen van verbetervoorstellen • Voorbeeldgedrag m.b.t. IBP naar leerlingen en ouders. • Leerkrachten hebben in en buiten het primair proces structureel aandacht ter bevordering van Pagina 9 van 10

in onveilige handen
Strategisch BeleidsPlan 2010 2014 - Udens College
Wereldwijde Gedragscode Wereldwijde Gedragscode - American ...
rs_2013_richtsnoeren-beveiliging-persoonsgegevens
rs_2013_richtsnoeren-beveiliging-persoonsgegevens
Detentiecentrum Zeist Inspectierapport Doorlichting ... - Zembla
Het hemd van het lijf
MVO beleid - Vendrig Bedrijfskleding
Download de praktijkgids Sepsis - VMS
Jaardocument 2015 - Continuiteit in ontwikkeling
Een hele klus! - Isala Klinieken
privacy officer 2.0 - Mitopics
140605_jaardocument_wza_2013_def3
GroeneWelle Strategisch uitvoeringsplan 15-20 'Jouw brug naar het groene leven'
Stefan Goorhuis - Adviesrapport - Saxion Hogescholen
MEE Drenthe zet zich op de kaart MEE Drenthe zet zich op de kaart