beleidstekst

Categorie: Uncategorised Gepubliceerd: donderdag 24 mei 2018 Geschreven door hof van nassau

Beleidsverklaring Informatieveiligheid

Stafdienst

 
 
 
 
 
 
 
 
 
 
  1. Inleiding

Informatie en digitale middelen zijn belangrijke pijlers in de ondersteuning van het onderwijs. De stijgende digitalisering heeft als gevolg dat onderwijsinstellingen steeds meer gebruik maken van digitale middelen en systemen, zowel voor de administratie en het opvolgen van de leerlingen, het beheer van personeels- en andere gegevens als voor het lesgeven zelf. Deze informatie wordt niet enkel geregistreerd maar ook uitgewisseld/overgedragen met andere diensten (bv. Departement Onderwijs) en tussen systemen onderling. Dit bevordert enerzijds de efficiëntie van de eigen werking en de samenwerking met andere organisaties, maar anderzijds mogen we ook niet blind zijn voor een aantal risico’s.

De uitdagingen zijn groot. De aard van de dreigingen en risico’s op inbreuken wordt steeds complexer en het aantal steeds groter. Dit noopt tot adequate maatregelen voor de omgang met en bescherming van informatie -zowel analoog als digitaal, de middelen om deze informatie te verwerken en de locaties waar met deze informatie wordt omgegaan.

Het stijgend gebruik van internet en sociale media, de groeiende cybercriminaliteit en de toenemende media-aandacht rond incidenten, maakt dat mensen zich bewuster worden van hun privacy en de noodzaak om deze te beschermen. Bovendien verplicht wet- en regelgeving rond gegevensbescherming elke organisatie die persoonsgegevens verwerkt, aandacht te besteden aan een veilige omgang met deze gegevens. Leerlingen, medewerkers, ouders en andere betrokkenen hebben recht op een veilige omgeving waarbinnen hun gegevens zorgvuldig en correct worden verwerkt.

Het belang van informatieveiligheid wordt reeds langer onderkend in onze organisatie. BS Hof van Nassau zet dan ook in op de uitbouw, validatie, implementatie en communicatie van een informatieveiligheidsbeleid in al haar instellingen.

  1. Wat is informatieveiligheid

Samengevat kan je informatieveiligheid omschrijven als het beschermen van informatie en –systemen tegen

met het oog op

We spreken over informatie en –systemen in de ruime zin van het woord. Het spreekt vanzelf dat persoonsgegevens hier een onderdeel van zijn, die conform de wet- en regelgeving beschermd moeten worden. ‘Privacy’ is integraal onderdeel van informatiebeveiliging.

Informatieveiligheid is in de eerste plaats een organisatorisch vraagstuk. Het raakt de bedrijfsvoering en vraagt daarom om een organisatorische visie, focus en draagvlak. Het technisch luik heeft hierin natuurlijk een sterk karakter

Informatieveiligheid bevindt zich op het snijvlak van:

  1. Doel en reikwijdte

Doel van het beleid:

Het beleid is van toepassing op alle medewerkers, leerlingen/cursisten, ouders, bezoekers, tijdelijk personeel en andere personen betrokken bij de werking van onze instellingen.

Het beleid omvat de processen, onderliggende informatie en -systemen in de meest brede zin van het woord. Het raakt alle onderdelen van de organisatie van BS Hof van Nassau, zowel de fysieke locaties, de digitale systemen op interne en externe locaties als de analoge en digitale gegevensverzamelingen die gebruikt worden.

  1. Uitgangspunten

Debelangrijkstebeleidsuitgangspunten van het beleid:

  1. Organisatie

In het uitbouwen en implementeren van een informatieveiligheidsbeleid zijn verschillende rollen en verantwoordelijkheden te onderscheiden.

Eindverantwoordelijke: verantwoordelijk voor het uitwerken, uitdragen, implementeren, evalueren van en controle op het beleid binnen de instelling en het zorgvuldig en rechtmatig verwerken van persoonsgegevens

Informatieveiligheidsconsulent: verantwoordelijk voor het uitwerken van het centraal beleid en uitrollen naar het meso- en lokaal niveau (resp. de scholengroepen en onderwijsinstellingen). Geldt als centraal aanspreekpunt en biedt ondersteuning aan de aanspreekpunten van het meso- en lokaal niveau.

Functionaris voor de gegevensbescherming: ziet toe op de gegevensverwerkingen binnen de organisatie en is contactpersoon inzake verwerking en bescherming van persoonsgegevens.

Informatieveiligheidscel: orgaan waarbinnen de strategie, concrete aanpak, voortgang en knelpunten worden vastgelegd en beheerd.

Aanspreekpunt informatieveiligheid scholengroep: stuurt de implementatie van het informatieveiligheidsbeleid in de scholengroep en onderwijstellingen op lokaal niveau aan, is aanspreekpunt binnen de scholengroep en contactpersoon voor de directie, algemeen directeur en informatieveiligheidsconsulent/DPO

Aanspreekpunt informatieveiligheid in de onderwijsinstelling: neemt, samen met de directie, de implementatie van het informatieveiligheidsbeleid in de onderwijsinstelling op, is aanspreekpunt binnen de onderwijsinstelling en contactpersoon voor het aanspreekpunt informatieveiligheid van de scholengroep en de directie

Medewerker: verantwoordelijk voor het toepassen van de richtlijnen en procedures bij de dagelijkse werkzaamheden en het melden van incidenten.

Ook externe medewerkers/diensten die (tijdelijk) opdrachten voor het BS Hof van Nassauopnemen moeten de richtlijnen van het beleid naleven.

  1. Aanpak

Het GO! stelt een centraal informatieveiligheidsbeleid vast. De organisatie-brede focus krijgt een borging in een meerjarenplan; de gerealiseerde acties in een jaarverslag. Dit beleid en zijn uitrol worden centraal door de Raad van het GO! goedgekeurd.

Op niveau vanBS Hof van Nassau wordt een specifiek beleid vastgesteld voor de eigen context. De informatieveiligheidscel van BS Hof van Nassau geeft het beleid vorm en voert alle acties uit die horen bij een degelijk informatieveiligheids- en privacybeleid (o.a. uitvoeren van risico-analyse, gegevensbeschermingseffectbeoordeling, actieplannen, wettelijk verplichte instrumenten, incidentmelding- en registratie, -behandeling, melding, rapportage…).

Centraal in het beleid staat de risico-gebaseerde aanpak. Op basis van de risicoanalyse zal het niveau van de beveiligingsmaatregelen worden bepaald, rekening houdend met de classificatie van de gegevens. De centrale kwaliteitscriteria hierbij zijn beschikbaarheid, integriteit en vertrouwelijkheid.

De directie neemt een actieve rol en eigenaarschap op om dit beleid organisatorisch in te bedden, te implementeren en op te volgen. De aanpak krijgt een borging in een meerjarenplan; de gerealiseerde acties in een jaarlijkse rapportage.

Bij het uitwerken van het beleid wordt BS Hof van Nassau ook ondersteund door het aanspreekpunt informatieveiligheid van de scholengroep.

Er wordt binnen BS Hof van Nassau actief ingezet op bewustwording zodat veilig en correct omgaan met informatie, -systemen en digitale middelen een vanzelfsprekende attitude wordt. Kennis hierover wordt o.m. gerealiseerd via bewustwordingsacties, een gedragscode en specifieke richtlijnen.

Bovendien wordt voorzien in een procedure voor het melden van incidenten. Iedereen is hiervan op de hoogte zodat zo snel mogelijk de juiste oplossing voor het incident kan worden voorzien, dergelijke incidenten kunnen worden voorkomen. Ook vanuit incidentregistratie wordt verder aan bewustwording gewerkt.

De naleving bestaat uit algemeen toezicht op de dagelijkse praktijk van het proces. Leidinggevenden en proceseigenaren nemen hierin hun rol op en sturen medewerkers bij indien nodig. Regelmatige rapportage biedt input voor bijsturing en creëren van bewustwording.

Het informatieveiligheids- en privacybeleid wordt opgenomen in het kwaliteitsdenken van de organisatie. Het beleid wordt op regelmatige tijdstippen aan een kritische blik onderworpen en bijgestuurd waar nodig.

Doorheen het proces van uitwerken, implementeren, evalueren en bijsturen zal, waar nodig, met andere instanties en netwerken worden overlegd en samenwerkt.

Hits: 1213