Informatiebeveiligings- en privacy beleid 2018

 

 Tabitha Opleiding te Lutten

 

 

             

 Vastgesteld door

 

Versie

Datum

Naam

Functie

 

 

Bestuur Tabitha Opleiding o.l.v. Drs. W. Jurg

Voorzitter bestuur, Directeur

 

 

1           Het belang van informatiebeveiliging en privacy

 

Het onderwijs is in toenemende mate afhankelijk van informatie en ict. De hoeveelheid informatie, waaronder persoonsgegevens, neemt toe door o.a. ontwikkelingen als gepersonaliseerd leren met ict. Het is belangrijk om informatie goed te beschermen en veilig en verantwoord met persoonsgegevens om te gaan. De afhankelijkheid van ict en persoonsgegevens brengt nieuwe kwetsbaarheden en risico’s met zich mee. Het goed regelen van informatiebeveiliging en privacy (afgekort tot IBP) in een IBP-beleid is noodzakelijk om de gevolgen van deze risico’s tot een aanvaardbaar niveau te reduceren en de voortgang van het onderwijs en de bedrijfsvoering optimaal te kunnen waarborgen.

2           Toelichting informatiebeveiliging en privacy

 

2.1           Toelichting informatiebeveiliging

 

Onder informatiebeveiliging wordt verstaan het nemen en onderhouden van een hoeveelheid samenhangende maatregelen zodat de betrouwbaarheid van de informatievoorziening gegarandeerd kan worden. 

 

Informatiebeveiliging richt zich op de volgende aspecten:

 

·         Beschikbaarheid: de mate waarin gegevens en/of functionaliteiten beschikbaar zijn op de juiste momenten.

 

·         Integriteit: de mate waarin gegevens en/of functionaliteiten juist en volledig zijn.

 

·         Vertrouwelijkheid: de mate waarin de toegang tot gegevens en/of functionaliteiten beperkt is tot degenen die daartoe bevoegd zijn. 

  

Onvoldoende informatiebeveiliging kan leiden tot ongewenste risico’s in het onderwijsproces en bij de bedrijfsvoering van de instelling. Incidenten en inbreuken in deze processen kunnen leiden tot financiële schades en imagoverlies.

 

2.2           Toelichting privacy

 

Privacy gaat over persoonsgegevens. Persoonsgegevens moeten beschermd worden volgens de huidige wet- en regelgeving. Bescherming van de privacy regelt onder andere onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn hierbij alle gegevens die een natuurlijke persoon direct of indirect kunnen identificeren. Onder verwerking wordt elke handeling met betrekking tot persoonsgegevens verstaan. De wet noemt als voorbeelden van verwerking:

 

Het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.

 

2.3           Vervlechting informatiebeveiliging en privacy

 

Uit voorgaande blijkt dat informatiebeveiliging een belangrijke voorwaarde is voor privacy, terwijl omgekeerd de zorgvuldige omgang met persoonsgegevens noodzakelijk is voor informatiebeveiliging. Informatiebeveiliging en privacy staan naast elkaar en zijn van elkaar afhankelijk, en worden daarom samengevoegd tot één proces: IBP. Dit beleid, verder te benoemen als IBP-beleid, vormt de basis op informatiebeveiliging en privacy binnen Tabitha Opleiding.

 

3           Doel en reikwijdte

 

3.1           Doel

 

Informatiebeveiliging en privacy heeft de volgende doelen:

 

1. Het waarborgen van de continuïteit van het onderwijs en de bedrijfsvoering. 

 

2.  Het garanderen van de privacy van alle betrokkenen waarvan Tabitha Opleiding persoonsgegevens verwerkt, waaronder studenten en medewerkers.

 

3.  Beveiligings- en privacy-incidenten voorkomen en de eventuele gevolgen hiervan beperken.

 

Het informatiebeveiligings- en privacy beleid (IBP-beleid) is erop gericht om de kwaliteit van de verwerking van informatie en de beveiliging van persoonsgegevens te optimaliseren waarbij er een juiste balans moet zijn tussen privacy, functionaliteit en veiligheid. Het uitgangspunt is dat de persoonlijke levenssfeer van de betrokkene (o.a. medewerkers, studenten) wordt gerespecteerd en Tabitha Opleiding voldoet aan relevante wet- en regelgeving.

 

3.2           Reikwijdte

 

·         Het IBP-beleid binnen Tabitha Opleiding geldt voor alle medewerkers, studenten, (geregistreerde) bezoekers en externe relaties.

 

·         Het IBP-beleid heeft betrekking op het verwerken van persoonsgegevens van alle betrokkenen binnen Tabitha Opleiding, waaronder in ieder geval alle medewerkers, studenten, (geregistreerde) bezoekers en externe relaties, evenals op overige betrokkenen waarvan  Tabitha Opleidng persoonsgegevens verwerkt.

 

·         Het beleid geldt voor die toepassingen, die vallen onder de verantwoordelijkheid van Tabitha Opleiding. Hieronder valt tevens de gecontroleerde informatie, die door de school zelf is gegenereerd en wordt beheerd en de niet-gecontroleerde informatie waarop de school kan worden aangesproken. (b.v. uitspraken van medewerkers en studenten in discussies, op (persoonlijke pagina’s van) websites en of social media.)

 

·         Het IBP-beleid geldt voor de verwerking van persoonsgegevens, die plaatsvindt onder de verantwoordelijkheid van Tabitha Opleiding, evenals op de daaraan ten grondslag liggende documenten die in een bestand zijn opgenomen.

 

·       Het  IBP-beleid heeft binnen Tabitha Opleiding raakvlakken met:

 

o    Personeels- en organisatiebeleid; met als aandachtspunten in- en uitstroom van medewerkers.

 

o    IT-beleid; met als aandachtspunten aanschaf, beheer en gebruik van ict en (digitale) leermiddelen

 

o    Medezeggenschap van studenten en medewerkers.

 

4           Beleid – Hoe doen we dat?

 

Tabitha Opleiding hanteert de volgende uitgangspunten om de gestelde doelen van informatiebeveiliging en privacy te bereiken:  

 

1.       Het schoolbestuur van Tabitha Opleiding neemt de verantwoordelijkheid om ervoor te zorgen dat informatiebeveiliging en privacy geregeld wordt. Het bestuur is hierop aan te spreken en legt hier verantwoording over af. In termen van de wet is het bestuur de verwerkingsverantwoordelijke.

  

2.       Tabitha Opleiding voldoet aan alle relevante wet- en regelgeving.

 

 3.       Bij Tabitha Opleiding is de verwerking van persoonsgegevens altijd gekoppeld aan een specifiek doel en gebaseerd op één van de wettelijke grondslagen. Een goede balans tussen het belang van Tabitha Opleiding om persoonsgegevens te verwerken en het belang van betrokkene om in een vrije omgeving eigen keuzes te maken met betrekking tot het gebruik van zijn/haar persoonsgegevens is essentieel. Bij alle verwerkingen van persoonsgegevens op basis van toestemming kunnen betrokkenen ten alle tijden hun toestemming herzien.

 

 4.       Tabitha Opleiding zal alle betrokkenen helder en actief informeren over de verwerkingen van persoonsgegevens, die zowel direct als indirect zijn verkregen. Ook worden alle betrokkenen gewezen op hun rechten met betrekking tot informatie, inzage, verbetering, het wissen van gegevens, beperking van verwerking, en verzet.

 

 5.       Binnen Tabitha Opleiding is het veilig en betrouwbaar omgaan met informatie de verantwoordelijkheid van iedereen. Hierbij hoort niet alleen het actief bijdragen aan de veiligheid van geautomatiseerde systemen en de daarin opgeslagen informatie, maar ook van papieren documenten.

 6.       Tabitha Opleiding is als rechtspersoon eigenaar van de informatie die onder haar verantwoordelijkheid wordt geproduceerd. Daarnaast beheert de school informatie, waarvan het eigendom (auteursrecht) toebehoort aan derden. Medewerkers en studenten worden goed geïnformeerd over de regelgeving rondom het gebruik van informatie.

 7.       Tabitha Opleiding verwacht van alle medewerkers, studenten, (geregistreerde) bezoekers en externe relaties dat zij zich ‘fatsoenlijk’ gedragen met een eigen verantwoordelijkheid. Het is niet acceptabel dat door al dan niet opzettelijk gedrag onveilige situaties ontstaan die leiden tot schade en/of imagoverlies. Tabitha Opleiding heeft hiervoor een gedragscode geformuleerd, vastgesteld  en geïmplementeerd.

 8.       Informatiebeveiliging en privacy is bij Tabitha Opleiding een continu proces, waarbij regelmatig (minimaal jaarlijks) wordt geëvalueerd en wordt gekeken of aanpassing gewenst is.

 9.       Tabitha Opleiding neemt passende technische (beveiligings-)maatregelen om persoonsgegevens en overige data te beschermen tegen de risico’s, die de voortgang van het onderwijs, de privacy en de bedrijfsvoering kunnen verstoren.

 

10.    Tabitha Opleiding zal alle beveiligingsincidenten vastleggen en datalekken volgens een vast protocol afhandelen en melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen

      

5           Uitwerking van het beleid – Wat doen we?

 

Dit hoofdstuk geeft een praktische invulling van bovenstaande beleidspunten en is daarmee de minimale invulling van het beleid.

 

5.1           Relevante wet- en regelgeving         

 

De uitwerking van het beleid voldoet aan alle van toepassing zijnde relevante wet- en regelgeving, waaronder:

 

  • Wet bescherming persoonsgegevens (Wbp; tot 25 mei 2018)
  • Algemene Verordening Gegevensbescherming (AVG; vanaf 25 mei 2018)*
  • Archiefwet
  • Auteurswet
  • Wetboek van Strafrecht

 De internationale norm voor informatiebeveiliging NEN-ISO/IEC 27001 en 27002 (2015) is leidend voor de te nemen beveiligingsmaatregelen.

 

5.2           Basisregels bij het omgaan met persoonsgegevens

 

Bij het verwerken van persoonsgegevens zijn de wettelijke beginselen inzake verwerking persoonsgegevens (art.5 AVG) leidend. Deze zijn samengevat in de vijf vuistregels met betrekking tot de omgang met persoonsgegevens te weten:

 

1.       Doelbepaling en doelbinding: persoonsgegevens worden alleen gebruikt voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Deze doeleinden zijn concreet en voorafgaand aan de verwerking vastgesteld. Persoonsgegevens worden niet verder verwerkt op een manier die onverenigbaar is met de doelen waarvoor ze zijn verkregen.

 

 2.       Grondslag: verwerking van persoonsgegevens is gebaseerd op een van de zes wettelijke grondslagen.

 

 3.       Dataminimalisatie: bij de verwerking van persoonsgegevens blijft de hoeveelheid en het soort gegevens beperkt: het type persoonsgegevens moet redelijkerwijs nodig zijn om het doel te bereiken; ze staan in verhouding staan tot het doel (proportioneel). Het doel kan niet met minder, alternatieve of andere gegevens worden bereikt (subsidiar). Dit betekent ook dat data niet langer wordt bewaard dan noodzakelijk. 

 

 4.       Transparantie: de school legt aan betrokkenen (studenten en medewerkers) op transparante wijze verantwoording af over het gebruik van hun persoonsgegevens, alsmede over het gevoerde IBP-beleid. Deze informatievoorziening vindt ongevraagd plaats. Daarnaast hebben betrokkenen recht op verbetering, aanvulling, verwijdering of afscherming van hun persoonsgegevens. Tevens kunnen betrokkenen zich verzetten tegen het gebruik van hun gegevens.

 

 5.       Data-integriteit: er zijn maatregelen getroffen om te waarborgen dat de te verwerken persoonsgegevens juist en actueel zijn.

 

5.3           Ondersteunende richtlijnen en procedures

 

Diverse aanvullende beleidsstukken, richtlijnen, procedures en protocollen geven invulling aan de uitwerking van het beleid. Bijlage 1 geeft een overzicht van de diverse aanvullende beleidsstukken, richtlijnen, procedures en protocollen. Daarnaast worden alle verwerkingen van persoonsgegevens vastgelegd en up-to-date gehouden in een dataregister.

 

5.4           Voorlichting en bewustzijn

 

Beleid en maatregelen zijn niet voldoende om risico’s op het terrein van informatiebeveiliging en privacy uit te sluiten. De mens is hier een belangrijke factor. Daarom wordt het bewustzijn van de individuele medewerkers voortdurend aangescherpt, zodat de kennis van risico’s wordt verhoogd en veilig en verantwoord gedrag wordt aangemoedigd.

 

5.5           Incidenten en datalekken

 

Alle medewerkers, die een beveiligingsincident of datalek vermoeden dienen dit te melden. Het melden van beveiligingsincidenten en datalekken is vastgelegd in een protocol. De afhandeling van deze incidenten volgt een gestructureerd proces, dat ook voorziet in de juiste stappen rondom de meldplicht datalekken. Alle (beveiligings)incidenten worden vastgelegd in een incidentenregister. Alle (beveiligings)incidenten kunnen worden gemeld bij <mailbox/ helpdesk/ medewerker>.

 

Periodiek zullen de beveiligingsincidenten besproken worden en waar nodig aanvullende passende beleidsmaatregelen genomen worden.

 

5.6           Planning en controle

 

Dit IBP-beleid wordt minimaal elke twee jaar getoetst en bijgesteld door het bestuur. Hierbij wordt rekening gehouden met:

 

·         De status van de informatiebeveiliging als geheel (beleid, organisatie, risico’s);

 

·         de actuele geinventariseerde risico’s;

 

·         de effectiviteit van de genomen maatregelen en aantoonbare werking daarvan

 

Daarnaast kent Tabitha Opleiding een jaarlijkse planning en controle voor informatiebeveiliging en privacy. Dit is een periodiek evaluatieproces waarmee de inhoud en effectiviteit van het informatiebeveiligings- en privacybeleid wordt getoetst. Tevens worden hier actuele ontwikkelingen op het gebied van techniek, wet- en regelgeving et cetera meegenomen.

 

5.7           Naleving en sancties

 

De naleving bestaat uit algemeen toezicht in de dagelijkse praktijk op de naleving van beleid en richtlijnen. Van belang hierbij is dat leidinggevenden en proceseigenaren hun verantwoordelijkheid nemen en hun medewerkers aanspreken in geval van tekortkomingen. Er wordt actief aandacht besteed aan IBP bij de aanstelling, tijdens functioneringsgesprekken, met een instelling brede gedragscode.

 

Mocht de naleving van dit beleid ernstig tekort schieten, dan kan Tabitha Opleiding de betrokken verantwoordelijke medewerkers een sanctie op leggen binnen de kaders van de wettelijke mogelijkheden.

 

5.8           Richtingevend

 

  Eindverantwoordelijke

 

Het schoolbestuur / directie is eindverantwoordelijk voor IBP en stelt het beleid en de basismaatregelen op het gebied van informatiebeveiliging en privacy vast.

 

De toepassing en werking van het IBP-beleid wordt op basis van regelmatige rapportages geëvalueerd.

 

De inhoudelijke verantwoordelijkheid voor IBP is gemandateerd aan de manager IBP.   

 

 

Medewerker

 

Alle medewerkers hebben verantwoordelijkheid met betrekking tot informatiebeveiliging en privacy in hun dagelijkse werkzaamheden.

Tabitha Opleiding behandelt meldingen vertrouwelijk en verstrekt alleen informatie over beveiliging en privacy incidenten als dat noodzakelijk en relevant is voor de oplossing van een incident.