· Web viewDe ISO-normen 27001 en 27002 zijn een uitgangspunt voor de beveiliging van...

Toetsingskader Privacy (Pluscluster 7)

IBPDOC7

Toetsingskader Privacy (pluscluster 7)

Verantwoording

Bronnen:SURFaudit toetsingskaderStichting SURFFebruari 2015

Met dank aan:

Opdracht verstrekking door:Kennisnet / saMBO-ICT

AuteursLeo Bakker (Kennisnet)Ludo Cuijpers (Kennisnet)Axel Eissens (Kennisnet)Job Vos (Kennisnet)

Versie 2.0 juli 2016

Sommige rechten voorbehoudenHoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s) en uitgever van Kennisnet geen aansprakelijkheid voor eventuele fouten of onvolkomenheden.

Op teksten in deze publicatie rust mogelijk auteursrecht van derden. Dat betekent dat het niet is toegestaan om zonder voorafgaande toestemming van Kennisnet of saMBO-ict teksten uit deze publicatie over te nemen, te bewerken, of verder (digitaal) te verspreiden. De elders in het framework IBP gebruikte CC-BY licentie is op dit document niet van toepassing.

IBPDOC7, versie 2.0 Pagina 2 van 72


InhoudsopgaveVerantwoording.....................................................................................................................................................2

1. Inleiding....................................................................................................................................................5

1.1 Uitgangspunt is het Privacy Compliance kader......................................................................................5

1.2 Basis-privacy-principes, normen/statements en beheersmaatregelen.................................................6

1.3 Samenhang Informatiebeveiliging en Privacy........................................................................................7

1.4 Nieuwe Europese wetgeving: AVG........................................................................................................7

1.5 Toelichting op de hoofdstukken............................................................................................................8

1.6 Referentiearchitectuur..........................................................................................................................8

2. Compliance Privacy................................................................................................................................10

2.1 Algemeen............................................................................................................................................10

2.2 Clustering van statements...................................................................................................................10

2.3 Concrete beheersmaatregelen in het toetsingskader..........................................................................11

3. Toepassing toetsingskaders Informatiebeveiliging (cluster 1 t/m 6)......................................................12

3.1 Toelichting toetsingskader...................................................................................................................12

3.2 Clustering naar thema’s.......................................................................................................................12

3.3 Beveiliging van persoonsgegevens en ISO...........................................................................................13

3.4 Generieke statements (informatiebeveiliging)....................................................................................13

4. Toetsingskader Privacy...........................................................................................................................18

4.1 Beleid en organisatie...........................................................................................................................19

P.1: Privacy-beleid......................................................................................................................................19

P.2: Functionaris gegevensbescherming.....................................................................................................21

P.3: Doelbepaling, doelbinding, grondslag, grond bij minderjarigen en dataminimalisatie........................24

P.4: Registratieplicht...................................................................................................................................26

P.5: Bewaartermijnen.................................................................................................................................28

P.6: Verwerking t.b.v. onderzoek...............................................................................................................30

P.7: Verwerking van bijzondere persoonsgegevens...................................................................................32

P.8: Geautomatiseerde besluitvorming......................................................................................................34

P.9: Informatiebeveiliging...........................................................................................................................36

P.10: Bewerkersovereenkomsten.................................................................................................................38

4.2 Personeel, deelnemers en gasten........................................................................................................41

P.11: Transparantie privacy-beleid...............................................................................................................41

P.12: Informatieplicht verwerkingen............................................................................................................43

P.13: Rechten betrokkene............................................................................................................................45

P.14: Arbeidsvoorwaarden...........................................................................................................................47

P.15: Bewustzijn, opleiding en training ten aanzien van privacy..................................................................49

4.3 Ruimte en apparatuur.........................................................................................................................51

P.16: Verwijderen van persoonsgegevens........................................................................................................51

4.4 Vertrouwelijkheid en integriteit..........................................................................................................53



P.17: Datakwaliteit.......................................................................................................................................53

P.18: Datalek................................................................................................................................................55

P.19: Toegang tot bijzondere persoonsgegevens.........................................................................................57

4.5 Controle en Logging.............................................................................................................................59

P.20: Privacy in informatiesystemen............................................................................................................59

P.21: Gegevensbeschermingseffectbeoordeling...........................................................................................61

P.22: Naleving van privacy beleid en –normen.............................................................................................63

P.23: Rapportage van privacy-gebeurtenissen.............................................................................................65

P.24: Gebeurtenissen registeren......................................................................................................................67

Bijlage 1: Framework informatiebeveiliging en privacy in het mbo..................................................................69



1. Inleiding

1.1 Uitgangspunt is het Privacy Compliance kader1

Privacy is een thema dat door de digitalisering van de maatschappij en de populariteit van sociale media meer leeft dan ooit. Er wordt steeds meer informatie met elkaar gedeeld en dit roept vragen op over wat wel of niet verstandig is. Ook in het onderwijs is te merken dat ICT steeds vaker wordt ingezet in de klas, maar ook in het secundaire proces zoals bij de deelnemersadministratie. Het toenemend opslaan en verzamelen van informatie over deelnemers, maakt dat er ook meer aandacht moet zijn voor privacy en informatiebeveiliging. Willen onderwijsinstellingen2 in de toekomst gebruik blijven maken van gegevens, én willen deelnemers (en docenten) ook nog gegevens met instellingen blijven delen, dan moet er een perfect samenspel zijn tussen: 1. de interactie van deelnemers;2. de interactie met de betrokken partijen (zoals instellingen en hun leveranciers); 3. de gebruikte middelen (de gegevens).

Dit noemen we samen het digitale ecosysteem: partijen en middelen zijn van elkaar afhankelijk om in balans te komen. Bij een datalek, is er - spreekwoordelijk - sprake van vervuiling en een verstoring van die balans. Het lek moet worden gedicht, de vervuiling wordt zo veel mogelijk verwijderd, maatregelen worden genomen om herhaling te voorkomen en met betrokkenen wordt gebouwd aan het vertrouwen om te voorkomen dat een nieuw lek opnieuw plaatsvindt.

Het zorgvuldig omgaan met gegevens is (wettelijk) de verantwoordelijkheid van onderwijsinstellingen zelf. Zij kunnen dit niet afwentelen op bijvoorbeeld hun leveranciers. Door het toegenomen gebruik van ICT in het onderwijs, en de toenemende mogelijkheden daarvan, komt de noodzaak voor informatiebeveiligingsbeleid en privacy steeds vaker in beeld. De bescherming van privacy en daarmee samenhangende gegevens wordt steeds belangrijker voor mbo-instellingen.

1 Bron: Privacy Compliance kader (IBPDOC2B)2 Met instelling wordt de rechtspersoon bedoeld, concreet wordt deze vertegenwoordigd door de verantwoordelijke. Binnen het mbo zal dit de voorzitter van het College van Bestuur zijn.IBPDOC7, versie 2.0 Pagina 5 van 72


1.2 Basis privacy principes, normen/statements en beheersmaatregelen

In de publicatie “Privacy compliance kader” (IBPDOC2B) worden de uitgangspunten en principes van privacy beschreven. Daarin staat het doel van privacy centraal (het ‘wat’ en ‘waarom’). De manier om dat doel te bereiken (het ‘hoe’) wordt in dit document beschreven.

De beschreven principes uit het “Privacy compliance kader” zijn nu vertaald naar concretere normen voor onderwijsinstellingen. Algemene principes worden omgevormd tot praktische normen. Deze normen noemen we statements. Als de instelling aan deze statements voldoet, dan worden de ‘bovenliggende’ basis privacy principes nageleefd. De privacy statements zijn op de zelfde wijze vormgegeven als de statements uit het normenkader informatiebeveiliging. In dit toetsingskader staat bij ieder statement genoemd aan welk bovenliggend basis privacy principe wordt voldaan.

Een onderwijsinstelling kan op verschillende manieren voldoen aan de statements. Om dat op uniforme wijze meetbaar te maken, wordt er een evidence (bewijslast) gekoppeld aan ieder statement. Deze evidence bestaat uit maatregelen die een instelling in meer- of mindere mate genomen moet hebben om aan het statement te voldoen. In dit toetsingskader worden de maatregelen beheersmaatregelen genoemd.

De beheersmaatregelen worden ook onderverdeeld. Des te meer en zwaarder de beheersmaatregel, des beter voldoet de instelling aan het statement. En dus des te meer komt de onderwijsinstelling tegemoet aan het privacy principe. Deze onderverdeling van beheersmaatregelen is gelijk aan die bij de statements voor informatiebeveiliging. De niveaus worden volwassenheidsniveaus (maturity levels) genoemd.

Alle statements in dit toetsingskader, zijn in principe dus een afgeleide van de privacy principes die zijn opgenomen in het “Privacy compliance kader”. De beheersmaatregelen zijn bedoeld om te bewijzen dat wordt voldaan aan die statements. En dus dat de onderwijsinstelling voldoet aan de privacy principes.



1.3 Samenhang informatiebeveiliging en privacy Privacy is het topje van de, juridische, ijsberg. De samenhang tussen privacy en informatiebeveiliging kan wellicht d.m.v. een voorbeeld worden verduidelijkt.Het College van Bestuur van een mbo instelling wil graag de mogelijkheid laten onderzoeken om tijdens ziekte van een medewerker zijn/haar onderwijs gerelateerde mail te mogen gebruiken. De mail omgeving is eigendom van de mbo instelling.

Privacy beleid: Vanuit de privacy wetgeving is dit niet toegestaan. Een oplossing is om aan de OR een voorstel voor te leggen waarbij gegarandeerd wordt dat binnen de e-mail omgeving door de medewerker een map “Privé” wordt aangemaakt. Deze map zal nooit bekeken worden, ook niet tijdens langdurige ziekte van een medewerker. De overige e-mails mogen wel - onder strikte voorwaarden - bekeken worden. Als de OR (op basis van WOR, artikel 27, lid k) hiermee akkoord gaat, dan kan dit beleid worden geeffectueerd. Vervolgens moeten er vanuit informatiebeveiligingsaspecten enkele dingen geregeld worden:

Beleid: Er moet een beleid “e-mail inzage” worden voorgelegd aan de OR en na instemming is dit een aanvulling op de arbeidsovereenkomst.Personeel: Personeel en externen moeten worden geïnformeerde en eventueel getraind.Toegang: De fysieke toegang tot de exchange server (e-mail) moet goed geregeld zijn om de privacy te waarborgen.Continuïteit: Tijdens grote verstoringen moet de e-mail omgeving veilig opgeslagen zijn en eventueel d.m.v. een back up teruggeplaatst

worden.Applicaties: De toegang tot de e-mail omgeving (applicatie toegang) is alleen voorbehouden aan de eigenaar en in een noodsituatie aan de applicatie beheerder die toegang heeft en kan verschaffen tot de e-mail van een medewerker (behalve de Privé-map).Logging: De eigenaar van de e-mail moet te allen tijde kunnen controleren wie er toegang heeft gehad tot zijn e-mails. Ook moet hij kunnen controleren dat de Privé-map niet is bekeken.

En los van deze punten, moet de mailomgeving uiteraard ook voldoen aan overige weten regelgeving en informatiebeveiliging.

1.4 Nieuwe Europese wetgeving: AVGIn april 2016 heeft het Europees Parlement ingestemd met de Algemene Verordening Gegevensbescherming (AVG), in het Engels General Data Protection Regulation (GDPR) genoemd. Deze Europese verordening treedt vanaf 25 mei 2016 in werking, en is op 25 mei 2018 van toepassing in alle landen van de Europese Unie. Deze AVG vervangt (alle) nationale privacy wetgeving. Door de AVG zijn persoonsgegevens van alle EU-inwoners straks op dezelfde uniforme wijze beschermd, ongeacht of de data van die EU-burgers in Europa of in de Verenigde Staten wordt opgeslagen. De AVG stimuleert organisaties tot bewustere omgang met privacy; onder meer met de verplichting om risicoanalyses uit te voeren, bewuster toestemming te vragen of door een FG aan te stellen.

De periode tussen 25 mei 2016 en 25 mei 2018 geeft organisaties de tijd en gelegenheid om te kunnen voldoen aan de AVG. Vanwege de inwerkingtreding in 2016, moeten organisaties zich al wel aan de AVG-bepalingen houden indien dat voor 2018 al mogelijk is.

Vanuit het oogpunt dat onderwijsinstellingen privacy bewustere organisaties moeten worden, betekent de AVG op hoofdlijnen dat de baseline voor beheersmaatregelen gemiddeld hoger zal komen te liggen. Vooralsnog kan niet gesteld worden dat alle statements en beheersmaatregelen aan level 4 (maatregelen geborgd in PDCA-cyclus) zouden moeten voldoen, terwijl dat uiteraard wel een goede ambitie is.



Dit toetsingskader gaat uit van de vastgestelde Nederlandse vertaling van de AVG zoals opgenomen in het Publicatieblad van de Europese Unie van 4 mei 2016. De officiële benaming is “Verordening EU 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)3.

Bij de Nederlandse tekst van de AVG dient een belangrijke kanttekening te worden geplaatst. In deze tekst wordt de verantwoordelijke de verwerkingsverantwoordelijke genoemd, en de bewerker wordt als verwerker aangeduid. Deze vertalingen worden ook al gebruikt in de Richtlijn 95/46/EG, terwijl in de Nederlandse wetgeving de benamingen verantwoordelijke en bewerker worden aangehouden. Naar verluid is dit verschil te verklaren doordat een Vlaamse vertaler de Engelse teksten heeft vertaald. Vooralsnog wordt in dit document de huidige wettelijke benaming aangehouden: verantwoordelijke en bewerker.

1.5 Toelichting op de hoofdstukkenHoofdstuk 2 gaat in op de “compliance privacy”, waarbij toegelicht wordt hoe de statements uit het generieke en compliance kader toegepast worden binnen het Toetsingskader privacy mbo.

Hoofdstuk 3 geeft een opsomming, per cluster (1 t/m 6), van gebruikte statements uit het toetsingskader Informatiebeveiliging (IBPDOC3) die relevant zijn in het kader van privacy compliance. Dit zijn dus beheersmaatregelen gericht op informatiebeveiliging, die ook relevant zijn om privacy goed te regelen.

Hoofdstuk 4 geeft een opsomming van de aanvullende privacy statements (cluster 7).

1.6 ReferentiearchitectuurPrivacy beleid bestaat niet alleen uit afspraken binnen in onderwijsinstelling maar het betreft ook afspraken met personen en instellingen buiten de onderwijsinstelling. Informatie wordt volop gedeeld met overheidsinstellingen, toeleverende scholen, stagebedrijven en, uiteraard, met deelnemers en ouders. Goede afspraken op het gebied van informatiebeveiliging en privacy zijn dan ook essentieel. De referentiearchitectuur beschrijft deze afspraken en geeft ze schematisch weer. Het onderstaande architectuurschema is terug te vinden het document ‘Mbo ibp architectuur IBPDOC4”.

A: mbo <-> Bron-DUOSpeerpunt: Onderwijsovereenkomst op basis van wet en regelgeving. Eveneens POK4 / BPVO5

B: mbo <-> Lokale overheidSpeerpunt: Bewerkersovereenkomst. Contracten Educatie.

C: mbo <-> VMBO en HBOSpeerpunt: regionale uitwisseling en aanmelding. Doorstroom

D: mbo <-> BedrijvenSpeerpunt: Praktijkovereenkomst.

E: mbo <-> LeveranciersSpeerpunt: Bewerkersovereenkomst. Leveranciers kunnen applicatie (al dan niet in de cloud) of educatieve content (al dan niet in de cloud) aanbieden.

F: mbo <-> Deelnemers / ouders

3 Officiële Nederlandse vertaling:http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=NLIBPDOC7, versie 2.0 Pagina 8 van 72

http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=NL


Speerpunt: DIGID

Deze architectuur principes zijn van belang om de risico’s op het gebied van privacy te mitigeren (beperken).De top 3 privacy risico’s zijn:

Ontstaan van datalekken; Ongewenste publicaties van zorgdossiers; Ongewenste publicaties van medewerkers dossiers (gesprekscyclus).

Omdat deze risico’s ook kunnen optreden bij externe partners aan wie wij onze (privacy gevoelige) data toevertrouwen is het dan ook noodzakelijk om goede ibp afspraken met leveranciers te maken in de vorm van bewerkersovereenkomsten en andere contractuele afspraken.Met andere woorden privacy is niet alleen een aandachtspunt binnen de mbo instelling, waar beleid, scholing en architectuur een oplossing bieden maar ook buiten de mbo instelling.

4 POK: Praktijkovereenkomst5 BPVO: Beroepspraktijkvorming OvereenkomstIBPDOC7, versie 2.0 Pagina 9 van 72


2. Compliance privacy

2.1 AlgemeenVanuit de overheid is er regelgeving op het gebied van privacy die ook voor het mbo van toepassing is. In deze weten regelgeving zijn zowel informatiebeveiligingsaspecten als specifieke privacy aspecten opgenomen. In samenwerking met SURF is van al deze aspecten een set van statements gemaakt.

Wat opvalt is dat veel van de vereiste informatiebeveiligingsaspecten terugkomen in de statements die in het algemene informatiebeveiligingskader dat is opgesteld vanuit de ISO norm 27001/2. In zijn algemeenheid kan dan ook gezegd worden dat allereerst de generieke informatiebeveiliging op orde moet zijn. Dit is geheel uitgewerkt in het betreffende toetsingskader informatiebeveiliging IBPDOC3. Voor het handhaven van de privacy zijn er echter een aantal van deze basisaspecten die meer aandacht behoeven of is er reden om een hoger niveau van het vervullen van de betreffende norm te overwegen. Deze subset van 38 statements is uit het algemene normenkader IB gelicht en in dit document bij de statements betreffende privacy weergegeven, voorzien van een toelichting over de relatie met privacy. Daar waar bij het algemene toetsingskader informatiebeveiliging wellicht een niveau 2 voldoende geacht wordt, is het in het kader van de privacy van belang om hier een hoger ambitieniveau aan de dag te leggen, bijvoorbeeld een niveau 3 of zelfs 4.

Maar naast deze statements op basis van het generieke informatiebeveiligingskader (gemeenschappelijk, zie afbeelding) is er ook behoefte aan een aanvullende set van statements opgesteld uit de betreffende weten regelgeving. Dit heeft aanleiding gegeven tot het opstellen van een compleet compliance kader privacy voor het mbo onderwijs. Dit is een veelomvattende en uitgebreide set geworden met 24 specifieke privacy statements die hierin zijn opgenomen. Deze statements komen niet of onvoldoende terug in het normenkader informatiebeveiliging, en zijn daarom opgenomen in een apart document: IBPDOC2b Compliance kader privacy voor het mbo. Dit juridisch normenkader, wat het in feite is, ligt ten grondslag aan het toetsingskader privacy dat in dit document wordt uitgewerkt.

2.2 Clustering van statementsIn het generieke toetsingskader Informatiebeveiliging wordt gebruik gemaakt van een specifieke clustering. Het gaat daarbij om 6 standaard clusters:

1. Beleid en organisatie2. Personeel, deelnemers en gasten3. Ruimte en apparatuur4. Continuïteit5. Toegangsbeveiliging en integriteit6. Controle en logging

Zoals aangegeven is uit de generieke set van informatiebeveiligingsstatement een 38-tal statements gehaald waarop in het kader van privacy sprake is van een verhoogd risico en er dus extra aandacht voor deze statements en de bijpassende maatregelen moet zijn In hoofdstuk 3 zijn deze statements weergegeven voorzien van een korte toelichting waarom deze in het toetsingskader privacy zijn opgenomen. IBPDOC7, versie 2.0 Pagina 10 van 72


De aanvullende statements op basis van weten regelgeving zijn weergegeven in hoofdstuk 4. Deze zijn eveneens gerangschikt naar dezelfde 6 clusters van het informatiebeveiligingsbeleid. Het betreft de complete set van statements uit het compliance kader privacy voor het mbo.

2.3 Concrete beheersmaatregelen in het toetsingskader Het compliance kader privacy is de basis voor het inrichten van de informatiebeveiliging omtrent de privacy en het is tevens de basis voor het voorliggende toetsingskader privacy. Door aan de statements uit het compliance kader privacy een korte beschrijving, alsmede de evidence toe te voegen is het toetsingskader privacy mbo ontstaan. De evidence wordt op vijf verschillende volwassenheidsniveau ’s weergegeven, net als bij het generieke toetsingskader Informatiebeveiliging.

Het toetsingskader privacy mbo is bedoeld om onderwijsinstellingen een kader en handvatten te bieden om de informatiebeveiliging rondom privacy te regelen. Door het hanteren van de verschillende niveaus kan er een beeld van de reële situatie gemaakt worden (het bereikte niveau), als mede een streef- of ambitie niveau waaraan de instelling in de (nabije) toekomst zou willen gaan voldoen. Dit kan ook onderdeel zijn van sector brede afspraken hierover.



3. Toepassing toetsingskaders informatiebeveiliging (cluster 1 t/m 6)

3.1 Toelichting toetsingskaderDe statements in het normen- en toetsingskader privacy bestaan uit statements vanuit het toetsingskader ibp mbo en statements vanuit het compliance kader privacy. In dit hoofdstuk zijn de statements weergegeven uit het generieke ibp toetsingskader met die aantekening dat die dus in het kader van de privacy extra aandacht behoeven.

3.2 Clustering naar thema’sHet toetsingskader ibp mbo bevat 85 statements, waarvan 38 heel direct gerelateerd zijn aan privacy, verdeeld over 6 clusters. De clustering is gebaseerd op een logische indeling die goed bruikbaar is voor het mbo-onderwijs. De clustering is tevens toegepast op de statements afkomstig van de wet en regelgeving privacy.

Schematische samenvatting clustering:

Cluster Onderwerpen (o.a.) Kwaliteitsaspecten BetrokkenenBeleid en OrganisatiePrivacy maakt gebruik van 11 van de 21 statements.

InformatiebeveiligingsbeleidClassificatieInrichten beheerCryptografie

BeschikbaarheidIntegriteitVertrouwelijkheidControleerbaarheid

College van bestuurDirecteuren

Personeel, deelnemers en gastenPrivacy maakt gebruik van 5 van de 7 statements.

InformatiebeveiligingsbeleidAanvullingen arbeidsovereenkomstScholing en bewustwording

VertrouwelijkheidIntegriteit

College van bestuurDienst HROndernemingsraad

Ruimte en ApparatuurPrivacy maakt gebruik van 2 van de 15 statements.

Beveiligen van hardware, devices en bekabeling

BeschikbaarheidVertrouwelijkheid

College van bestuurDienst ict of afdeling

ContinuïteitPrivacy maakt gebruik van 3 van de 15 statements.

Anti-virussen, back up, bedrijfscontinuïteit planning

Beschikbaarheid College van bestuurDienst ICT of afdelingfunctioneel beheer

Toegangsbeveiliging en IntegriteitPrivacy maakt gebruik van 13 van de 17 statements.

Gebruikersbeheer, wachtwoorden, online transacties, cryptografisch sleutelbeheer, validatie

IntegriteitVertrouwelijkheid

College van bestuurDienst ICT of afdeling functioneel beheer

Controle en loggingPrivacy maakt gebruik van 4 van de 10 statements.

Systeemacceptatie, loggen van gegevens, registreren van storingen, toetsen beleid

Controleerbaarheid College van bestuurStafmedewerker informatiebeveiligingKwaliteitszorg

Voor een afdoende risicobeheersing t.a.v. informatiebeveiliging en privacy binnen een onderwijsinstelling moeten alle 85 statements op orde zijn. Daarbij zou dan uitgegaan moeten worden van een volwassenheidsniveau 2 voor de maatregelen om aan het statement te voldoen. Dat wil zeggen opzet, bestaan en gedeeltelijke werking (een aantal collega’s werkt volgens de afspraak maar nog niet de gehele organisatie. Een aantal van de privacy gelieerde statements zou aan niveau 3 of 4 moeten voldoen, om de privacy risico’s te mitigeren.



3.3 Beveiliging van persoonsgegevens en ISO Het beveiligen van persoonsgegevens is een belangrijke randvoorwaarde. Door het College Bescherming Persoonsgegevens (de voorloper van de Autoriteit Persoonsgegevens) is in 2013 vastgesteld dat een risicoanalyse moet worden gemaakt van de verwerkte gegevens, en dat op basis van die analyse passende technische en organisatorische beveiligingsmaatregelen moet nemen om de persoonsgegevens te beveiligen. De ISO 27001 en ISO 27002 bieden volgens de AP een passend beschermingsniveau om persoonsgegevens te beveiligen. Deze ISO-normen sluiten dus voor informatiebeveiliging aan bij weten regelgeving (AVG). Dit betekent dat om te voldoen aan privacy wetgeving er ook voldaan moet worden aan de ISO-normen voor informatiebeveiliging. Het voldoen aan het bij het normenkader behorende “Toetsingskader voor informatiebeveiliging mbo” (IBPDOC 3), is dus relevant om te voldoen aan privacy weten regelgeving.

De ISO-normen 27001 en 27002 zijn een uitgangspunt voor de beveiliging van persoonsgegevens. Om privacy te waarborgen, moet op een aantal ISO-statements voldaan worden aan een bepaald beveiligingsniveau. Vertaald naar het Normenkader en Toetsingskader IBP, betekent dit dat aan bepaalde maturity-levels moet worden voldaan. In deze paragraaf wordt beschreven welke statements uit het Toetsingskader informatiebeveiliging (IBPDOC 3) moeten voldoen aan een minimum maturity-level. Het gaat hierbij dus om een subset van 38 statements uit de totale set van 85.

3.4 Generieke statements (informatiebeveiliging)Cluster beleid en organisatie

Nr. ISO27002 Statement

1.1 5.1.1.1

Beleidsregels voor informatiebeveiliging: Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd en goedgekeurd door het bestuurPrivacy toets: Hanteer als uitgangspunt IBPDOC6 Model informatiebeveiliging en privacy beleid voor de mbo sector. Indien gebruik wordt gemaakt van een eigen beleidsplan controleer dan de volgende onderdelen op aanwezigheid en juistheid:1. Inleiding2. Beleidsuitgangspunten en -principes informatiebeveiliging en privacy3. Classificatie4. Wet- en regelgeving5. Governance informatiebeveiligingsbeleid (waaronder aanstellen FG of privacy officer)6. Melding en afhandeling van incidenten

1.2 5.1.1.2

Beleidsregels voor informatiebeveiliging: Het door het bestuur vastgestelde Informatiebeveiligingsbeleid wordt gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.Privacy toets: onderzoek of er ook met externe partijen wordt gecommuniceerd over het informatiebeveiliging en privacy beleid van de mbo instelling.

1.6 6.2.1.1Beleid voor mobiele apparatuur: Er dient beleid te worden vastgesteld om de risico’s die het gebruik van mobiele apparatuur met zich meebrengt te beheren.Privacy toets: er is een beleid op het gebied van Bring Your Own Device (BYOD) en Bring Your Company Device (BYCD). Bovendien wordt dit beleid gecontroleerd.

1.7 8.2.1

Classificatie van informatie: Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.Privacy toets: er is een beleid waarin de uitgangspunten van de BIV classificatie worden beschreven. De classificatie wordt op Laag, Midden en Hoog niveau beschreven. De beheersmaatregelen worden eveneens op deze schaalverdeling beschreven. Deze classificatie wordt gebruikt en periodiek geëvalueerd, en is nodig voor het bepalen van de te nemen maatregelen om de privacy van betrokkenen te beschermen.

1.8 8.2.2 Informatie labelen: Om informatie te labelen behoort een passende reeks procedures te worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.Privacy toets: de mbo instelling moet kunnen aantonen dat de classificatie daadwerkelijk wordt toegepast. Te denken valt aan: Security architectuur document;



Documenten die voorzien zijn van een ‘stempel’ vertrouwelijk; Aanwezigheid van een vertrouwenspersoon; Aanvullende afspraken voor functioneel beheerders i.v.m. vertrouwelijkheid;Etc.



1.9 10.1.1.1Beleid inzake het gebruik van crypto grafische beheersmaatregelen: Ter bescherming van informatie behoort een beleid voor het gebruik van crypto grafische beheersmaatregelen te worden ontwikkeld.Privacy toets: Er is een beleid t.a.v. crypto grafische beheersmaatregelen.

1.10 10.1.1.2

Beleid inzake het gebruik van crypto grafische beheersmaatregelen: Ter bescherming van informatie zijn er tools of applicaties aanwezig waarmee het beleid voor het gebruik van crypto grafische beheersmaatregelen wordt geïmplementeerd.Privacy toets: de mbo instelling heeft een of meerder tools aangeschaft ihkv crypto grafische beheersmaatregelen.

1.15 15.1.2

Opnemen van beveiligingsaspecten in leveranciersovereenkomsten: Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt.Privacy toets: eisen worden opgenomen in SLA’s en (bijvoorbeeld) maandelijks teruggekoppeld in een SLR (Service Level Rapportage).

1.18 16.1.2Rapportage van informatiebeveiligingsgebeurtenissen: Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd.Privacy toets: er is een goede escalatie procedure beschikbaar.

1.19 18.1.3

Beschermen van registraties: Registraties behoren in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen te worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave.Privacy toets: er is een document met afgesproken bewaartermijnen binnen een mbo instelling. Er moet zich zijn op welke categorieën persoonsgegevens er worden verwerkt.

1.20 18.1.4

Privacy en bescherming van persoonsgegevens: Privacy en bescherming van persoonsgegevens behoren, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante weten regelgeving. Dit statement is de verbindende schakel tussen informatiebeveiliging en privacy. IB is een wettelijke eis om zorgvuldig met persoonsgegevens om te gaan.Privacy toets: privacy kan onderdeel zijn van het informatiebeveiligingsbeleid zoals opgenomen in statement 1.1.

Personeel, deelnemers en gasten


2.1 7.1.2

Arbeidsvoorwaarden: De contractuele overeenkomst met medewerkers en contractanten behoort hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie te vermelden.Privacy toets: geen aanvullende opmerkingen

2.2 7.2.2

Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging: Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.Privacy toets: geen aanvullende opmerkingen

2.3 9.2.6

Toegangsrechten intrekken of aanpassen: De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, en bij wijzigingen behoren ze te worden aangepast.Privacy toets: de autorisatie matrix is voor dit statement cruciaal. Met name de medewerkers dit uitdienst zijn getreden moeten worden ge-audit.

2.4 11.2.9

‘Clear desk’- en ‘clear screen’-beleid: Er behoort een ‘clear desk’-beleid voor papieren documenten en verwijderbare opslagmedia en een ‘clear screen’-beleid voor informatie verwerkende faciliteiten te worden ingesteld.Privacy toets: geen aanvullende opmerkingen

2.5 13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst: Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen, behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.Privacy toets: geheimhoudingsovereenkomst beoordelen. Onderzoek met name de deelnemersadministratie. T.a.v. de geheimhouding kan ook verwezen worden naar



de cao.



Ruimtes en apparatuur


3.1 6.2.1.2

Beleid voor mobiele apparatuur: Er dienen beveiligingsmaatregelen te worden vastgesteld om de risico’s die het gebruik van mobiele apparatuur met zich meebrengt te beperken.Privacy toets: een reglement notebooks (die eigendom zijn van de mbo instelling) is niet voldoende. Een AUP (Acceptable Use Policy), in het Nederlands “Verantwoord Gebruik”, is noodzakelijk, immers alle medewerkers thuis op hun eigen device inloggen op applicaties die eigendom zijn van de mbo instelling moeten alle medewerkers zich aan de afspraken zoals verwoord in AUP houden. Juridisch is de AUP een aanvulling op de arbeidsovereenkomst als deze goedgekeurd is door de Ondernemingsraad (WOR, artikel 27, lid K).

3.14 11.2.7

Veilig verwijderen of hergebruiken van apparatuur: Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.Privacy toets: het betreft hier afvoer van apparatuur.

Continuïteit


4.5 12.3.1.1Back-up van informatie: Regelmatig behoren back-upkopieën van informatie, software en systeemafbeeldingen te worden gemaakt. Privacy toets: controle van de volume van de back up is gewenst (Is van alle informatie een back up gemaakt?). Controleer logboek back up.

4.6 12.3.1.2Back-up van informatie: Gemaakte back ups worden regelmatig getest conform het back-up beleid.Privacy toets: terugzetten van bestanden (restore) middels een logboek controleren.

4.14 17.1.2

Informatiebeveiligingscontinuïteit implementeren: De organisatie behoort processen, procedures en beheersmaatregelen vast te stellen, te documenteren, te implementeren en te handhaven om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie te waarborgen.Privacy toets: een continuïteitsplan (BCM) moet voorhanden zijn.



Vertrouwelijkheid en integriteit


5.1 9.1.1Beleid voor toegangsbeveiliging: Een beleid voor toegangsbeveiliging behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingseisen.Privacy toets: toegangsbeveiliging zowel voor het netwerk als voor applicaties.

5.2 9.1.2

Toegang tot netwerken en netwerkdiensten: Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn.Privacy toets: het betreft hier technische netwerkdiensten, denk aan VPN en draadloos netwerk.

5.3 9.2.1Registratie en afmelden van gebruikers: Een formele registratie- en afmeldingsprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.Privacy toets: het betreft nieuwe gebruikers en het verwijderen van gebruikers.

5.4 9.2.2

Gebruikers toegang verlenen: Een formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.Privacy toets: het verlenen van toegangsrechten tot applicaties op basis van functie en rollen (RBAC) van medewerkers.

5.5 9.2.3Beheren van speciale toegangsrechten: Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst.Privacy toets: het betreft hier de super users / administrators rechten.

5.6 9.2.4

Beheer van geheime authenticatie-informatie van gebruikers: Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces.Privacy toets: het betreft het wachtwoorden beleid dat op basis van delegatie is goedgekeurd.

5.7 9.3.1Geheime authenticatie-informatie gebruiken: Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie informatie houden aan de praktijk van de organisatie.Privacy toets: geen aanvullende opmerkingen.

5.8 9.4.1

Beperking toegang tot informatie: Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging.Privacy toets: de gebruiker ziet alleen die opties in het keuzemenu waartoe hij rechten heeft.

5.9 9.4.2

Beveiligde inlogprocedures: Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure.Privacy toets: een aantal aanbevelingen: 2-way authenticatie; Wachtwoord kan niet worden “afgeluisterd”; Wachtwoord wordt niet weergegeven;Wachtwoord en username komen niet overeen is de juiste foutmelding bij onjuist ingetypt wachtwoord.

5.10 10.1.2.1Sleutelbeheer: Met betrekking tot het gebruik, de bescherming en de levensduur van cryptografische sleutels behoort tijdens hun gehele levenscyclus een beleid te worden ontwikkeld.Privacy toets: beleid t.a.v. digitale sleutels (voorbeeld Bitlocker).

5.11 10.1.2.2Sleutelbeheer: Er wordt gebruik gemaakt van tools om cryptografische sleutels tijdens hun gehele levenscyclus adequaat te beheren.Privacy toets: beheer van digitale sleutels (bijvoorbeeld Bitlocker).

5.12 12.4.2Beschermen van informatie in logbestanden: Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang.Privacy toets: geen aanvullende opmerkingen

5.16 13.2.3Elektronische berichten: Informatie die is opgenomen in elektronische berichten behoort passend te zijn beschermdPrivacy toets: toetsen op certificering.



Controle en logging Nr. ISO27002 Statement

6.1 9.2.5Beoordeling van toegangsrechten van gebruikers: Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen.Privacy toets: een van de belangrijkste statements. De proceseigenaar moet samen met hoofd systeembeheer controleren of de toegangsrechten juist zijn.

6.2 12.4.1

Gebeurtenissen registreren: Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.Privacy toets: geen aanvullende opmerkingen.

6.9 18.2.2

Naleving van beveiligingsbeleid en –normen: Het management behoort regelmatig de naleving van de informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied te beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.Privacy toets: proceseigenaren controleren of afspraken gerealiseerd zijn. Er mogen geen vragen zijn in de trant van: “Waar liggen de verantwoordelijkheden?”.

6.10 18.2.3

Beoordeling van technische naleving: Informatiesystemen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging.Privacy toets: beoordeling op technisch inhoudelijk gebied..



4. Toetsingskader privacy

Toelichting op de aanvullende statementsISO 27001 en 27002, de Code voor Informatiebeveiliging, beschrijft weliswaar alle voorkomende risico’s op het gebied van informatiebeveiliging, maar alleen op een generieke manier. De Code is niet opgesteld om alle risico’s die samenhangen met privacy te verminderen. Weliswaar wordt een flink deel van de risico’s afgedekt maar niet alle. In dit hoofdstuk benoemen we alle aanvullende statements die vanuit het complete compliance kader privacy zijn geselecteerd. Zoals aangegeven zijn die op dezelfde wijze gerangschikt als de generieke statements.

In de onderstaande statements wordt in de eerste kolom met een kleur aangegeven met welke wet of norm dit statement concreet overeenkomt. Het statement (of een afgeleide daarvan) kan in andere bewoordingen bijvoorbeeld ook voorkomen in de Wbp of AVG. Bij een mogelijke overlap wordt gekozen voor de wet- of regel die daarbij het beste aansluit. In de laatste kolom wordt vermeld van welk privacy principe het statement is afgeleid. Het betreft de kleuren:

Kleuren BasisEVRM Europees Verdrag voor de Rechten van de Mens

AVG Algemene Verordening Gegevensbescherming

Wbp Wet bescherming persoonsgegevens

NEN7510 NEN-norm voor privacy en informatiebeveiliging in de zorg, veel gebruik in academische ziekenhuizen

Andere nationale wetgeving

Overige nationale wetgeving zoals de Archiefwet

Beleidsdocument

Het toetsingskader privacy gaat ervan uit dat de mbo instelling beschikt (nu of in de nabije toekomst) over een beleidsdocument privacy. Er is een model beleidsplan beschikbaar: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6).



4.1 Beleid en organisatie

P.1: Privacy-beleid Cluster: Beleid en organisatie P1: AVG 24 (ISO 18.1.4)Privacy-beleid: Ten behoeve van het garanderen van privacy van deelnemers en medewerkers en om te voldoen aan de relevante weten regelgeving, behoort een reeks beleidsregels te worden gedefinieerd en goedgekeurd door het bestuur. In dit beleid is voorzien in procedures voor het uitoefenen van de rechten van deelnemers en docenten.Toelichting:De verantwoordelijke moet interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan de beginselen van gegevensbescherming, weten regelgeving en (indien van toepassing) contractuele bepalingen. Daarbij moet de instelling rekening gehouden met de aard, omvang, de context en het doel van de gegevensverwerkingen binnen de instelling. De verantwoordelijke moet waarborgen én aantonen dat zijn gegevensverwerkingen in overeenstemming zijn met de AVG. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.

De AVG verplicht de verantwoordelijke om een passend gegevensbeschermingsbeleid te voeren, en dat regelmatig te evalueren. In termen van volwassenheidsniveaus, dient de instelling ten minste te voldoen aan niveau 4: beheersbaar en meetbaar. Door het privacy beleid op te nemen in een PDCA-cyclus, wordt hieraan voldaan.

Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6)Niveaus Beheersmaatregel (plus evidence) AuditVolwassenheidsniveau 1(Ad hoc / initieel)

Er is geen beleid voor bescherming van persoonsgegevens. Voor sommige systemen zijn ad hoc maatregelen genomen.

Volwassenheidsniveau 2(herhaalbaar maar intuïtief)

Er zijn afspraken over maatregelen maar die zijn niet formeel vastgelegd. Ze zijn specifiek ingericht op afdelingsniveau of in een bepaald bedrijfsproces en zijn intuïtief, gebaseerd op individuele kennis en expertise.Evidence:a) Inrichtings- of procesdocumenten waaruit blijkt dat er specifieke

maatregelen genomen zijn.Volwassenheidsniveau 3(gedefinieerd proces)

Er is beleid vastgesteld en dit wordt nageleefd.Evidence in aanvulling op 2:1. Kopie goedgekeurde beleid voor bescherming van

persoonsgegevens;2. Kopie van informatie waaruit blijkt dat het beleid met

medewerkers is gecommuniceerd (te denken aan flyers, presentaties);

3. Voor zover apart geregeld: kopie van de rechten van deelnemers en medewerkers (inclusief procedures).

Volwassenheidsniveau 4(Beheerst en meetbaar)

Er is een proces ingericht wat de toepassing van het beleid waarborgt. Daarin wordt onder andere zorg gedragen voor actualisatie van: welk CvB lid eindverantwoordelijk is; bij welke functionaris de rol/functie van privacy officer of

Functionaris voor de Gegevensbescherming (FG) is belegd; wie de gegevens binnen de instelling gebruiken; hoe betrokkenen in staat zijn invloed uit te oefenen op wat er met

hun persoonsgegevens gebeurt en hoe daarop wordt toegezien.Evidence in aanvulling op 3:1. Kopie van een actueel overzicht van de procesonderwerpen.



Volwassenheidsniveau 5(Geoptimaliseerd)

Het proces en het privacy beleid is ingericht conform externe best practices. Het beleid wordt periodiek geëvalueerd en zo nodig bijgesteld. Men houdt in het proces in de gaten wanneer gebruik, regels en voorschriften veranderen en past het beleid hier op aan.Het proces maakt onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit en compliance proces.Evidence in aanvulling op 4: 1. Kopie waaruit blijkt welke best-practices gehanteerd worden (bv.

richtsnoer informatiebeveiliging van het CBP, aangevuld met branche specifieke afspraken.);

2. Kopie van het interne audit en compliance proces. Beoordeling (aanwezigen, datum en locatie):

Bevindingen:Documenten:

Interviews:

Waarneming ter plaatse:Aanbevelingen:



P.2: Functionaris gegevensbeschermingCluster: Beleid en organisatie P2 AVG 37 (ISO 18.1.4) GovernanceFunctionaris gegevensbescherming: De instelling benoemt een functionaris voor de gegevensbescherming (FG), of indien dit niet mogelijk of wenselijk is een privacy officer (PO), die is belast met intern toezicht op de verwerkingen van persoonsgegevens binnen de instelling, en alle verwerkingen van persoonsgegevens inventariseert en registreert. De verantwoordelijke zorgt er voor dat alle andere beroepswerkzaamheden van de FG verenigbaar zijn met zijn taken en verplichtingen als FG en dat die niet tot een belangenconflict leiden. Toelichting:Om de bescherming van persoonsgegevens te verbeteren, stelt de verantwoordelijke een speciale functionaris aan die belast is met intern toezicht op de verwerkingen.

Voor zover er een functionaris voor gegevensbescherming wordt benoemd, zijn een deel van diens rechten en plichten verankerd in de Wbp en AVG. De FG wordt door het CvB benoemd. De FG moet in staat zijn om zijn taken en verplichtingen onafhankelijk te vervullen, hij/zij geniet ontslagbescherming voor het deel dat het hun toezichthoudende taken betreft. De FG hoeft geen fulltime functie te zijn, maar de functie kan bijvoorbeeld ook belegd worden bij de instellingsjurist, vertrouwenspersoon of bestuurssecretaris.

Een alternatief voor het benoemen van een FG, is het aanstellen van een privacy officer (PO) waarbij de instelling zelf meer mogelijkheden heeft om diens bevoegdheden te regelen of om diens taken anders te verdelen. Deze PO heeft geen ontslagbescherming. In die zin is de PO anders dan de FG: FG is een functie terwijl PO een rol is. Overigens hoeft een FG of PO niet werkzaam te zijn bij de instelling, maar deze mag ook extern worden ingehuurd, of door een aantal onderwijsinstellingen gezamenlijk worden ingevuld.

Verplichte aanwijzing FGMet de komst van de AVG (zie paragraaf 1.4) bestaat er in een aantal gevallen de verplichting om een FG aan te wijzen. Helaas wordt er geen cijfermatige maatstaf gegeven (zoals bijvoorbeeld het verwerken van gegevens van X aantal betrokkenen). Overheden zijn wel altijd verplicht een FG aan te stellen. Daarnaast spreekt de AVG over ‘organisaties die persoonsgegevens gebruiken van personen waarop op grote schaal regelmatig en stelselmatig toezicht moet worden gehouden’. Volgens de toelichting bij de AVG gaat het om organisatie die als persoonsgegeven verwerken als kerntaak en niet om verwerkingen van persoonsgegevens als nevenactiviteit. Onderwijsinstellingen leggen steeds meer gegevens vast over de resultaten en schoolloopbaan van deelnemers, of ze registreren bijzondere persoonsgegevens zoals bijvoorbeeld over gezondheid (dyslexie, gedragsproblemen). Ook al is het vastleggen van deelnemersgegevens geen kerntaak of hoofdactiviteit van een instelling, het is niet mogelijk om les te geven zonder vastlegging van deelnemersgegevens, voortgangs- of studieresultaten, et cetera. De conclusie is dan ook gerechtvaardigd dat onderwijsinstellingen stelselmatig en regelmatig betrokkenen ‘monitoren’ en in dat kader persoonsgegevens verwerken. Daarmee vallen zij onder de verplichting om een FG aan te stellen.

Taken FGDe FG vervult ten minste de volgende taken: 1. registreren van verwerkingen van gegevensverwerkingen. 2. adviseren van de verantwoordelijke en alle bij gegevensverwerkingen betrokken werknemers over hun (wettelijke) verplichtingen.3. toezicht op de naleving van weten regelgeving, alsmede op naleving van het privacy beleid, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel.4. advies over de gegevensbeschermingseffectbeoordeling (zie statement P.21) en toezien op de uitvoering daarvan. 5. samenwerking met de toezichthoudende (privacy)autoriteiten.6. optreden als contactpunt voor de toezichthoudende autoriteit.

Overige verplichtingen voortvloeiend uit de AVG: 1. De FG wordt geselecteerd op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn



vermogen om te adviseren en toezicht te houden op verwerkingen van persoonsgegevens binnen de instelling.2. De bestuurder zorgt er voor dat de FG naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens binnen de onderwijsinstelling.3. De FG brengt rechtstreeks verslag uit aan de hoogste leidinggevende/directie binnen de onderwijsinstelling. 4. Het CvB verschaft de FG toegang tot alle persoonsgegevens en verwerkingsactiviteiten en stelt de FG de benodigde middelen ter beschikking voor het vervullen van zijn taken en voor het in stand houden van zijn deskundigheid5. De bestuurder zorgt ervoor dat eventuele overige taken of plichten van de FG niet tot een belangenconflict leiden.

Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6)

Niveaus Beheersmaatregel (plus evidence) AuditVolwassenheidsniveau 1(Ad hoc / initieel)

Er is geen specifieke functionaris aangesteld die belast is met intern toezicht op de verwerking van persoonsgegevens. Voor sommige systemen of processen zijn ad hoc maatregelen genomen.


Er zijn afspraken over maatregelen maar die zijn niet formeel vastgelegd. Ze zijn specifiek ingericht op afdelingsniveau of in een bepaald bedrijfsproces en zijn intuïtief, gebaseerd op individuele kennis en expertise.Evidence:1. Inrichtings- of procesdocumenten waaruit blijkt dat er specifieke

maatregelen genomen zijn of functionarissen die met toezicht op gegevensverwerkingen zijn belast.

Volwassenheidsniveau 3(gedefinieerd proces)

Er is beleid vastgesteld en dit wordt nageleefd.Evidence in aanvulling op 2:1. Kopie van het besluit waarin een FG of PO wordt aangesteld;2. Kopie van het besluit of reglement waarin de rechten en

bevoegdheden van de FG of PO zijn geregeld.Volwassenheidsniveau 4(Beheerst en meetbaar)

Er is een proces ingericht wat de aanstelling en functioneren van een FG waarborgt. Dit is vastgelegd in een document waarin onder andere is opgenomen: welk CvB lid eindverantwoordelijk is, aan wie de FG

(PO)rapporteert; er is een medewerker aangewezen als FG op basis van kennis,

deskundigheid en ervaring met de verwerking van persoonsgegevens;

er is voor deze FG een beschrijving van diens, bevoegdheden, rechten (waaronder ontslagbescherming) en plichten zijn.

Evidence in aanvulling op 3:1. Kopie van een actueel overzicht van de voornoemde

procesonderwerpen met wat rol en positie van de FG daarin is. Volwassenheidsniveau 5(Geoptimaliseerd)

Het proces en het privacy beleid is ingericht conform externe best practices. Het beleid wordt periodiek geëvalueerd en zo nodig bijgesteld. Men houdt in het proces in de gaten wanneer gebruik, regels en voorschriften veranderen en past het beleid hier op aan.Evidence in aanvulling op 4: 1. Kopie waaruit blijkt welke best-practices gehanteerd worden (bv.

richtsnoer informatiebeveiliging van het CBP, aangevuld met branche specifieke afspraken.);

2. Kopie van het interne audit en compliance proces. 3. In het privacy beleid is opgenomen dat de FG aantoonbaar

betrokken bij alle aangelegenheden die gaan over privacy van deelnemers binnen de instelling, én uit navraag blijkt dit ook praktijk te zijn

4. De FG rapporteert aan de hoogste leidinggevende (zoals directie) of



aan de bestuurder5. De overige werkzaamheden en taken van de FG leiden niet tot een

conflict met zijn taak als FG.

Beoordeling (aanwezigen, datum en locatie):


Interviews:




P.3: Doelbepaling, doelbinding, grondslag, grond bij minderjarigen en dataminimalisatie.

Cluster: Beleid en organisatie P3 WBP; AVG 5, 6, 12Doelbepaling, doelbinding, grondslag, grond bij minderjarigen en dataminimalisatie.De instelling draagt er zorg voor dat bij verwerking van persoonsgegevens de volgende uitgangspunten worden gehanteerd: P.3a Doelbepaling en doelbinding: De instelling draagt er zorg voor dat voor iedere categorie van

verwerkingen – voorafgaand aan die verwerking - een specifiek doeleinde is vastgesteld, en dat dit doeleinde is gecommuniceerd bij de gegevensverzameling. De instelling zorgt er voor dat persoonsgegevens alleen worden verwerkt voor het doeleinde waarvoor die gegevens verkregen zijn.

P.3b Grondslag (rechtmatigheid): De instelling zorgt er voor dat persoonsgegevens altijd op basis van een wettelijke grondslag worden verwerkt. Daarbij maakt de instelling geen gebruik van opt-out regelingen als het gaat om verwerkingen van persoonsgegevens. Indien toestemming noodzakelijk is voor verwerkingen van persoonsgegevens van deelnemers jonger dan 16 jaar, dan wordt toestemming altijd afgestemd met de wettelijke vertegenwoordigers, en deze toestemming wordt vastgelegd en is reproduceerbaar.

P.3c Dataminimalisatie: Het verwerken van persoonsgegevens moet redelijk zijn en in verhouding staan tot het te realiseren doel van die verwerking: de inbreuk op de privacy moet te rechtvaardigen zijn om het doeleinde te bereiken (proportionaliteit), de te verzamelen persoonsgegevens blijven beperkt tot datgene wat minimaal nodig is om de doeleinde(n) te bereiken waarvoor de data worden verwerkt (subsidiariteit).

P.3d Transparantie: de instelling informeert de gebruikers (of hun wettelijke vertegenwoordigers) en medewerkers van wie persoonsgegevens worden verwerkt, beknopt, transparant, eenvoudig toegankelijk en begrijpelijk in duidelijke en eenvoudige taal over het beleid alsmede over alle gegevensverwerkingen.

P.3e Data-integriteit: de instelling zorgt er voor dat bij verwerkingen die door of namens de instelling worden uitgevoerd, de juiste persoonsgegevens op het juiste moment op de juiste plaats beschikbaar zijn.

Toelichting:Alle verwerkingen van persoonsgegevens binnen de instelling voldoen aan de vijf (herziene) vuistregels voor privacy. Deze basis privacy principes, die afgeleid zijn van de Wbp, zijn: 1) doelbepaling en doelbinding, 2) grondslag, 3) dataminimalisatie en 4) transparantie (over de rechten, maar ook over de verschillende verwerkingen van persoonsgegevens) en 5) data-integriteit. De verantwoordelijke voor de gegevensverwerking moet aan kunnen tonen dat er voldaan wordt aan deze principes (verantwoordingsplicht zoals opgenomen in de AVG).

De uitgangspunten P.3d en P.3e worden in de statements P.11 en P.12 respectievelijk P.17. Deze statemens zijn hier opgenomen om voor de volledigheid: instellingen moeten deze vijf uitgangspunten controleren als zij voornemens zijn persoonsgegevens te gaan verwerken.

In de AVG worden deze principes anders benoemd, maar komen inhoudelijk op het zelfde neer. Doel en doelbinding: dit valt onder het beginsel doelbinding (AVG 5.1.b) Grondslag: rechtmatigheid van de verwerking (AVG 6) Dataminimalisatie: dit valt onder de beginselen minimale gegevensverwerking (AVG 5.1.c) en

opslagbeperking (AVG 5.1.e) Transparantie en rechten betrokkene: transparante informatie, communicatie en nadere regels

voor de uitoefening van de rechten van de betrokkene (AVG 12). Het onderdeel transparantie komt terug in P.11 en P.12 van dit toetsingskader (communicatie) en wordt niet geregeld in dit statement.

‘Juistheid van gegevens’ (AVG 5.1.d) wordt geïntroduceerd in de AVG: persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Dit sluit inhoudelijk aan bij begrip ‘integriteit’ uit de informatiebeveiliging. Onjuiste gegevens worden gerectificeerd of gewist. De juistheid van de data (integriteit) komt terug in P.17 van dit toetsingskader: vertrouwelijkheid en integriteit.






Er is een checklist ontwikkeld die P.2a t/m P.2e toetst en die wordt toegepast door een kleine groep van medewerkers. Bijvoorbeeld: het hoofd van de deelnemersadministratie heeft het inschrijfformulier aan de hand van de checklist gecontroleerd op de naleving van het privacy beleid. De medewerkers van de deelnemersadministratie passen het privacy beleid toe bij inschrijving van nieuwe deelnemers.Evidence:1. Kopie checklist waardoor toetsing van P.2a t/m P.2e mogelijk is;2. Kopie verklaring van leidinggevende waarin staat aangegeven dat

een formulier getoetst is op de juiste uitvoer van het privacy beleid,


Er is een checklist ontwikkeld die P.2a t/m P.2e toetst en die wordt toegepast op alle vragenformulieren in de mbo instelling. Evidence in aanvulling op 2:1. Kopie proces architectuur waarin de proceseigenaren zijn te

traceren;2. Kopie van alle vragenformulieren;3. Kopie verklaringen waarin staat aangegeven dat alle

vragenformulieren getoetst zijn op de juiste uitvoer van het privacy beleid.


De checklist wordt jaarlijks aangepast naar aanleiding van gesignaleerde tekortkomingen of op basis van veranderende weten regelgeving,Evidence in aanvulling op 3:1. Kopie rapport evaluatie checklist op basis van werking en nieuwe

weten regelgeving;2. Kopie nieuwe checklist;3. Kopie goedkeuring checklist door College van Bestuur.


Toekomstige ontwikkelingen en best practices op het gebied van privacy worden nauwgezet gevolgd door de mbo instelling.Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die in

de nabije toekomst van invloed zijn op de checklist.Beoordeling (aanwezigen, datum en locatie):

Bevindingen:

Documenten:

Interviews:




P.4: Registratieplicht Cluster: Beleid en organisatie P4 WBP; AVG 30, 39Registratieplicht: Een verwerking van persoonsgegevens wordt gemeld aan de aangestelde Functionaris Gegevensbescherming die daartoe een (openbaar) register bijhoudt. In geval er geen Functionaris voor Gegevensbescherming is aangesteld, wordt deze melding gedaan bij de Autoriteit Persoonsgegevens voor zover de verwerking niet onder een vrijstelling meldingsplicht valt. Toelichting:Organisaties die persoonsgegevens verwerken, moeten daar melding van doen bij de Autoriteit Persoonsgegevens die daarvan een register bijhoudt. Onderwijsinstellingen hoeven alleen zo’n melding te doen als zij persoonsgegevens gaan verwerken voor een doel dat niet samenhangt met het lesgeven aan deelnemers.

Als de onderwijsinstelling een FG heeft benoemd, dan is deze FG als intern toezichthouder verplicht om de meldingen bij te houden. Er hoeft dan geen melding te worden gedaan bij de Autoriteit Persoonsgegevens.

Indien de instelling geen FG heeft aangesteld, moeten tot mei 2018 de meldingen bij de Autoriteit Persoonsgegevens worden gedaan (en kan de melding niet plaatsvinden bij een andere functionaris zoals een privacy officer)6.

Na 25 mei 2018 moet een instelling, met meer dan 250 medewerkers, zelf een register bijhouden waarin tenminste de volgende gegevens worden opgenomen:

a) Contactgegevens van de instelling;b) Indien van toepassing: gegevens van de bewerker;c) Doeleinden van de gegevensverwerking;d) Beschrijving van de categorieën persoonsgegevens;e) Beschrijving van de categorieën betrokkenen: deelnemers, medewerkers, etc. ;f) Categorieën van de personen die deze gegevens gaan gebruiken (intern/extern);g) Of er sprake is van doorgifte van de persoonsgegevens buiten de EU;h) Van toepassing zijnde bewaar- en vernietigingstermijnen van de gegevens;

Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.



Er is geen beleid voor verwerking en registratie (openbaar register) van persoonsgegevens door een aangestelde Functionaris Gegevensbescherming.


Er is een vastgesteld beleid of proces voor verwerking en registratie (openbaar register) van persoonsgegevens door een aangestelde Functionaris Gegevensbescherming. Evidence:1. Kopie document beleid verwerking en registratie van

persoonsgegevens;2. Kopie verklaring van College van Bestuur waarin staat dat het

formulier verwerking en registratie van persoonsgegevens is vastgesteld.


Er is een vastgesteld beleid of proces voor verwerking en registratie (openbaar register) van persoonsgegevens door een aangestelde Functionaris Gegevensbescherming dat bekend is bij alle medewerkers van de mbo instelling.Evidence in aanvulling op 2:1. Kopie nieuwsbrief of bericht waar het beleid of proces

verwerking en registratie van persoonsgegevens is gecommuniceerd met alle medewerkers en deelnemers.

2. Kopie register (overzicht geregistreerde gegevensverwerkingen).

6 https://autoriteitpersoonsgegevens.nl/nl/melden/melden-verwerking-persoonsgegevens


https://autoriteitpersoonsgegevens.nl/nl/melden/melden-verwerking-persoonsgegevens



De checklist wordt jaarlijks aangepast naar aanleiding van gesignaleerde tekortkomingen of op basis van veranderende weten regelgeving,Evidence in aanvulling op 3:1. Kopie aanbevelingen op basis van bevindingen register

persoonsgegevens door de Functionaris Gegevensbescherming;2. Kopie goedkeuring aanpassingen register persoonsgegevens door

College van Bestuur.Volwassenheidsniveau 5(Geoptimaliseerd)

Toekomstige ontwikkelingen en best practices op het gebied van Privacy worden nauwgezet gevolgd door de mbo instelling.De instelling houdt zelf een register bij van gegevensverwerkingen binnen de instellingenEvidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die in

de nabije toekomst van invloed zijn op het register persoonsgegevens.

2. (Wettelijk vereist per 25 mei 2018:) Indien de onderwijsinstelling meer dan 250 personeelsleden heeft, is er een register met geregistreerde verwerkingen.


Bevindingen:

Documenten:

Interviews:




P.5: BewaartermijnenCluster: Beleid en organisatie P5 Archiefwet; AVG 5, 30Bewaartermijnen: Er is een actief archief- en vernietigingsbeleid: persoonsgegevens worden niet langer bewaard dan nodig voor het gestelde doeleinde. De instelling stelt op basis van de Archiefwet (waaronder het BSD valt) de vernietigings- en bewaartermijnen vast van de verwerkte persoonsgegevens. De instelling is in staat om alle persoonsgegevens die niet onder een wettelijke bewaartermijn vallen, op een eerste verzoek van de deelnemer (of indien deze jonger is dan 16 jaar: diens ouders) te vernietigen. Toelichting: Persoonsgegevens worden niet langer bewaard dan nodig. Binnen het mbo zijn er verschillende documenten beschikbaar, zoals onder meer de ‘Hoe? Zo! Documentmanagement’ maar ook het Basisselectiedocument (BSD) zoals deze door de FSR is opgesteld. Hiermee is een instelling in staat om het archief- en vernietigingsbeleid van persoonsgegevens binnen de instelling duidelijk en inzichtelijk te maken. Desgewenst kan er door de instelling een apart document (archief- en vernietigingsbeleid) voor worden gemaakt.

Vanaf mei 2018 moet voldaan worden aan het in de AVG opgenomen ‘recht om te worden vergeten’ (art. 17 AVG). Dat betekent dat een instelling in staat moet zijn om volledige dossiers te wissen en schonen van alle informatie die niet volgens de wet bewaard moet of mag worden.

Relevante ibp documenten: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6) en “Hoe? Zo! Documentmanagement”. Niveaus Beheersmaatregel (plus evidence) AuditVolwassenheidsniveau 1(Ad hoc / initieel)

Er is geen archief- en vernietigingsbeleid van persoonsgegevens.


Er is een vastgesteld archief- en vernietigingsbeleid van persoonsgegevens op basis van de archiefwet. Evidence:1. Kopie document archief- en vernietigingsbeleid van

persoonsgegevens;2. Kopie verklaring van College van Bestuur waarin staat dat het

archief- en vernietigingsbeleid van persoonsgegevens is vastgesteld.


Er is een vastgesteld archief- en vernietigingsbeleid van persoonsgegevens op basis van de archiefwet dat bekend is bij alle medewerkers van de mbo instelling.Evidence in aanvulling op 2:1. Kopie nieuwsbrief waar het beleid verwerking en registratie van

persoonsgegevens is gecommuniceerd met alle medewerkers en deelnemers;

2. Kopie trainingsaanbod “Bewaartermijnen” aan de medewerkers die betrokken zijn bij dit beleid;

3. Kopie overzicht aanwezigheidslijst van deelnemers trainingsaanbod “Bewaartermijnen”.


Het vastgestelde archief- en vernietigingsbeleid van persoonsgegevens op basis van de archiefwet wordt jaarlijks aangepast naar aanleiding van gesignaleerde tekortkomingen of op basis van veranderende weten regelgeving,Evidence in aanvulling op 3:1. Kopie overzicht bevindingen gesignaleerde tekortkomingen op

het beleid;2. Kopie aanbevelingen op basis van bevindingen tekortkomingen

door de Functionaris Gegevensbescherming;3. Kopie goedkeuring aanpassingen archief- en vernietigingsbeleid

van persoonsgegevens door College van Bestuur.Volwassenheidsniveau 5 Toekomstige ontwikkelingen en best practices op het gebied van



(Geoptimaliseerd) archief- en vernietigingsbeleid van persoonsgegevens worden nauwgezet gevolgd door de mbo instelling.Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die

in de nabije toekomst van invloed zijn op het register persoonsgegevens.

2. (Wettelijk vereist vanaf 25 mei 2018:) Er is een beleid om te voldoen aan het verzoek van een deelnemer op volledige wissing van zijn gegevens waarbij wordt voldaan aan alle randvoorwaarden van artikel 17 AVG.



Interviews:




P.6: Verwerking t.b.v. onderzoek Cluster: Beleid en organisatie P6 WBP NIEUW; AVG 89 (5, 9, 14, 17, 21) Verwerking t.b.v. onderzoek: Persoonsgegevens mogen worden verwerkt ten behoeve van:

b) archivering in het algemeen belang (Archiefwet);c) wetenschappelijk of historisch onderzoek; of d) statistische doeleinden

indien passende technische en organisatorische maatregelen zijn genomen om de privacy van de betrokken deelnemers te garanderen. Onder deze maatregelen wordt in ieder geval verstaan dat er niet meer persoonsgegevens worden verwerkt dan strikt noodzakelijk is. Hierbij valt te denken aan pseudonimisering (in geval de data herleidbaar moet zijn tot individuen) of anonimisering (in geval data niet herleidbaar hoeft te zijn).

Bij historische, statistische of wetenschappelijke doeleinden is verwerking alleen mogelijk op basis van strikte voorwaarden vergelijkbaar met de ‘Gedagscode voor Onderzoek & Statistiek’ en de verantwoordelijke voorafgaand toestemming heeft verleend. Toelichting: Er is een beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden beschikbaar. Hierbij kan worden aangehaakt bij de gedragscode voor historisch en wetenschappelijk onderzoek. Indien er sprake is van onderzoek dan zal de onderzoekende partij deze gedragscode bespreken en toepassen. Niveaus Beheersmaatregel (plus evidence) AuditVolwassenheidsniveau 1(Ad hoc / initieel)

Er is geen beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden.


Er is een vastgesteld beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden. Evidence:1. Kopie beleid voor verwerking van persoonsgegevens voor

historisch, statistisch of wetenschappelijke doeleinden;2. Kopie verklaring van College van Bestuur waarin staat dat het

beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden is vastgesteld.


Er is een vastgesteld beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden dat bekend is bij alle medewerkers van de mbo instelling.Evidence in aanvulling op 2:1. Kopie nieuwsbrief of bericht waar beleid voor verwerking van

persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden is gecommuniceerd met alle medewerkers en deelnemers;

2. Kopie trainingsaanbod “verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden” aan de medewerkers die betrokken zijn bij dit beleid;

3. Kopie overzicht aanwezigheidslijst van deelnemers trainingsaanbod “verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden”.




Het vastgestelde beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden wordt jaarlijks aangepast naar aanleiding van gesignaleerde tekortkomingen of op basis van veranderende weten regelgeving,Evidence in aanvulling op 3:1. Kopie overzicht bevindingen gesignaleerde tekortkomingen op het

beleid;2. Kopie aanbevelingen op basis van bevindingen tekortkomingen

door de Functionaris Gegevensbescherming;3. Kopie goedkeuring aanpassingen beleid voor verwerking van

persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden door College van Bestuur.


Toekomstige ontwikkelingen en best practices op het gebied van beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden worden nauwgezet gevolgd door de mbo instelling.Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die in

de nabije toekomst van invloed zijn op het beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden.


Bevindingen:

Documenten:

Interviews:




P.7: Verwerking van bijzondere persoonsgegevens Cluster: Beleid en organisatie P7 WBP; AVG 9Verwerking van bijzondere persoonsgegevensDe instelling verwerkt geen persoonsgegevens betreffende iemands religieuze of levensbeschouwelijke overtuigingen, tenzij dit gelet op het doel van de instelling

en voor de verwezenlijking van haar grondslag strikt noodzakelijk is, ras of etnische afkomst, tenzij de instelling daartoe op grond van een wet verplicht is, of alleen in met

het doel om personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen om feitelijke nadelen verband houdende met de grond ras op te heffen of te verminderen,

biometrische gegevens (zoals vingerafdruk of irisscan) voor zover deze gebruikt worden met het oog op de unieke identificatie van een persoon,

gezondheid of iemands seksueel gedrag of seksuele gerichtheid, voor zover dat met het oog op de speciale begeleiding van deelnemers of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is,

tenzij de deelnemer voor het gebruik van deze categorieën persoonsgegevens zelf toestemming heeft gegeven voor het verwerken van de hiervoor genoemde categorieën persoonsgegevens.

Toelichting:Het gebruik van bijzondere persoonsgegevens is verboden, tenzij daar voor een onderwijsinstelling een aanwijsbare en wettelijke rechtvaardiging voor is. Het gebruik van deze gegevens moet strikt noodzakelijk zijn. Dat vraagt om extra aandacht als deze categorie gegevens verwerkt zal gaan worden. Onder bijzondere persoonsgegevens valt ook het gebruik van pasfoto’s omdat daarvan iemand ras kan worden afgeleid. Het heeft de voorkeur dat de instelling inzichtelijk kan maken in welke gevallen deze gegevens worden verwerkt en voor welke doeleinden.

Vanaf 25 mei 2018 is het niet mogelijk om zonder uitdrukkelijke voorafgaande toestemming de biometrische gegevens zoals een irisscan of vingerafdruk te gebruiken voor de unieke identificatie van een deelnemer.Niveaus Beheersmaatregel (plus evidence) AuditVolwassenheidsniveau 1(Ad hoc / initieel)

Er is geen beleid voor verwerking van bijzondere persoonsgegevens.


Er is een vastgesteld beleid voor verwerking van bijzondere persoonsgegevens. Evidence:1. Kopie beleid voor verwerking van bijzondere persoonsgegevens;2. Kopie verklaring van College van Bestuur waarin staat dat het

beleid voor verwerking bijzondere persoonsgegevens is vastgesteld.


Er is een vastgesteld beleid voor verwerking van bijzondere persoonsgegevens dat bekend is bij alle medewerkers van de mbo instelling.Evidence in aanvulling op 2:1. Kopie nieuwsbrief waar beleid voor verwerking van bijzondere

persoonsgegevens is gecommuniceerd met alle medewerkers en deelnemers;

2. Kopie trainingsaanbod “Bijzondere persoonsgegevens” aan de medewerkers die betrokken zijn bij dit beleid;

3. Kopie overzicht aanwezigheidslijst van deelnemers trainingsaanbod “Bijzondere persoonsgegevens”.




Het vastgestelde beleid voor verwerking van bijzondere persoonsgegevens wordt jaarlijks aangepast naar aanleiding van gesignaleerde tekortkomingen of op basis van veranderende weten regelgeving,Evidence in aanvulling op 3:1. Kopie overzicht bevindingen gesignaleerde tekortkomingen op het


door de Functionaris Gegevensbescherming;3. Kopie goedkeuring aanpassingen beleid voor verwerking van

bijzondere persoonsgegevens door College van Bestuur.Volwassenheidsniveau 5(Geoptimaliseerd)

Toekomstige ontwikkelingen en best practices op het gebied van bijzondere persoonsgegevens worden nauwgezet gevolgd door de mbo instelling.Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die in

de nabije toekomst van invloed zijn op het beleid voor verwerking van bijzondere persoonsgegevens.


Bevindingen:

Documenten:

Interviews:




P.8: Geautomatiseerde besluitvormingCluster: Beleid en organisatie P5 NIEUW ; AVG 21, 22Geautomatiseerde besluitvormingIn geval de instelling gebruik maakt van geautomatiseerde individuele besluitvorming (geautomatiseerde besluitvorming) zal zij: geen geautomatiseerde beslissingen laten nemen over de betrokkene zonder dat bij die beslissing een

natuurlijk persoon namens de instelling betrokken is, tenzij de betrokkene instemt met een geautomatiseerde beslissing zonder menselijke interventie; en

er aan de betrokkene duidelijke informatie is verstrekt over de wijze van geautomatiseerde besluitvorming, en

de betrokkene de mogelijkheid heeft o zijn standpunt en visie over het besluit en besluitvormingsproces te geven, en o in verweer te komen tegen een dergelijke geautomatiseerde beslissing; en

bij de geautomatiseerde besluitvorming geen gebruik maken van bijzondere persoonsgegevens.Toelichting:Bij geautomatiseerde besluitvorming, vaak ook wel profilering genoemd, is er sprake van elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van die persoonsgegevens bepaalde persoonlijke aspecten van een onderwijsdeelnemer worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen. Het betreft een geautomatiseerde verwerking (en vergelijking) van verschillende soorten persoonsgegevens. Bijvoorbeeld om een betrokkene te evalueren, classificeren of een beslissing over die betrokkene te nemen. De instelling zal bij het inzetten van geautomatiseerde besluitvorming geen geautomatiseerde beslissingen laten nemen over de betrokkene, zonder dat bij die beslissing een medewerker namens de instelling zeggenschap heeft over deze besluitvorming. Aan betrokkenen moet voorafgaand aan de geautomatiseerde besluitvorming informatie zijn verstrekt over de wijze van geautomatiseerde besluitvorming, en de betrokkene de mogelijkheid heeft om tegen een dergelijke geautomatiseerde beslissing bezwaar aan te tekenen.



Er is geen beleid voor geautomatiseerde besluitvorming.


Er is een vastgesteld beleid geautomatiseerde besluitvorming. Evidence:1. Kopie beleid voor geautomatiseerde besluitvorming;2. Kopie verklaring van College van Bestuur waarin staat dat het

beleid voor geautomatiseerde besluitvorming is vastgesteld.Volwassenheidsniveau 3(gedefinieerd proces)

Er is een vastgesteld beleid voor geautomatiseerde besluitvorming dat bekend is bij alle medewerkers van de mbo instelling.Evidence in aanvulling op 2:1. Kopie nieuwsbrief waar beleid voor geautomatiseerde

besluitvorming is gecommuniceerd met alle medewerkers en deelnemers;

2. Kopie trainingsaanbod “Geautomatiseerde besluitvorming” aan de medewerkers die betrokken zijn bij dit beleid;

3. Kopie overzicht aanwezigheidslijst van deelnemers trainingsaanbod “Geautomatiseerde besluitvorming”.




Het vastgestelde beleid voor geautomatiseerde besluitvorming wordt jaarlijks aangepast naar aanleiding van gesignaleerde tekortkomingen of op basis van veranderende weten regelgeving,Evidence in aanvulling op 3:1. Kopie overzicht bevindingen gesignaleerde tekortkomingen op het


door de Functionaris Gegevensbescherming;3. Kopie goedkeuring aanpassingen beleid voor geautomatiseerde

besluitvorming door College van Bestuur.Volwassenheidsniveau 5(Geoptimaliseerd)

Toekomstige ontwikkelingen en best practices op het gebied van geautomatiseerde besluitvorming worden nauwgezet gevolgd door de mbo instelling.Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die in

de nabije toekomst van invloed zijn op het beleid voor geautomatiseerde besluitvorming.


Bevindingen:

Documenten:

Interviews:




P.9: Informatiebeveiliging Cluster: Beleid en organisatie P9 WBP; AVG 5, 32InformatiebeveiligingDe instelling neemt passende technische of organisatorische maatregelen op een dusdanige manier dat de passende beveiliging van persoonsgegevens gewaarborgd is. De integriteit en vertrouwelijkheid van de persoonsgegevens moet gegarandeerd zijn.

Verwerkte persoonsgegevens zijn beveiligd tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze beveiliging is afhankelijk van de stand van de techniek, de uitvoeringskosten, alsook de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de privacy van de onderwijsdeelnemers.

Bij de beveiliging wordt aangesloten bij algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging.Toelichting:De bescherming van gegevens en privacy wordt bewerkstelligd overeenkomstig relevante wetgeving, voorschriften en (indien van toepassing) contractuele bepalingen. De persoonsgegevens worden beveiligd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Dit statement wordt gekoppeld aan het informatiebeveiligingsbeleid zoals dat ontwikkeld is door saMBO-ICT (MBO-Raad) en Kennisnet, op basis ISO 27001/2 als internationaal erkende informatiebeveiliging standaard.

Vanaf 25 mei 2018 is het verplicht om te voorzien in een procedure om regelmatig de genomen beveiligingsmaatregelen te testen, beoordelen en te evalueren.

Relevante ibp documenten: Toetsingskader ib: clusters 1 t/m 6 (IBPDOC3) en Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6)Niveaus Beheersmaatregel (plus evidence) AuditVolwassenheidsniveau 1(Ad hoc / initieel)

Er is geen beleid voor de beveiliging van persoonsgegevens. Voor sommige systemen zijn ad hoc maatregelen genomen.


Er is beleid en er zijn maatregelen beschreven en formeel vastgelegd, Er is geen baseline (minimum niveau).Evidence:1. Kopie van het informatiebeveiligingsbeleid.2. Kopie goedkeuring informatiebeveiligingsbeleid door het College

van Bestuur..Volwassenheidsniveau 3(gedefinieerd proces)

Er is beleid vastgesteld en dit wordt nageleefd. Het volwassenheidsniveau van alle statements in het toetsingskader is tenminste niveau 2 (opzet en bestaan en beperkte werking).Evidence:1. Kopie interne audit op basis van het toetsingskader

informatiebeveiliging van het mbo waarbij aantoonbaar, op basis van evidence (evidence), tenminste op ieder statement het volwassenheidsniveau 2 wordt behaald;

2. Kopie projectplan waarbij wordt beschreven op welke manier de statements die van belang zijn voor het privacy beleid binnen 2 jaar op volwassenheidsniveau 3 worden beoordeeld tijdens een interne audit.


Er is beleid vastgesteld en dit wordt nageleefd. Evidence in aanvulling op 3:1. Kopie interne audit op basis van het toetsingskader

informatiebeveiliging van het mbo waarbij aantoonbaar, op basis van evidence (evidence), tenminste op ieder statement een volwassenheidsniveau is bepaald en (wordt) gerealiseerd.




Het proces en het privacy beleid is ingericht conform externe best practices. Het beleid wordt periodiek geëvalueerd en zo nodig bijgesteld. Men houdt in het proces in de gaten wanneer gebruik, regels en voorschriften veranderen en past het beleid hier op aan.Het proces maakt onderdeel uit van een gestandaardiseerd en geïntegreerd extern (peer-) audit en compliance proces.Evidence in aanvulling op 4: 1. Kopie waaruit blijkt welke best-practices gehanteerd.2. Kopie van het externe (peer-) audit en compliance proces.3. (Vanaf 25 mei 2018:) Er is voorzien in een procedure om op

vaste tijden de genomen beveiligingsmaatregelen te testen, beoordelen en te evalueren op doeltreffendheid.


Bevindingen:

Documenten:

Interviews:




P.10: Bewerkersovereenkomsten Cluster: Beleid en organisatie P10 WBP 6.7 (ISO 15.2.1); AVG 28BewerkersovereenkomstenMet alle leveranciers die als bewerker voor of namens de instelling persoonsgegevens (van deelnemers, medewerkers en externen) verwerken, worden bewerkersovereenkomsten gesloten waarin alle wettelijk vereiste afspraken zijn vastgesteld.Toelichting:De Wbp gaat er van uit dat een onderwijsinstelling als verantwoordelijke voor de gegevensbescherming, afspraken maakt met alle derden (bijvoorbeeld leveranciers) die beschikking krijgen over persoonsgegevens afkomstig van de onderwijsinstelling. Deze afspraken moeten worden vastgelegd in een overeenkomst: de bewerkersovereenkomst. In het mbo is er een bewerkingsovereenkomst die gebruikt kan worden.

Voor het mbo is er een modelbewerkersovereenkomst opgesteld die kan worden gebruikt voor leveranciers van digitaal leermateriaal of school- en studentinformatiesystemen. Dit is Bewerkersovereenkomst mbo versie (IBPDOC28).

Vanaf 25 mei 2018 dient de bewerkersovereenkomst ten minste de volgende elementen te bevatten: a) Het onderwerp van de bewerkersovereenkomst; b) de duur van de verwerking; c) aard en het doel van de verwerking; d) het soort en categorieën persoonsgegevens;e) de rechten en verplichtingen van de verantwoordelijke en bewerker; f) de instructie dat de bewerker alleen na uitdrukkelijke opdracht en instructie van de

verantwoordelijke persoonsgegevens van de onderwijsinstelling zal verwerken; g) de betrokken medewerkers van bewerker verplicht zijn tot geheimhouding van de

persoonsgegevens die de onderwijsinstelling met de bewerker deelt; h) de gegevens moeten beveiligd zijn; i) de contractuele bepalingen onverkort gelden voor door de bewerker ingeschakelde subbewerkers; j) de verplichting van bewerker om medewerking te verlenen indien een deelnemer zijn rechten

wenst uit te oefenen; k) na afloop van de overeenkomst met bewerker worden de door verantwoordelijke

persoonsgegevens teruggegeven of vernietigd (behoudens een op bewerker rustende wettelijke bewaarplicht);

l) medewerking verlenen aan door de verantwoordelijke uit te voeren inspecties en audits.

Relevant ibp document: Bewerkersovereenkomst mbo (IBPDOC29)Niveaus Beheersmaatregel (plus evidence) AuditVolwassenheidsniveau 1(Ad hoc / initieel)

De diensten, rapporten en registraties die door een derde partij worden geleverd, worden niet gecontroleerd of beoordeeld en er worden geen audits uitgevoerd.


Er zijn alleen incidentele, ad hoc of niet-juridische dekkende afspraken met leveranciers die deelnemersgegevens ontvangen. De diensten, rapporten en registraties die door een derde partij worden geleverd, worden opgeslagen in een registratiesysteem en gebruikt om achteraf bij te kunnen sturen. Ze worden niet regelmatig gecontroleerd en beoordeeld.Er worden alleen ad hoc audits uitgevoerd, bv tijdens een algehele audit van het door de dienst van de derde partij ondersteunde business proces.Evidence:1. Kopie of rapportage uit het registratiesysteem.2. Kopie afspraken leveranciers.




Er is een getekende bewerkersovereenkomst met alle derden (leveranciers) die van de onderwijsinstelling persoonsgegevens van deelnemers ontvangen, en de overeenkomst bevat alle vereiste onderdelen. De diensten, rapporten en registraties die door een derde partij worden geleverd, worden regelmatig gecontroleerd en beoordeeld en er worden regelmatig audits uitgevoerd. Het management realiseert zich dat de eindverantwoordelijkheid voor de informatie bij de eigen organisatie berust.Evidence in aanvulling op 2:1. Kopie bewerkersovereenkomsten. 2. Kopie proces "contractmanagement" van de organisatie;3. Kopie procesbeschrijving van het controleren en beoordelen van

dienstverlening door een derde partij;4. Kopie van informatie waaruit blijkt dat de organisatie het heeft

gecontroleerd en beoordeeld. Te denken aan: kopie rapportage (evaluatie?) van het prestatieniveau van

de dienstverlening, kopie dienstverleningsrapport die opgesteld is door derde

partij, kopie auditbevindingen.


De bewerkersovereenkomsten worden regelmatig op termijnen en er wordt gecontroleerd of de geleverde diensten nog conform de afspraken in het contract worden afgenomen (er worden niet meer of minder gegevens geleverd). De diensten, rapporten en registratie worden regelmatig gecontroleerd en beoordeeld en er worden regelmatig audits uitgevoerd.De dienstverleningsrapporten en auditbevindingen worden verwerkt in verbeterplannen.Evidence in aanvulling op 3:1. Kopie analyse bewerkersovereenkomsten (bijvoorbeeld

contractenregister of overzicht met aflopende bewerkersovereenkomsten).

2. Evaluatie en controle van bewerkingen die de leverancier uitvoert, ten opzichte van de in de bewerkersovereenkomst opgenomen bewerkingen;

3. Kopie verbeterplannen die door de derde partij worden geleverd.


De diensten, rapporten en registraties die door de derde partij worden geleverd, worden regelmatig gecontroleerd en beoordeeld en er worden regelmatig audits uitgevoerd.De dienstverleningsrapporten en auditbevindingen worden verwerkt in verbeterplannen.De dienstverlening wordt periodiek geëvalueerd ten opzichte van het ondersteunde business proces en de dienstverleningscontracten worden zo nodig geoptimaliseerd.Evidence in aanvulling op 4:1. Evaluatierapport.




Bevindingen:

Documenten:

Interviews:




4.2 Personeel, deelnemers en gasten

P.11: Transparantie privacy beleid Cluster: Personeel, deelnemers en gasten P11 AVG 5, 12Transparantie privacy beleidDe instelling informeert de (ouders van) deelnemers en medewerkers van wie persoonsgegevens worden verwerkt, beknopt, transparant, eenvoudig toegankelijk en begrijpelijk in duidelijke en eenvoudige taal over het privacy beleid en de rechten en verplichtingen van betrokkenen.Toelichting:Er is een organisatie breed beleid ontwikkeld hoe er met persoonsgegevens wordt omgegaan, wat de doelen zijn, en wat de rechten en plichten zijn. Er is ook duidelijk hoe lang de gegevens worden bewaard, en met wie de gegevens zijn/worden gedeeld. De rechten en plichten van de instelling, deelnemers en medewerkers zijn nader omschreven in een privacy reglement. Openheid en transparantie over de gegevensverwerking is uitgangspunt. Deze informatie wordt bekend gemaakt via een door het College van Bestuur vast te stellen privacy reglement (opgenomen in de studiegids of bijvoorbeeld op de website).

Naast algemene informatie over het privacy beleid van de instelling, wordt iedere deelnemer van wie persoonsgegevens worden gevraagd of verzameld, gewezen op het privacy beleid van de instelling. Dit gebeurt onder meer door het opnemen van extra toelichting of uitleg bij het aanmelden inschrijfformulier. Dit wordt geregeld in statement P.12.



Medewerkers en deelnemers (en hun ouders) worden niet geïnformeerd en er is daarvoor geen beleid opgesteld.


Medewerkers en deelnemers (en hun ouders) worden incidenteel of ad hoc geïnformeerd.Evidence:1. Kopie informatieverstrekking aan medewerkers en deelnemers

(en hun ouders). Volwassenheidsniveau 3(gedefinieerd proces)

Medewerkers en deelnemers (en hun ouders) worden geïnformeerd over de gegevensverwerking door de onderwijsinstelling.Evidence in aanvulling op 2:1. Kopie website en/of studiegids waarin medewerkers en

deelnemers worden geïnformeerd over het privacy beleid.Volwassenheidsniveau 4(Beheerst en meetbaar)

Medewerkers en deelnemers (en hun ouders) worden geïnformeerd over de gegevensverwerking door de onderwijsinstelling. Bestaande medewerkers en deelnemers worden periodiek (ten minste jaarlijks) geïnformeerd over en gewezen op het privacy beleid. Evidence in aanvulling op 3:1. Kopie berichten (reminders) voor medewerkers en deelnemers;2. Kopie aanbevelingen van de Functionaris Gegevensbescherming

op basis van bevindingen tekortkomingen in de informatieplicht;3. Indien van toepassing: kopie berichtgeving aanpassingen privacy

beleid.




Medewerkers en deelnemers worden uitgebreid geïnformeerd over toekomstige ontwikkelingen op het gebied van privacy beleid. Best practices op het gebied van Informatieplicht worden nauwgezet gevolgd door de mbo instelling.Evidence in aanvulling op 4: 1. Kopie berichtgeving toekomstige ontwikkelingen op het gebied

van privacy die in de nabije toekomst van invloed zijn op het beleid Informatieplicht.


Bevindingen:

Documenten:

Interviews:




P.12: Informatieplicht verwerkingen Cluster: Personeel, deelnemers en gasten P12 NIEUW (Wbp); AVG 13Informatieplicht verwerkingen:De instelling informeert actief, al dan niet met gebruikmaking van door leveranciers geleverde informatie, aan de (ouders van) deelnemers en medewerkers van wie persoonsgegevens worden verwerkt, welke verwerking er in welke informatiesystemen binnen de instelling plaatsvindt en welke maatregelen er zijn getroffen om de privacy van die deelnemer te kunnen waarborgen.Aan de betrokken deelnemers en docenten wordt beknopt, transparant, eenvoudig toegankelijk en begrijpelijk in duidelijke en eenvoudige taal ten minste medegedeeld: De identiteit en contactgegevens van de verantwoordelijke (CvB van de onderwijsinstelling), De contactgegevens van de FG of PO, welke (categorieën) persoonsgegevens worden verwerkt, het doel van de verwerking, of die verwerking beperkt is tot dat wat voor het gestelde doeleinde strikt noodzakelijk is, of persoonsgegevens ook voor andere doeleinden worden verwerkt, wat de bewaar- en vernietigingstermijnen zijn; of persoonsgegevens worden gedeeld met commerciële derden, of persoonsgegevens worden verkocht of verhuurd, of persoonsgegevens gecodeerd worden bewaard.Toelichting:Naast het op hoofdlijnen informeren van de medewerkers en studenten over het algemene privacy beleid en reglement (zie P.11), moeten betrokkenen ook concreet worden geïnformeerd over iedere verwerking hún gegevens. Denk hierbij aan het inschrijfformulier waar een toelichting is bijgesloten over wat er met de persoonsgegevens wordt gedaan (de doeleinden, en bijvoorbeeld met wie de gegevens binnen de instelling worden gedeeld). Het moet voor hen volstrekt helder en begrijpelijk zijn welke gegevens er over hen worden verzameld, en wat er met de gegevens gebeurt. Openheid en transparantie over de gegevensverwerking is ook hier uitgangspunt. Kernbegrippen bij deze communicatie zijn ‘beknopt en duidelijk’. De boodschap is afgestemd op de ontvanger. Medewerkers en deelnemers worden geïnformeerd over de soorten verwerkingen zoals een verwijzing naar de door de instelling gebruikte systemen en leveranciers. De bijlage bij de modelbewerkersovereenkomst (IBPDOC28) betreft de privacy bijsluiter waarin leveranciers zelf uiteenzetten welke categorieën persoonsgegevens er worden verwerkt, voor welke doelen. Verwijzing naar deze bijsluiter is dan ook zeker een optie.

Voorbeeld reglement als bijlage bij BIV en PIA bekostiging (IBPDOC15).


Medewerkers en deelnemers (en hun ouders) worden niet geïnformeerd over de verwerkingen waar hun persoonsgegevens bij betrokken zijn en er is daarvoor geen beleid opgesteld.


Medewerkers en deelnemers (en hun ouders) worden incidenteel of ad hoc geïnformeerd over de verwerkingen waar hun persoonsgegevens bij betrokken zijn.Evidence:2. Kopie informatieverstrekking aan medewerkers en deelnemers


Medewerkers en deelnemers (en hun ouders) worden geïnformeerd over de verwerkingen waar hun persoonsgegevens bij betrokken zijn.Evidence in aanvulling op 2:2. Kopie website en/of studiegids waarin medewerkers en

deelnemers worden geïnformeerd over het privacy beleid en/of;3. Kopie (persoonlijke) berichtgeving aan medewerkers en

deelnemers.




Nieuwe medewerkers en deelnemers (en hun ouders) worden geïnformeerd over de verwerkingen waar hun persoonsgegevens bij betrokken zijn. Bestaande medewerkers en deelnemers worden periodiek (ten minste jaarlijks) geïnformeerd over en gewezen op de voor hen relevante verwerkingen. Evidence in aanvulling op 3:4. Kopie aanbevelingen van de Functionaris Gegevensbescherming


beleid. Volwassenheidsniveau 5(Geoptimaliseerd)

Medewerkers en deelnemers worden uitgebreid geïnformeerd over toekomstige ontwikkelingen die van invloed zijn op de specifieke verwerkingen van hun persoonsgegevens door de instelling. Best practices op het gebied van Informatieplicht worden nauwgezet gevolgd door de mbo instelling.Evidence in aanvulling op 4: 2. Kopie berichtgeving toekomstige ontwikkelingen op het gebied



Bevindingen:

Documenten:

Interviews:




P.13: Rechten betrokkeneCluster: Personeel, deelnemers en gasten P13 NIEUW (Wbp); AVG 12, 13, 15, 16, 17, 20Respecteren rechten van betrokkeneDe instelling respecteert expliciet de volgende rechten:

P.13. a. Deelnemers (dan wel hun ouders) en medewerkers hebben het recht een verzoek te doen ter verbetering, aanvulling, verwijdering of afscherming van hun persoonsgegevens, in het geval dat deze gegevens: feitelijk onjuist zijn, voor het gestelde doeleinde onvolledig of niet ter zake dienend zijn, de verwerking van de persoonsgegevens niet meer nodig is, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt.

P.13.b De verbetering, aanvulling of verwijdering wordt voor zover redelijkerwijs mogelijk doorgegeven aan alle personen en organisaties die van de onderwijsinstelling hebben ontvangen. P.13.c Deelnemers hebben het recht om geheel ‘te worden vergeten’ door het verwijderen van alle persoonsgegevens, tenzij de onderwijsinstelling op grond van een wettelijke plicht, of ter vrijwaring van een rechtsvordering deze gegevens moet bewaren. Evenmin worden de gegevens verwijderd indien deze verwijdering een inbreuk op de vrijheid van meningsuiting en informatie oplevert. P.13.d In geval de verwerking van persoonsgegevens plaatsvindt op basis van toestemming of een overeenkomst, heeft de deelnemer heeft recht om de door de onderwijsinstelling verwerkte persoonsgegevens in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen. P.13.e De betrokken deelnemer wordt in kennis gesteld van de door de onderwijsinstelling uitgevoerde handelingen met zijn persoonsgegevens.

Toelichting:In vervolg op P.11 en P.12 wordt in het gecommuniceerde privacy beleid van de instelling verwezen naar de rechten en plichten van de deelnemers en medewerkers. Deze rechten moeten zonder belemmering kunnen worden uitgevoerd. Het gaat hierbij om:

de betrokkene wordt (vooraf) in begrijpelijke taal actief en laagdrempelig geïnformeerd over de gegevensverwerking;

het op verzoek van de betrokkene inzage geven welke persoonsgegevens er worden verwerkt; het op verzoek van betrokkene corrigeren van ontbrekende of verkeerd vastgelegde

persoonsgegevens; het op verzoek van betrokkenen verwijderen van persoonsgegevens die niet (langer) nodig zijn om

de vastgestelde doelen te behalen; het door betrokkene verzet instellen tegen een verwerking van zijn persoonsgegevens die plaats

vond op grond van een gerechtvaardigd belang. Een voorbeeld hiervan is het gebruik van de persoonsgegevens door de leverancier van leermiddelen van de deelnemer , wil niet langer aanbiedingen krijgen en meldt zich af.

Het terugkoppelen van eventuele verbetering, aanvulling of verwijdering aan alle personen en organisaties die de gegevens hebben ontvangen van de deelnemer.

De betrokkene krijgt terugkoppeling van de door de onderwijsinstelling verrichte handelingen. Deze rechten moeten binnen een redelijke tijd worden uitgeoefend, zonder dat de betrokkene een buitensporige vergoeding hoeft te betalen. De verstrekte informatie moet gemakkelijk leesbaar en begrijpelijk zijn. Met betrekking tot het recht op wissing van alle persoonsgegevens, zal een onderwijsinstelling niet aan dat verzoek kunnen voldoen zolang er een wettelijke bewaarplicht loopt. Dat neemt niet weg dat het dossier moet worden geschoond en ontdaan van alle persoonsgegevens die niet onder een wettelijke bewaarplicht vallen.

De onderwijsdeelnemer heeft ook het recht op een export of download van zijn gegevens uit de administraties van de onderwijsinstelling, in het geval de verwerking van de persoonsgegevens plaatsvindt op basis van toestemming of een onderwijsovereenkomst (OOK). Het betreft slechts gegevens uit geautomatiseerde systemen.




Deelnemers en medewerkers worden niet (actief) gewezen op hun rechten.


Medewerkers en deelnemers (en hun ouders) worden incidenteel of ad hoc geïnformeerd over hun rechten.Evidence:3. Kopie informatieverstrekking aan medewerkers en deelnemers


Medewerkers en deelnemers (en hun ouders) worden actief geïnformeerd over hun rechten.Evidence in aanvulling op 2:4. Kopie website en/of studiegids waarin medewerkers en

deelnemers worden geïnformeerd over het privacy beleid en/of;

5. Kopie (persoonlijke) berichtgeving aan medewerkers en deelnemers.


Alle nieuwe medewerkers en deelnemers (en hun ouders) worden actief geïnformeerd over hun rechten. Bestaande medewerkers en deelnemers worden periodiek (ten minste jaarlijks) geïnformeerd over en gewezen op de voor hen relevante rechten. Evidence in aanvulling op 3:6. Kopie (persoonlijke) berichtgeving aan medewerkers en

deelnemers;7. Kopie aanbevelingen van de Functionaris Gegevensbescherming


beleid. Volwassenheidsniveau 5(Geoptimaliseerd)

Medewerkers en deelnemers worden uitgebreid geïnformeerd over toekomstige ontwikkelingen die van invloed zijn op hun rechten. Best practices op het gebied van de rechten van de medewerkers en deelnemers worden nauwgezet gevolgd door de mbo instelling.Evidence in aanvulling op 4: 3. Kopie berichtgeving toekomstige ontwikkelingen op het gebied



Bevindingen:

Documenten:

Interviews:




P.14: ArbeidsvoorwaardenCluster: Personeel, deelnemers en gasten P14 AVG 2.1 (ISO 7.1.2); AVG 9, 38, 90ArbeidsvoorwaardenIn de contractuele overeenkomst met medewerkers en contractanten zijn hun (eventuele) verantwoordelijkheden voor privacy opgenomen. In deze overeenkomst is voorzien in een vertrouwelijkheids- of geheimhoudingsbeding ten aanzien van de verwerkte persoonsgegevens.Toelichting:Als onderdeel van hun contractuele verplichting behoren werknemers, ingehuurd personeel en externe gebruikers de algemene voorwaarden te aanvaarden en te ondertekenen van hun arbeidscontract, waarin hun verantwoordelijkheden en die van de organisatie ten aanzien van privacy behoren te zijn vastgelegd. (Er mag een gedragscode worden gebruikt om de verantwoordelijkheden van gebruikers te dekken ten aanzien van vertrouwelijkheid, gegevensbescherming, ethiek, passend gebruik van voorzieningen enz. Ingehuurde of gedetacheerde gebruikers zijn verbonden met een externe organisatie, die op haar beurt weer verplicht kan zijn om contracten af te sluiten namens de ingehuurde persoon).

Een FG is met betrekking tot de uitvoering van zijn taken volgens wetgeving tot geheimhouding en vertrouwelijkheid gehouden. Niveaus Beheersmaatregel (plus evidence) AuditVolwassenheidsniveau 1(Ad hoc / initieel)

Er zijn geen afspraken vastgelegd, werknemers handelen op eigen initiatief, het is niet duidelijk wat de verantwoordelijkheden zijn, de algemene voorwaarden zijn niet algemeen bekend.Processen en werkwijzen voor aanvaarding van eigen verantwoordelijkheden en die van de organisatie door werknemers, ingehuurd personeel en externe gebruikers ten aanzien van privacy worden op ad-hoc basis benaderd. Er is geen sprake van een vastomlijnd proces of beleid.


Er zijn bepaalde afspraken vastgelegd maar nog niet opgenomen in de arbeidsvoorwaarden. Er verschijnen gelijksoortige en gemeenschappelijke processen voor aanvaarding van eigen verantwoordelijkheden en die van de organisatie door werknemers, ingehuurd personeel en externe gebruikers ten aanzien van privacy, maar deze zijn grotendeels intuïtief vanwege het individuele karakter van de expertise. Bepaalde aspecten van het proces zijn reproduceerbaar vanwege die individuele expertise, en er kan sprake zijn van enige documentatie en een zeker begrip van beleid en procedures. Evidence: 1. Kopie van mogelijk beschikbaar beleid en procedures;2. Kopie van gedragscode(s) in het kader van privacy.


Er zijn organisatie breed afspraken die door medewerkers moeten worden ondertekend. Langzaamaan worden steeds vaker best practices toegepast voor aanvaarding van eigen verantwoordelijkheden en die van de organisatie door werknemers, ingehuurd personeel en externe gebruikers ten aanzien van privacy. Voor alle belangrijke activiteiten worden proces, beleid en procedures gedefinieerd en gedocumenteerd.Evidence in aanvulling op 2:1. Kopie cao, regelingen personeel, beleid, procesbeschrijving waarin

de organisatie brede afspraken zijn opgenomen;2. Kopie werkinstructies/ gedragscode;3. Kopie (geanonimiseerd) arbeidscontract indien de algemene

voorwaarden m.b.t. privacy daarin zijn vastgelegd.




Langzaamaan worden steeds vaker best practices toegepast voor aanvaarding van eigen verantwoordelijkheden en die van de organisatie door werknemers, ingehuurd personeel en externe gebruikers ten aanzien van privacy. Voor alle belangrijke activiteiten worden proces, beleid en procedures gedefinieerd en gedocumenteerd. Periodiek vindt evaluatie plaats (PDCA).Evidence in aanvulling op 3:1. Informatie over periodieke evaluatie en herziening van proces en

procedures.Volwassenheidsniveau 5(Geoptimaliseerd)

Er worden externe best practices en normen toegepast voor aanvaarding van eigen verantwoordelijkheden en die van de organisatie ten aanzien van privacy. De procesdocumentatie is geëvolueerd tot een stelsel van geautomatiseerde work flows. Processen, beleid en procedures zijn gestandaardiseerd en geïntegreerd, ten behoeve van een effectief beheer en verbeteringen in alle stadia.Evidence in aanvulling op 4: 1. Kopie beleid waaruit blijkt dat externe best practices zijn

opgenomen;2. Kopie beschrijving workflow proces(sen);3. Kopie procesgegevens workflow.


Bevindingen:

Documenten:

Interviews:




P.15: Bewustzijn, opleiding en training ten aanzien van privacyCluster: Personeel, deelnemers en gasten P15 AVG 2.2 (ISO 7.2.2); AVG 39Bewustzijn, opleiding en training ten aanzien van privacyAlle interne en externe medewerkers van de organisatie behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. De FG is hierbij betrokken.Toelichting:Alle werknemers, ingehuurd personeel en externe gebruikers moeten bewust worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, en over de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen. Zij behoren geschikte training en regelmatige bijscholing te krijgen met betrekking tot beleid en procedures van de organisatie, voor zover relevant voor hun functie.

Bewustmakingstrainingen, bijv. een introductieprogramma waarin de verwachtingen van de organisatie worden behandeld voordat toegang wordt verleend tot informatie of diensten, behoort tot de mogelijkheden. Niveaus Beheersmaatregel (plus evidence) AuditVolwassenheidsniveau 1(Ad hoc / initieel)

Het is niet duidelijk welke procedures gelden en voor wie dit relevant is.


Voor kritieke terreinen zijn minimale eisen t.a.v. vaardigheden vastgesteld. Training wordt pas aangeboden als daar behoefte aan blijkt te bestaan en niet op basis van een overeengekomen plan; de opleiding bestaat deels uit informele praktijktraining.Evidence:1. Kopie van vaardigheidseisen die gesteld worden aan functies voor

informatiebeveiliging;2. Kopie van (informele) praktijktrainingen voor privacy.


Op alle terreinen zijn de benodigde vaardigheden bekend en benoemd. Er is een formeel opleidingsplan opgesteld, de formele training gaat echter nog uit van afzonderlijke initiatieven.Evidence in aanvulling op 2:1. Kopie recente opleidingsplan;2. Kopie lijst met opgestelde cursussen en bijscholingen;3. Kopie documentatie (nieuwsbrief, flyers of aankondigingen) m.b.t.

het aanmelden van de cursussen;4. Kopie enkele materialen van recente cursussen.


Voor alle terreinen worden de vaardigheidsvereisten stelselmatig bijgehouden; op alle kritieke gebieden is de deskundigheidsbevordering gewaarborgd en certificering wordt aangemoedigd. Er worden volwaardige trainingstechnieken toegepast.Evidence: in aanvulling op niveau 3:1. trainingstechnieken worden toegepast conform het

opleidingsplan, en kennisdeling wordt bevorderd (recente training). Alle personen met specifieke kennis worden hierbij betrokken en de effectiviteit van het opleidingsplan wordt beoordeeld. (evaluatie training)




De organisatie hanteert een formeel proces voor het stimuleren van voortdurende vaardigheidsverbetering, gebaseerd op heldere persoonlijke en organisatie brede doelstellingen. Training en opleiding ondersteunen externe best practices en het gebruik van geavanceerde concepten en technieken. Kennisdeling is onderdeel van de bedrijfscultuur en vervat in geïntegreerde bedrijfssystemen. Advies wordt ingewonnen van externe deskundigen en vooraanstaande sectorgenoten.Evidence in aanvulling op 4:1. Cursussen en trainingen voldoen aan externe best practices en het

gebruik van geavanceerde concepten en technieken m.b.t. informatiebeveiliging;

2. Kopie adviezen van externe deskundigen m.b.t. informatiebeveiliging.


Bevindingen:

Documenten:

Interviews:




4.3 Ruimte en apparatuur

P.16: Verwijderen van persoonsgegevensCluster: Ruimte en apparatuur P16 ; AVG 5Verwijderen van persoonsgegevens: van apparatuur die niet langer wordt gebruikt, worden de op het apparaat aanwezige persoonsgegevens op een betrouwbare en veilige wijze vernietigd. Vernietiging is mogelijk door vernietiging van de gegevensdrager zelf. In geval van vernietiging door een derde, geeft deze een verklaring af aangaande de vernietiging.Toelichting:In het informatiebeveiligingsbeleid zijn statemens en procedures opgenomen over vernietiging van niet-langer in gebruik zijnde apparatuur. In aanvulling hierop gelden er aparte regels als er op gegevensdragers persoonsgegevens staan. Van de vernietiging dient bewijs te zijn dat de gegevens vernietigd zijn als dit door een extern bedrijf geschiedt. Niveaus Beheersmaatregel (plus evidence) AuditVolwassenheidsniveau 1(Ad hoc / initieel)

Naar eigen inzicht, op individueel niveau.


Voor specifieke gegevens dragers zijn afspraken gemaakt bij vernietiging van apparatuur en gegevensdragers, maar nog niet voor alle gegevensdragers.


De vernietiging van de apparatuur geschiedt gestructureerd waarbij de vernietiging altijd gedocumenteerd wordt. Ook in geval van vernietiging door de instelling zelf, wordt deze vernietiging gedocumenteerd. Bij vernietiging door een derde, wordt de vernietiging actief gevolgd en wordt voor opvolging gezorgd indien de benodigde verklaring niet wordt afgegeven. Evidence:1. Kopie procedurebeschrijving voor verwijderen van apparatuur;2. Kopie van informatie waaruit blijkt dat de organisatie conform

het procedurebeschrijving heeft uitgevoerd. Te denken aan: kopie contractovereenkomst met een goedgekeurde

verwijderbedrijf; kopie checklist bij het verwijderen van apparatuur; kopie getekende verklaring van vernietiging door (interne)

medewerker; kopie van een registerlijst met alle verwijderde apparatuur

met verwijzing van het gebruik (welk type gegevens aanwezig was op de apparatuur).


Evidence in aanvulling op 3: 1. Er is een gedegen en volledig proces, PDCA belegd, en er worden

interne best practices toegepast. Alle aspecten van het proces zijn gedocumenteerd en reproduceerbaar. Beleidsvoorschriften zijn goedgekeurd en bekrachtigd door het management. Er vinden regelmatige controles plaats op de effectiviteit van de beveiligingsmaatregelen.


Evidence in aanvulling op 4:1. Er worden externe best practices en normen toegepast. De

procesdocumentatie is geëvolueerd tot een stelsel van geautomatiseerde work flows. Processen, beleid en procedures zijn gestandaardiseerd en geïntegreerd, ten behoeve van een effectief beheer en verbeteringen in alle stadia.




Bevindingen:

Documenten:

Interviews:




4.4 Vertrouwelijkheid en integriteit

P.17: DatakwaliteitCluster: Continuïteit P17 WBP NIEUW ; AVG 5, 32DatakwaliteitDe verantwoordelijke gaat zorgvuldig om met de verwerkte persoonsgegevens en waarborgt het behoud en bescherming van de juistheid en de consistentie van die gegevens.Toelichting:Datakwaliteit is een uitvloeisel van informatiebeveiligings- en privacy beleid. Met de introductie van de AVG (die per 25 mei 2018 in werking treedt), is een grotere nadruk komen te liggen op integriteit van data . Data-integriteit maakt daarom onderdeel uit van de vijf (herziene) vuistregels voor privacy (zie statement P.3).

De datakwaliteit wordt allereerst bepaald door de medewerkers maar zeker ook door de gebruikte applicaties. De onderwijsinstelling moet er voor zorgen dat de gegevens juist zijn en zo nodig worden geactualiseerd. Alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.


Er is geen beleid voor het waarborgen van de datakwaliteit. Voor sommige systemen zijn ad hoc maatregelen genomen.


De datakwaliteit (integriteit) wordt incidenteel getoetst op juistheid, volledigheid en tijdigheid. Er is geen algemeen beleid. De datakwaliteit wordt alleen gegarandeerd in het kader van de bekostiging.Evidence:1. Kopie waaruit blijkt dat de bekostigingsgegevens door de

externe accountant zijn voorzien van een goedkeurende verklaring.


De datakwaliteit (integriteit) wordt instelling breed getoetst op juistheid, volledigheid en tijdigheid. Er is een algemeen beleid. De integriteit wordt nagestreefd voor alle data.Evidence in aanvulling op 2:1. Kopie interne audit op datakwaliteit van alle bestanden plus

aanbevelingen.Volwassenheidsniveau 4(Beheerst en meetbaar)

De datakwaliteit (integriteit) wordt instelling breed getoetst op juistheid, volledigheid en tijdigheid. Er is een algemeen beleid. De integriteit wordt gegarandeerd voor alle data.Evidence in aanvulling op 3:1. Kopie interne audit op datakwaliteit van alle bestanden.2. Kopie aanbevelingen voor aanpassing applicaties zodat

integriteit gewaarborgd blijft.3. Kopie goedkeuring College van Bestuur voor nieuw beleid in het

kader van Datakwaliteit.Volwassenheidsniveau 5(Geoptimaliseerd)

Externe best practices worden bestudeerd en meegenomen in toekomstig beleid.Evidence in aanvulling op 4: 1. Kopie toekomstig beleid op het gebied van datakwaliteit.


Bevindingen:



Documenten:

Interviews:




P.18: DatalekCluster: Continuïteit P18 WBP 1.20 (ISO 18.1.4) Emergency Response

team; AVG 33DatalekIn geval van een inbreuk in verband met de (beveiliging van) persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens, En die inbreuk houdt een risico in voor de rechten en vrijheden van betrokkenen, dan meldt de verantwoordelijke de inbreuk bij de AP zo snel mogelijk, doch uiterlijk binnen 72 uur nadat de inbreuk bekend is geworden.

Deze inbreuk wordt aan getroffen betrokkenen gemeld indien de inbreuk een waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. De getroffen deelnemers en medewerkers worden geïnformeerd over de aard van de inbreuk, en de gevolgen van de inbreuk op hun privacy.Toelichting:Een inbreuk in verband met persoonsgegevens, is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Er is een beleid voor datalekken (calamiteiten). De AP heeft een meldingsprocedure in een richtlijn opgenomen die moet worden gevolgd. Aangezien de gestelde termijnen kort zijn, en ook in geval van vakanties onverkort gelden, is het belangrijk dat de procedures bij datalekken goed zijn ingeregeld en optimaal werken.

Indien de instelling al aan incident management doet dan moet expliciet rekening gehouden worden met datalekken.

De tekst van het statement is aangepast aan de AVG. IBPDOC15Niveaus Beheersmaatregel (plus evidence) AuditVolwassenheidsniveau 1(Ad hoc / initieel)



Er zijn afspraken over maatregelen maar die zijn niet formeel vastgelegd. Ze zijn specifiek ingericht op afdelingsniveau of in een bepaald bedrijfsproces en zijn intuïtief, gebaseerd op individuele kennis en expertise.Evidence (indien beschikbaar):1. Inrichtings- of procesdocumenten waaruit blijkt dat er specifieke

maatregelen genomen zijn.Volwassenheidsniveau 3(gedefinieerd proces)

Er is beleid vastgesteld en dit wordt nageleefd.Evidence:1. Kopie goedgekeurde beleid voor bescherming van

persoonsgegevens;2. Kopie van informatie waaruit blijkt dat het beleid met de

medewerkers zijn gecommuniceerd (te denken aan flyers, presentaties);

3. Kopie (/referentie naar) nationale weten regelgeving zodat aantoonbaar is dat de organisatie de wet heeft gehanteerd (cross reference tussen registratie en regelgeving).




Er is een proces ingericht wat de toepassing van het beleid waarborgt. Daarin wordt onder andere zorg gedragen voor actualisatie van:welk CvB lid eindverantwoordelijk is;bij welke functionaris de rol/functie van Functionaris voor de Gegevensbescherming (FG) is belegd;wie de gegevensverwerkers zijn;hoe betrokkenen in staat zijn invloed uit te oefenen op wat er met hun persoonsgegevens gebeurt en hoe daarop wordt toegezien.Evidence in aanvulling op 3:1. Kopie van een actueel overzicht van de procesonderwerpen.


Het proces en het privacy beleid is ingericht conform externe best practices. Het beleid wordt periodiek geëvalueerd en zo nodig bijgesteld. Men houdt in het proces in de gaten wanneer gebruik, regels en voorschriften veranderen en past het beleid hier op aan.Het proces maakt onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit en compliance proces.Evidence in aanvulling op 4: 1. Kopie waaruit blijkt welke best-practices gehanteerd worden

(bv. richtsnoer informatiebeveiliging van het CBP, aangevuld met branche specifieke afspraken.);

2. Kopie van het interne audit en compliance proces. Beoordeling (aanwezigen, datum en locatie):

Bevindingen:

Documenten:

Interviews:




P.19: Toegang tot bijzondere persoonsgegevens Cluster: Vertrouwelijkheid en integriteit P19 WBP 5.5 (ISO 9.2.3), 5.6 (ISO 9.2.4),

5.7 (ISO 9.3.1) en 5.8 (ISO 9.4.1); AVG 9, 22, 32Bijzondere persoonsgegevensBij verwerking van bijzondere persoonsgegevens neemt de instelling (extra) passende, consequente en specifieke maatregelen om de veiligheid van de gegevens te garanderen. Het gebruik van deze bijzondere gegevens blijft beperkt tot alleen die gevallen dat de informatie strikt noodzakelijk en evenredig is.Toelichting:Bij het gebruik van bijzondere persoonsgegevens wordt expliciet gemotiveerd waarom deze noodzakelijk zijn. Het gebruik van deze gegevens, en de toegang daartoe, vraagt om aparte beveiligingsmaatregelen. Dit betreft de volgende statements uit het toetsingskader IB mbo:5.5 Beheren van speciale toegangsrechten: Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst.5.6 Beheer van geheime authenticatie-informatie van gebruikers: Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces.5.7 Geheime authenticatie-informatie gebruiken: Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie informatie houden aan de praktijk van de organisatie.5.8 Beperking toegang tot informatie: Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging.Niveaus Beheersmaatregel (plus evidence) AuditVolwassenheidsniveau 1(Ad hoc / initieel)



De statements 5.5, 5.6, 5.7 en 5.8 uit het toetsingskader Informatiebeveiliging worden op het volwassenheidsniveau 1 of 2 beoordeeld.Evidence (indien beschikbaar):1. Kopie van de interne audit waarbij op basis van bewijzen

(evidence) het volwassenheidsniveau 1 of 2 wordt aangetoond.Volwassenheidsniveau 3(gedefinieerd proces)

De statements 5.5, 5.6, 5.7 en 5.8 uit het toetsingskader Informatiebeveiliging worden op het volwassenheidsniveau 2 beoordeeld. Bovendien is er een plan van aanpak beschikbaar met het doel om binnen twee jaar het volwassenheidsniveau 3 te realiseren.Evidence:1. Kopie van de interne audit waarbij op basis van bewijzen

(evidence) het volwassenheidsniveau 2 wordt aangetoond. 2. Kopie plan van aanpak waarbij de doelstelling geformuleerd wordt

om binnen 2 jaar het volwassenheidsniveau 3 te bereiken.Volwassenheidsniveau 4(Beheerst en meetbaar)

De statements 5.5, 5.6, 5.7 en 5.8 uit het toetsingskader Informatiebeveiliging worden op het volwassenheidsniveau 3 beoordeeld.Evidence in aanvulling op 3:1. Kopie van de interne audit waarbij op basis van bewijzen

(evidence) het volwassenheidsniveau 3 wordt aangetoond.Volwassenheidsniveau 5(Geoptimaliseerd)

Tenminste 2 van de statements 5.5, 5.6, 5.7 en 5.8 uit het toetsingskader Informatiebeveiliging worden op het volwassenheidsniveau 4 beoordeeld.Evidence in aanvulling op 4: 1. Kopie van de interne audit waarbij op basis van bewijzen

(evidence) tenminste voor 2 statements het volwassenheidsniveau 4 wordt aangetoond.




Bevindingen:

Documenten:

Interviews:




4.5 Controle en Logging

P.20: Privacy in informatiesystemenCluster: Controle en Logging P20 WBP 1.5 (ISO 6.1.5); AVG 25Privacy in informatiesystemenBij het gebruiken en/of ontwerpen van informatiesystemen die persoonsgegevens van deelnemers en medewerkers verwerken, worden privacy regels zoals privacy by design en privacy by default in die systemen aangehouden en zo mogelijk ingebouwd:

• Gegevensminimalisatie af te dwingen (zo min mogelijk vrije velden).• Transparantie over gebruik van gegevens• Afschermen van de identiteit (pseudonimisering)• Gebruik sticky policies • Data tracking (waaronder logging).

Toelichting:Gegevensbescherming door ontwerp (privacy by design) en gegevensbescherming door standaardinstellingen (privacy by default) zorgen er voor dat privacy bescherming uitgangspunt is in de onderwijsinstelling. Privacy behoort daarom te worden geïntegreerd in de projectbeheermethode(n) van de organisatie om ervoor te zorgen dat informatiebeveiligingsrisico’s worden geïdentificeerd en aangepakt als deel van een project. Dit geldt in het algemeen voor elk project ongeacht het karakter, bijv. een project voor een proces voor kernactiviteiten, IT, ‘facility management’ en andere ondersteunende processen.Niveaus Beheersmaatregel (plus evidence) AuditVolwassenheidsniveau 1(Ad hoc / initieel)

Aandacht voor privacy is niet geborgd in projectmethodiek. Aandacht vindt plaats uit persoonlijk initiatief of indien het projecten betreft rond beveiligingsmaatregelen.


Privacy blijkt - uit notulen of tekstfragmenten in projectdocumenten – zichtbaar aandacht te besteden aan informatiebeveiliging en privacy aspecten. Formeel geregeld is het nog niet.Evidence:1. Kopie van documenten waaruit blijkt dat aandacht is besteed

aan privacy aspecten.Volwassenheidsniveau 3(gedefinieerd proces)

De projectmethodiek beschrijft in proces en producten op welke wijze tijdens projecten met privacy beleid wordt omgegaan. Templates bevatten privacy paragrafen en op verschillende momenten in het project zoals Go / No Go momenten en projectevaluatie wordt de kwaliteit van informatiebeveiliging meegewogen.Evidence:2. Projecttemplates bevatten privacy paragraaf;3. Methodiek beschrijft vereiste aandacht voor privacy;4. Functionaris Gegevensbescherming heeft adviesfunctie binnen

projecten;5. Risico analyse en Gegevensbeschermingseffectbeoordeling zijn

verplichte componenten in ieder project.Volwassenheidsniveau 4(Beheerst en meetbaar)

Projecten hebben zichtbaar aandacht besteed aan privacy. Kwaliteit van Risico analyse en Gegevensbeschermingseffectbeoordeling zijn geëvalueerd, in evaluaties is betrokkenheid van de informatiebeveiligingsfunctie mede beoordeeld.Evidence in aanvulling op 3:1. Risico analyse en Gegevensbeschermingseffectbeoordeling zijn

in meerdere projecten uitgevoerd;2. Advies Functionaris Gegevensbescherming is in dossier

aanwezig;3. In projectevaluaties is aandacht voor privacy zichtbaar.




Privacy heeft in ten minste vijf projecten zichtbaar aandacht gekregen. Leerpunten zijn getrokken en hebben inmiddels tot het bijstellen van de projectaanpak geleid.Evidence in aanvulling op 4:1. Verbeterpunten zijn geformuleerd;2. Vernieuwde versie projectmethodiek aanwezig;3. Meerdere projectdeelnemers hebben inmiddels in meerdere

projecten zichtbaar aandacht besteed aan informatiebeveiliging.Beoordeling (aanwezigen, datum en locatie):

Bevindingen:

Documenten:

Interviews:




P.21: GegevensbeschermingseffectbeoordelingCluster: Controle en Logging P20 AVG 1.5 (ISO 6.1.5); AVG 5, 24, 35, 39Gegevensbeschermingseffectbeoordeling (GBEB, voorheen PIA) De instelling voert een (tweejaarlijks terugkerende) evaluatie uit van de mogelijke effecten van de

verschillende gegevensverwerking op de rechten en vrijheden van de betrokkenen. Deze evaluatie vindt eveneens plaats in geval van een wijziging in de verwerking van persoonsgegevens die specifiek de risico’s wijzigt voor de privacy van de betrokken deelnemers en medewerkers.

De instelling voert naar aanleiding van de evaluatie een volledige GBEB uit in geval de verwerking van de persoonsgegevens: in geval van een systematische en uitgebreide beoordeling van persoonlijke aspecten van

betrokkenen, die is gebaseerd op geautomatiseerde verwerking, waaronder geautomatiseerde besluitvorming, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;

Bijzondere persoonsgegevens (ras, gezondheid) worden verwerkt; Geautomatiseerde bewaking van publiek toegankelijke ruimtes.

De beoordeling heeft betrekking op de gehele levenscyclus van persoonsgegevens van verzameling van verwerking tot verwijdering.

In geval van herziening van of nieuwe verwerkingen van grote hoeveelheden persoonsgegevens, wordt vooraf bepaald wat de impact is van deze (gewijzigde) verwerking op de privacy van de deelnemers.

Bij de GBEB is altijd de FG betrokken. Toelichting:Informatiebeveiliging behoort te worden geïntegreerd in de projectbeheermethode(n) van de organisatie om ervoor te zorgen dat informatiebeveiligingsrisico’s worden geïdentificeerd en aangepakt als deel van een project. Dit geldt in het algemeen voor elk project ongeacht het karakter, bijv. een project voor een proces voor kernactiviteiten, IT, ‘facility management’ en andere ondersteunende processen.

Een GBEB is een toets waarmee op een gestructureerde en heldere manier in beeld brengen privacy risico’s in beeld kunnen worden gebracht. Het daarbij om te onderzoeken wat impact is van het gebruik van persoonsgegevens op de privacy van de betrokkenen, wat de risico’s zijn voor de organisatie en of er alternatieven zijn die minder impact hebben. Een GBEB is vanaf 25 mei 2018 in ieder geval verplicht in geval van:

Geautomatiseerde besluitvorming: als ict-systemen automatisch beslissingen nemen op basis van een profiel dat over een betrokkene is samengesteld.

Als er op grote schaal bijzondere persoonsgegevens worden gebruikt (zoals gezondheid, religie). Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

Een GBEB bevat ten minste de volgende onderdelen: 1. Een systematische beschrijving van de beoogde gebruik van de persoonsgegevens, en het beoogd

doel daarvan; 2. Een beoordeling van de noodzaak en de evenredigheid van het gebruik in relatie tot het doel; 3. Een beoordeling van de risico’s voor de privacy van de betrokkenen;4. Een beoordeling van de te nemen maatregelen om de risico’s te beperken (zoals

veiligheidsmaatregelen, dataminimalisatie, privacy-enhancing-technologies zoals pseudonimisering).

Als er binnen de instelling een FG is aangesteld, is deze betrokken bij de PIA of gbeb.

Indien uit een GBEB blijkt dat de gegevensverwerking een hoog risico zou opleveren, dan moeten er maatregelen worden genomen om dat risico te mitigeren. Indien dat niet mogelijk is, is vanaf mei 2018 voorafgaand overleg met de AP noodzakelijk.

Documenten: Model beleid informatiebeveiligings- en privacy beleid (IBPDOC6)Niveaus Beheersmaatregel (plus evidence) AuditVolwassenheidsniveau 1(Ad hoc / initieel)

Aandacht voor privacy is niet geborgd in projectmethodiek. Aandacht vindt plaats uit persoonlijk initiatief of indien het projecten betreft rond beveiligingsmaatregelen.




Privacy blijkt - uit notulen of tekstfragmenten in projectdocumenten – zichtbaar aandacht te besteden aan informatiebeveiliging en privacy aspecten. Formeel geregeld is het nog niet.Evidence:1. Kopie van documenten waaruit blijkt dat aandacht is besteed aan

privacy aspecten.Volwassenheidsniveau 3(gedefinieerd proces)

Periodiek voert de instelling een evaluatie uit van de mogelijke effecten van de verschillende gegevensverwerkingen op de rechten en vrijheden van de betrokkenen. Ook bij wijzigingen in bestaande diensten, projecten of software, wordt een (nieuwe) evaluatie uitgevoerd.Evidence:2. Projecttemplates bevatten privacy paragraaf;3. Methodiek beschrijft vereiste aandacht voor privacy;4. Functionaris Gegevensbescherming heeft adviesfunctie binnen

projecten;5. Aantoonbare periodieke evaluaties van de bestaande

gegevensverwerkingen; 6. Risico analyse en GEB (BIA/PIA) zijn verplichte componenten in

ieder project.Volwassenheidsniveau 4(Beheerst en meetbaar)

Periodiek voert de instelling een evaluatie uit van de mogelijke effecten van de verschillende gegevensverwerkingen op de rechten en vrijheden van de betrokkenen.De kwaliteit van Risico analyse en Gegevensbeschermingseffectbeoordeling zijn geëvalueerd, in evaluaties is betrokkenheid van de informatiebeveiligingsfunctie mede beoordeeld.Evidence in aanvulling op 3:1. Risico analyse en Gegevensbeschermingseffectbeoordeling zijn in

meerdere projecten uitgevoerd;2. Advies Functionaris Gegevensbescherming s is in dossier aanwezig;3. In projectevaluaties is aandacht voor privacy zichtbaar.


Privacy heeft in ten minste vijf projecten zichtbaar aandacht gekregen. Leerpunten zijn getrokken en hebben inmiddels tot het bijstellen van de projectaanpak geleid.Evidence in aanvulling op 4:1. Verbeterpunten zijn geformuleerd;2. Vernieuwde versie projectmethodiek aanwezig;3. Meerdere projectdeelnemers hebben inmiddels in meerdere

projecten zichtbaar aandacht besteed aan informatiebeveiliging.Beoordeling (aanwezigen, datum en locatie):

Bevindingen:

Documenten:

Interviews:




P.22: Naleving van privacy beleid en –normen Cluster: Controle en Logging P22 AVG 6.9 (ISO 18.2.2); AVG 5, 24, 32, 35, 39Naleving van privacy beleid en –normenDe instelling controleert (laat controleren) regelmatig de naleving van de privacy regels en informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging. De FG ziet toe op de (dagelijkse) naleving van het beleid. Toelichting:Managers behoren te bewerkstelligen dat alle privacy procedures die binnen hun verantwoordelijkheid vallen correct worden uitgevoerd om naleving te bereiken van privacy beleid en -normen. (Implementatierichtlijnen uit ISO 27002: Managers behoren regelmatig te beoordelen of de informatieverwerking binnen hun verantwoordelijkheidsgebied voldoet aan het geldende beveiligingsbeleid, normen en andere privacy eisen.)Niveaus Beheersmaatregel (plus evidence) AuditVolwassenheidsniveau 1(Ad hoc / initieel)

Er is geen periodieke controle op naleving van privacy beleid en -normen. In voorkomende gevallen (bv bij incidenten of specifieke vragen) wordt ad hoc op naleving getoetst en nemen medewerkers op eigen initiatief en op reactieve wijze verantwoordelijkheid voor kwesties.


Men neemt verantwoordelijkheid voor kwesties en wordt ook ter verantwoording geroepen, zelfs als dit niet formeel is geregeld. Bij problemen is echter vaak onduidelijk wie er verantwoordelijk is en men is geneigd de schuld door te schuiven.(Een risico is dat privacy daarmee ook wel wordt gebruikt als reden om zaken niet te doen ("is niet toegestaan vanwege privacy") zonder dat op het juiste niveau deze beslissing genomen/getoetst is.


Tenminste alle managers van de concernsystemen en de belangrijkste business processen stellen periodiek vast dat alle beveiligingsprocedures die binnen hun verantwoordelijkheid vallen correct worden uitgevoerd om naleving te bereiken van privacy beleid en -normen.Evidence:1. Kopie privacy beleid en normen;2. Overzicht systemen, processen, eigenaren, gebruikers en rollen

(RACI);3. Kopie twee meest recente rapportages waaruit blijkt dat

managers periodiek beoordelen of de privacy binnen hun verantwoordelijkheidsgebied voldoet aan het geldende beveiligingsbeleid, normen en andere beveiligingseisen (versienummer + datum), dat kan bv zijn: compliance verklaring; periodieke (her)classificatie van data of systemen en checklist

bijbehorende maatregelen (baseline en aanvullend).Volwassenheidsniveau 4(Beheerst en meetbaar)

Er is een binnen de hele instelling aanvaarde structuur voor verantwoordelijkheid en verantwoording en de betreffende personen kunnen zich van hun verantwoordelijkheden kwijten. Deze verantwoordelijkheden zijn ingebed in functiebeschrijvingen, evaluatiegesprekken, overdrachtsdocumenten etc. Positieve actie wordt stelselmatig beloond om de betrokkenen te motiveren.Evidence in aanvulling op 3:1. Kopie (beveiligings-)organisatiestructuur (kan ingebed zijn in

beveiligingsbeleid document);2. Kopie agenda jaargesprek;3. Kopie standaard overdrachtsdocument.




De verantwoordelijken hebben de vrijheid om besluiten en maatregelen te nemen. De verantwoordelijkheidsstructuur is tot op het laagste niveau ingebed in de organisatie. Deze verantwoordlijkheden zijn opgenomen in een mandatenregeling c.q. expliciet benoemd in procesbeschrijvingen of werkinstructies.Evidence in aanvulling op 4:1. Kopie mandatenregeling;2. Voorbeeld van procesbeschrijving of werkinstructie.


Bevindingen:

Documenten:

Interviews:




P.23: Rapportage van privacy gebeurtenissenCluster: Controle en Logging P23 (ISO 16.1.3); AVG 28, 33, 38, 39Rapportage van privacy gebeurtenissenPrivacy- en informatiebeveiligingsincidenten behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd aan de FG en verantwoordelijke.Toelichting:Van alle werknemers, ingehuurd personeel en externe gebruikers van informatiesystemen en -diensten behoort te worden geëist dat zij alle waargenomen of verdachte zwakke plekken in systemen of dienstenregistreren en rapporteren. Gebruikers zijn geïnformeerd dat zelf testen op zwakke plekken uitgelegd kan worden als potentieel misbruik.


Medewerkers (c.s.) weten niet welke incidenten ze moeten melden en hoe dat dan moet.


Medewerkers weten dat zij incidenten moeten melden maar de meeste weten niet hoe dat moet en wanneer dat moet. Men realiseert zich dat er iets gedaan moet worden. Het management communiceert over de algemene kwesties.Evidence:1. Kopie van notulen/notitie waarin de noodzaak wordt vastgesteld

dat personen alle waargenomen of verdachte zwakke plekken in systemen of diensten dienen te registreren en rapporteren;

2. Kopie van (voorbeeld)meldingen.Volwassenheidsniveau 3(gedefinieerd proces)

Medewerkers weten dat zij incidenten moeten melden en het is bekend waar zij dat moeten doen. Men begrijpt dat ingrijpen noodzakelijk is. De communicatie door het management kent een meer formele, vaste structuur.Evidence in aanvulling op 2:1. Kopie overzicht welke meldpunten er aanwezig zijn;2. Kopie nieuwsbrief, email, waaruit blijkt dat het is

gecommuniceerd met alle werknemers, ingehuurd personeel en externe gebruikers en laat zien dat de organisatie awareness bevordert;

3. Kopie van de laatste 2 meldingen.Volwassenheidsniveau 4(Beheerst en meetbaar)

Medewerkers worden er regelmatig op gewezen dat zij incidenten moeten melden en krijgen ook terugkoppeling van gemelde incidenten.Men heeft een goed beeld van wat er nodig is. Er worden volwaardige communicatietechnieken en standaard communicatietools ingezet. Evidence in aanvulling op 3:1. Kopie opvolgingsacties;2. Het incidentproces en de communicatie daarover wordt periodiek

geëvalueerd (PDCA).Volwassenheidsniveau 5(Geoptimaliseerd)

Medewerkers melden incidenten op een afgesproken manier en geven ook feedback over de werking van het proces. Men heeft diepgaand inzicht in zowel actuele als toekomstige behoeften. Er wordt proactief gecommuniceerd over kwesties op basis van trends. Volwaardige communicatietechnieken worden ingezet, alsmede geïntegreerd communicatietools. Best practices worden toegepast.Evidence in aanvulling op 4:1. Toegepaste best practices.




Bevindingen:

Documenten:

Interviews:




P.24: Gebeurtenissen registerenCluster: Controle en Logging P24 AVG ; AVG 5, 32Gebeurtenissen registreren: Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzoneringen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig beoordeeld.Toelichting:De instelling moet de deelnemer kunnen uitleggen en verantwoorden wie op welk moment toegang heeft gehad tot welke gegevens. Daarvoor is nodig dat niet alleen incidenten worden geregistreerd (zie P.23) maar ook – op hoofdlijnen – reguliere verwerkingen. Deze registratie van gebeurtenissen maakt het mogelijk dat ook misbruik en fouten kunnen worden opgespoord. Activiteiten van gebruikers, betrokkenen, uitzonderingen en privacy gebeurtenissen behoren te worden vastgelegd in logbestanden. Deze logbestanden behoren gedurende een overeengekomen periode te worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. Logbestanden ten behoeve van controle worden gemaakt van onder meer de volgende gegevens: gebruikers-ID's, data, tijdstippen en details van in- en uitloggen, identiteit device/locatie, geslaagde/geweigerde pogingen om toegang te krijgen, gebruik van speciale bevoegdheden en dergelijke. Waar mogelijk behoren systeembeheerders geen toestemming te hebben om logbestanden van hun eigen activiteiten te wissen of deactiveren, met inachtneming van relevante bewaartermijnen.


Er zijn wellicht logbestanden beschikbaar op diverse systemen. Deze zullen doorgaans ontstaan zijn vanuit een informatiebeveiligingsoogpunt of vanuit een default instelling tijdens installatie. Er zijn geen afspraken over de inhoud van de logging of over bewaartermijnen.


Er zijn logbestanden beschikbaar op de relevante systemen. De log-levels zullen op soortgelijke systemen ook vergelijkbaar zijn ingesteld op basis van individuele expertises en er zijn mogelijk extra tools zoals een centrale syslog-server. Er is echter geen vastgesteld beleid over bewaartermijnen, inhoud van de logging of centrale opslag.Evidence:1. Kopie van systeemconfiguratie voor zover beschikbaar (deze

kunnen de basis vormen voor verbeterstappen);2. Kopie van (een deel van) een logbestand .


Activiteiten van gebruikers, betrokkenen, uitzonderingen en privacy gebeurtenissen zijn vastgelegd in logbestanden. Deze logbestanden worden gedurende een overeengekomen periode bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole.

Evidence in aanvulling op 2:1. Kopie beleid en procedurebeschrijving voor het aanmaken van

audit-logbestanden;2. Kopie van informatie waaruit blijkt dat de organisatie conform het

beleid of procedure heeft uitgevoerd. Te denken aan:a. kopie uit systeem waaruit blijkt dat alle gebruikers een unieke

gebruikers-ID hebben; b. kopie uit systeem waaruit blijkt dat registratie plaats vindt bij

geslaagde en geweigerde pogingen om toegang te krijgen tot het systeem;

c. kopie uit systeem waaruit blijkt dat men gebruik maakt van speciale bevoegdheden (redflag envelop).)




Activiteiten van gebruikers, betrokkenen, uitzonderingen en privacy gebeurtenissen worden op een gestandaardiseerde methode vastgelegd in logbestanden. In ieder geval de logbestanden van de concernsystemen worden, zoveel mogelijk real-time, op een separate (SYSLOG) server opgeslagen, waarbij de bronbestanden niet gemuteerd kunnen worden door de systeembeheerders. Deze logbestanden worden gedurende een overeengekomen periode bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. Privacygevoelige informatie wordt adequaat afgeschermd en wordt na een afgesproken periode vernietigd, dan wel geanonimiseerd, met encryptie of geaggregeerd opgeslagen. Er zijn tools beschikbaar om logbestanden te analyseren, het procesbeheer te automatiseren en kritieke activiteiten en controlemechanismen te bewaken.Evidence in aanvulling op 3:1. Kopie van de inrichtingsdocumenten van de centrale logserver(s);2. Beschrijving van de beschikbare tooling en het beoogd en

toegestane gebruik;3. Kopie (bewakings-) rapportage over events (kritieke activiteiten,

werking controle mechanismen).Volwassenheidsniveau 5(Geoptimaliseerd)

Alle logbestanden van alle systemen worden op een gestandaardiseerde wijze verzameld en opgeslagen en er is een standaard tool set beschikbaar voor beheer en analyse. De datasets zijn uniform ingericht en de tools zijn volledig geïntegreerd, zodat processen van begin tot eind worden ondersteund en analyses over de datasets heen mogelijk zijn. Er worden analyse en rapportage tools ingezet ter ondersteuning van procesverbeteringen en automatische detectie van afwijkingen.Evidence in aanvulling op 4:1. Kopie van de (trend)rapportage.


Bevindingen:

Documenten:

Interviews:




Bijlage 1: Framework informatiebeveiliging en privacy in het mbo


· Web viewDe ISO-normen 27001 en 27002 zijn een uitgangspunt voor de beveiliging van...

Documents

Transcript of · Web viewDe ISO-normen 27001 en 27002 zijn een uitgangspunt voor de beveiliging van...