Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy...

69
Toetsingskader Privacy (Pluscluster 7) IBPDOC7

Transcript of Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy...

Page 1: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (Pluscluster 7)

IBPDOC7

Page 2: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 2 van 69

Verantwoording

Bronnen: SURFaudit toetsingskader Stichting SURF Februari 2015

Met dank aan:

Opdracht verstrekking door: Kennisnet / saMBO-ICT Auteurs Leo Bakker (Kennisnet) Ludo Cuijpers (Kennisnet) Axel Eissens (Kennisnet) Job Vos (Kennisnet) Versie 2.0 juli 2016

Sommige rechten voorbehouden Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redac-teur(s) en uitgever van Kennisnet geen aansprakelijkheid voor eventuele fouten of onvolkomenheden. Creative commons Naamsvermelding 3.0 Nederland (CC BY 3.0) De gebruiker mag:

Het werk kopiëren, verspreiden en doorgeven

Remixen – afgeleide werken maken Onder de volgende voorwaarde:

Naamsvermelding – De gebruiker dient bij het werk de naam van Kennisnet te vermelden (maar niet zodanig dat de indruk gewekt wordt dat zij daarmee instemt met uw werk of uw gebruik van het werk).

Page 3: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 3 van 69

Inhoudsopgave Verantwoording ...................................................................................................................................................... 2

1. Inleiding..................................................................................................................................................... 5

1.1 Uitgangspunt is het Privacy Compliance kader ...................................................................................... 5

1.2 Basis-privacy-principes, normen/statements en beheersmaatregelen ................................................. 6

1.3 Samenhang Informatiebeveiliging en Privacy ........................................................................................ 7

1.4 Nieuwe Europese wetgeving: AVG ......................................................................................................... 7

1.5 Toelichting op de hoofdstukken ............................................................................................................. 8

1.6 Referentiearchitectuur ........................................................................................................................... 8

2. Compliance Privacy ................................................................................................................................. 10

2.1 Algemeen ............................................................................................................................................. 10

2.2 Clustering van statements ................................................................................................................... 10

2.3 Concrete beheersmaatregelen in het toetsingskader.......................................................................... 11

3. Toepassing toetsingskaders Informatiebeveiliging (cluster 1 t/m 6) ...................................................... 12

3.1 Toelichting toetsingskader ................................................................................................................... 12

3.2 Clustering naar thema’s ....................................................................................................................... 12

3.3 Beveiliging van persoonsgegevens en ISO ........................................................................................... 13

3.4 Generieke statements (informatiebeveiliging) .................................................................................... 13

4. Toetsingskader Privacy ........................................................................................................................... 18

4.1 Beleid en organisatie ............................................................................................................................ 19

P.1: Privacy-beleid ....................................................................................................................................... 19

P.2: Functionaris gegevensbescherming ..................................................................................................... 21

P.3: Doelbepaling, doelbinding, grondslag, grond bij minderjarigen en dataminimalisatie. ...................... 24

P.4: Registratieplicht ................................................................................................................................... 26

P.5: Bewaartermijnen ................................................................................................................................. 28

P.6: Verwerking t.b.v. onderzoek ................................................................................................................ 30

P.7: Verwerking van bijzondere persoonsgegevens.................................................................................... 32

P.8: Geautomatiseerde besluitvorming ...................................................................................................... 34

P.9: Informatiebeveiliging ........................................................................................................................... 36

P.10: Bewerkersovereenkomsten ................................................................................................................. 38

4.2 Personeel, deelnemers en gasten ........................................................................................................ 41

P.11: Transparantie privacy-beleid ............................................................................................................... 41

P.12: Informatieplicht verwerkingen ............................................................................................................ 43

P.13: Rechten betrokkene ............................................................................................................................. 45

P.14: Arbeidsvoorwaarden ............................................................................................................................ 47

P.15: Bewustzijn, opleiding en training ten aanzien van privacy .................................................................. 49

4.3 Ruimte en apparatuur .......................................................................................................................... 51

P.16: Verwijderen van persoonsgegevens ........................................................................................................ 51

4.4 Vertrouwelijkheid en integriteit ........................................................................................................... 53

P.17: Datakwaliteit ........................................................................................................................................ 53

Page 4: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 4 van 69

P.18: Datalek ................................................................................................................................................. 55

P.19: Toegang tot bijzondere persoonsgegevens ......................................................................................... 57

4.5 Controle en Logging ............................................................................................................................. 59

P.20: Privacy in informatiesystemen ............................................................................................................. 59

P.21: Gegevensbeschermingseffectbeoordeling ........................................................................................... 61

P.22: Naleving van privacy beleid en –normen ............................................................................................. 63

P.23: Rapportage van privacy-gebeurtenissen.............................................................................................. 65

P.24: Gebeurtenissen registeren ....................................................................................................................... 67

Bijlage 1: Framework informatiebeveiliging en privacy in het mbo .................................................................. 69

Page 5: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 5 van 69

1. Inleiding

1.1 Uitgangspunt is het Privacy Compliance kader1 Privacy is een thema dat door de digitalisering van de maatschappij en de populariteit van sociale media meer leeft dan ooit. Er wordt steeds meer informatie met elkaar gedeeld en dit roept vragen op over wat wel of niet verstandig is. Ook in het onderwijs is te merken dat ICT steeds vaker wordt ingezet in de klas, maar ook in het secundaire proces zoals bij de deelnemersadministratie. Het toenemend opslaan en verzamelen van informatie over deelnemers, maakt dat er ook meer aandacht moet zijn voor privacy en informatiebeveiliging. Willen onderwijsinstellingen2 in de toekomst gebruik blijven maken van gegevens, én willen deelnemers (en do-centen) ook nog gegevens met instellingen blijven delen, dan moet er een perfect samenspel zijn tussen: 1. de interactie van deelnemers; 2. de interactie met de betrokken partijen (zoals instellingen en hun leveranciers); 3. de gebruikte middelen (de gegevens). Dit noemen we samen het digitale ecosysteem: partijen en middelen zijn van elkaar afhankelijk om in balans te komen. Bij een datalek, is er - spreekwoordelijk - sprake van vervuiling en een verstoring van die balans. Het lek moet worden gedicht, de vervuiling wordt zo veel mogelijk verwijderd, maatregelen worden genomen om her-haling te voorkomen en met betrokkenen wordt gebouwd aan het vertrouwen om te voorkomen dat een nieuw lek opnieuw plaatsvindt. Het zorgvuldig omgaan met gegevens is (wettelijk) de verantwoordelijkheid van onderwijsinstellingen zelf. Zij kunnen dit niet afwentelen op bijvoorbeeld hun leveranciers. Door het toegenomen gebruik van ICT in het on-derwijs, en de toenemende mogelijkheden daarvan, komt de noodzaak voor informatiebeveiligingsbeleid en pri-vacy steeds vaker in beeld. De bescherming van privacy en daarmee samenhangende gegevens wordt steeds belangrijker voor mbo-instellingen.

1 Bron: Privacy Compliance kader (IBPDOC2B) 2 Met instelling wordt de rechtspersoon bedoeld, concreet wordt deze vertegenwoordigd door de verantwoor-delijke. Binnen het mbo zal dit de voorzitter van het College van Bestuur zijn.

Page 6: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 6 van 69

1.2 Basis privacy principes, normen/statements en beheers-maatregelen

In de publicatie “Privacy compliance kader” (IBPDOC2B) worden de uitgangspunten en principes van privacy be-schreven. Daarin staat het doel van privacy centraal (het ‘wat’ en ‘waarom’). De manier om dat doel te bereiken (het ‘hoe’) wordt in dit document beschreven. De beschreven principes uit het “Privacy compliance kader” zijn nu vertaald naar concretere normen voor on-derwijsinstellingen. Algemene principes worden omgevormd tot praktische normen. Deze normen noemen we statements. Als de instelling aan deze statements voldoet, dan worden de ‘bovenliggende’ basis privacy principes nageleefd. De privacy statements zijn op de zelfde wijze vormgegeven als de statements uit het normenkader informatiebeveiliging. In dit toetsingskader staat bij ieder statement genoemd aan welk bovenliggend basis pri-vacy principe wordt voldaan. Een onderwijsinstelling kan op verschillende manieren voldoen aan de statements. Om dat op uniforme wijze meetbaar te maken, wordt er een evidence (bewijslast) gekoppeld aan ieder statement. Deze evidence bestaat uit maatregelen die een instelling in meer- of mindere mate genomen moet hebben om aan het statement te voldoen. In dit toetsingskader worden de maatregelen beheersmaatregelen genoemd. De beheersmaatregelen worden ook onderverdeeld. Des te meer en zwaarder de beheersmaatregel, des beter voldoet de instelling aan het statement. En dus des te meer komt de onderwijsinstelling tegemoet aan het privacy principe. Deze onderverdeling van beheersmaatregelen is gelijk aan die bij de statements voor informatiebevei-liging. De niveaus worden volwassenheidsniveaus (maturity levels) genoemd. Alle statements in dit toetsingskader, zijn in principe dus een afgeleide van de privacy principes die zijn opgeno-men in het “Privacy compliance kader”. De beheersmaatregelen zijn bedoeld om te bewijzen dat wordt voldaan aan die statements. En dus dat de onderwijsinstelling voldoet aan de privacy principes.

Page 7: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 7 van 69

1.3 Samenhang informatiebeveiliging en privacy Privacy is het topje van de, juridische, ijsberg. De samenhang tussen privacy en informatiebeveiliging kan wellicht d.m.v. een voorbeeld worden verduidelijkt. Het College van Bestuur van een mbo instelling wil graag de mogelijkheid laten onderzoeken om tijdens ziekte van een medewerker zijn/haar onderwijs gerelateerde mail te mogen gebruiken. De mail omgeving is eigendom van de mbo instelling. Privacy beleid: Vanuit de privacy wetgeving is dit niet toegestaan. Een oplossing is om aan de OR een voorstel voor te leggen waarbij gegarandeerd wordt dat binnen de e-mail omgeving door de medewerker een map “Privé” wordt aangemaakt. Deze map zal nooit bekeken worden, ook niet tijdens langdurige ziekte van een medewerker. De overige e-mails mogen wel - onder strikte voorwaarden - bekeken worden. Als de OR (op basis van WOR, artikel 27, lid k) hiermee akkoord gaat, dan kan dit beleid worden geeffectueerd. Vervolgens moeten er vanuit informatiebeveiligingsaspecten enkele dingen geregeld worden:

Beleid: Er moet een beleid “e-mail inzage” wor-den voorgelegd aan de OR en na instemming is dit een aanvulling op de arbeidsovereenkomst. Personeel: Personeel en externen moeten wor-den geïnformeerde en eventueel getraind. Toegang: De fysieke toegang tot de exchange server (e-mail) moet goed geregeld zijn om de privacy te waarborgen. Continuïteit: Tijdens grote verstoringen moet de e-mail omgeving veilig opgeslagen zijn en even-tueel d.m.v. een back up teruggeplaatst worden.

Applicaties: De toegang tot de e-mail omgeving (applicatie toegang) is alleen voorbehouden aan de eigenaar en in een noodsituatie aan de applicatie beheerder die toegang heeft en kan verschaffen tot de e-mail van een medewerker (behalve de Privé-map). Logging: De eigenaar van de e-mail moet te allen tijde kunnen controleren wie er toegang heeft gehad tot zijn e-mails. Ook moet hij kunnen controleren dat de Privé-map niet is bekeken. En los van deze punten, moet de mailomgeving uiteraard ook voldoen aan overige wet- en regelgeving en infor-matiebeveiliging.

1.4 Nieuwe Europese wetgeving: AVG In april 2016 heeft het Europees Parlement ingestemd met de Algemene Verordening Gegevensbescherming (AVG), in het Engels General Data Protection Regulation (GDPR) genoemd. Deze Europese verordening treedt vanaf 25 mei 2016 in werking, en is op 25 mei 2018 van toepassing in alle landen van de Europese Unie. Deze AVG vervangt (alle) nationale privacy wetgeving. Door de AVG zijn persoonsgegevens van alle EU-inwoners straks op dezelfde uniforme wijze beschermd, ongeacht of de data van die EU-burgers in Europa of in de Verenigde Staten wordt opgeslagen. De AVG stimuleert organisaties tot bewustere omgang met privacy; onder meer met de verplichting om risicoanalyses uit te voeren, bewuster toestemming te vragen of door een FG aan te stellen. De periode tussen 25 mei 2016 en 25 mei 2018 geeft organisaties de tijd en gelegenheid om te kunnen voldoen aan de AVG. Vanwege de inwerkingtreding in 2016, moeten organisaties zich al wel aan de AVG-bepalingen hou-den indien dat voor 2018 al mogelijk is. Vanuit het oogpunt dat onderwijsinstellingen privacy bewustere organisaties moeten worden, betekent de AVG op hoofdlijnen dat de baseline voor beheersmaatregelen gemiddeld hoger zal komen te liggen. Vooralsnog kan niet gesteld worden dat alle statements en beheersmaatregelen aan level 4 (maatregelen geborgd in PDCA-cy-clus) zouden moeten voldoen, terwijl dat uiteraard wel een goede ambitie is. Dit toetsingskader gaat uit van de vastgestelde Nederlandse vertaling van de AVG zoals opgenomen in het Publi-catieblad van de Europese Unie van 4 mei 2016. De officiële benaming is “Verordening EU 2016/679 van 27 april

Page 8: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 8 van 69

2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)3. Bij de Nederlandse tekst van de AVG dient een belangrijke kanttekening te worden geplaatst. In deze tekst wordt de verantwoordelijke de verwerkingsverantwoordelijke genoemd, en de bewerker wordt als verwerker aange-duid. Deze vertalingen worden ook al gebruikt in de Richtlijn 95/46/EG, terwijl in de Nederlandse wetgeving de benamingen verantwoordelijke en bewerker worden aangehouden. Naar verluid is dit verschil te verklaren door-dat een Vlaamse vertaler de Engelse teksten heeft vertaald. Vooralsnog wordt in dit document de huidige wet-telijke benaming aangehouden: verantwoordelijke en bewerker.

1.5 Toelichting op de hoofdstukken Hoofdstuk 2 gaat in op de “compliance privacy”, waarbij toegelicht wordt hoe de statements uit het generieke en compliance kader toegepast worden binnen het Toetsingskader privacy mbo. Hoofdstuk 3 geeft een opsomming, per cluster (1 t/m 6), van gebruikte statements uit het toetsingskader Infor-matiebeveiliging (IBPDOC3) die relevant zijn in het kader van privacy compliance. Dit zijn dus beheersmaatrege-len gericht op informatiebeveiliging, die ook relevant zijn om privacy goed te regelen. Hoofdstuk 4 geeft een opsomming van de aanvullende privacy statements (cluster 7).

1.6 Referentiearchitectuur Privacy beleid bestaat niet alleen uit afspraken binnen in onderwijsinstelling maar het betreft ook afspraken met personen en instellingen buiten de onderwijsinstelling. Informatie wordt volop gedeeld met overheidsinstellin-gen, toeleverende scholen, stagebedrijven en, uiteraard, met deelnemers en ouders. Goede afspraken op het gebied van informatiebeveiliging en privacy zijn dan ook essentieel. De referentiearchitectuur beschrijft deze afspraken en geeft ze schematisch weer. Het onderstaande architec-tuurschema is terug te vinden het document ‘Mbo ibp architectuur IBPDOC4”.

A: mbo <-> Bron-DUO Speerpunt: Onderwijsovereenkomst op basis van wet en re-gelgeving. Eveneens POK4 / BPVO5

B: mbo <-> Lokale overheid Speerpunt: Bewerkersovereenkomst. Contracten Educatie.

C: mbo <-> VMBO en HBO Speerpunt: regionale uitwisseling en aanmelding. Door-stroom

D: mbo <-> Bedrijven Speerpunt: Praktijkovereenkomst.

E: mbo <-> Leveranciers Speerpunt: Bewerkersovereenkomst. Leveranciers kunnen applicatie (al dan niet in de cloud) of educatieve content (al dan niet in de cloud) aanbieden.

F: mbo <-> Deelnemers / ouders Speerpunt: DIGID

3 Officiële Nederlandse vertaling: http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=NL 4 POK: Praktijkovereenkomst 5 BPVO: Beroepspraktijkvorming Overeenkomst

Page 9: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 9 van 69

Deze architectuur principes zijn van belang om de risico’s op het gebied van privacy te mitigeren (beperken). De top 3 privacy risico’s zijn:

Ontstaan van datalekken;

Ongewenste publicaties van zorgdossiers;

Ongewenste publicaties van medewerkers dossiers (gesprekscyclus). Omdat deze risico’s ook kunnen optreden bij externe partners aan wie wij onze (privacy gevoelige) data toever-trouwen is het dan ook noodzakelijk om goede ibp afspraken met leveranciers te maken in de vorm van bewer-kersovereenkomsten en andere contractuele afspraken. Met andere woorden privacy is niet alleen een aandachtspunt binnen de mbo instelling, waar beleid, scholing en architectuur een oplossing bieden maar ook buiten de mbo instelling.

Page 10: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 10 van 69

2. Compliance privacy

2.1 Algemeen Vanuit de overheid is er regelgeving op het gebied van privacy die ook voor het mbo van toepassing is. In deze wet- en regelgeving zijn zowel informatiebeveiligingsaspecten als specifieke privacy aspecten opgenomen. In samenwerking met SURF is van al deze aspecten een set van statements gemaakt. Wat opvalt is dat veel van de vereiste informatiebeveiligings-aspecten terugkomen in de statements die in het algemene informatiebeveiligingskader dat is opgesteld vanuit de ISO norm 27001/2. In zijn algemeenheid kan dan ook gezegd worden dat allereerst de generieke informatiebeveiliging op orde moet zijn. Dit is geheel uitgewerkt in het betref-fende toetsingskader informatiebeveiliging IBPDOC3. Voor het handhaven van de privacy zijn er echter een aan-tal van deze basisaspecten die meer aandacht behoeven of is er reden om een hoger niveau van het vervullen van de betreffende norm te overwegen. Deze subset van 38 state-ments is uit het algemene normenkader IB gelicht en in dit docu-ment bij de statements betreffende privacy weergegeven, voorzien van een toelichting over de relatie met privacy. Daar waar bij het algemene toetsingskader informatiebeveiliging wellicht een niveau 2 voldoende geacht wordt, is het in het kader van de privacy van belang om hier een hoger ambitieniveau aan de dag te leggen, bij-voorbeeld een niveau 3 of zelfs 4. Maar naast deze statements op basis van het generieke informatiebeveiligingskader (gemeenschappelijk, zie af-beelding) is er ook behoefte aan een aanvullende set van statements opgesteld uit de betreffende wet- en re-gelgeving. Dit heeft aanleiding gegeven tot het opstellen van een compleet compliance kader privacy voor het mbo onderwijs. Dit is een veelomvattende en uitgebreide set geworden met 24 specifieke privacy statements die hierin zijn opgenomen. Deze statements komen niet of onvoldoende terug in het normenkader informatie-beveiliging, en zijn daarom opgenomen in een apart document: IBPDOC2b Compliance kader privacy voor het mbo. Dit juridisch normenkader, wat het in feite is, ligt ten grondslag aan het toetsingskader privacy dat in dit document wordt uitgewerkt.

2.2 Clustering van statements In het generieke toetsingskader Informatiebeveiliging wordt gebruik gemaakt van een specifieke clustering. Het gaat daarbij om 6 standaard clusters: 1. Beleid en organisatie 2. Personeel, deelnemers en gasten 3. Ruimte en apparatuur 4. Continuïteit 5. Toegangsbeveiliging en integriteit 6. Controle en logging Zoals aangegeven is uit de generieke set van informatiebeveiligingsstatement een 38-tal statements gehaald waarop in het kader van privacy sprake is van een verhoogd risico en er dus extra aandacht voor deze statements en de bijpassende maatregelen moet zijn In hoofdstuk 3 zijn deze statements weergegeven voorzien van een korte toelichting waarom deze in het toetsingskader privacy zijn opgenomen.

Page 11: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 11 van 69

De aanvullende statements op basis van wet- en regelgeving zijn weergegeven in hoofdstuk 4. Deze zijn eveneens gerangschikt naar dezelfde 6 clusters van het informatiebeveiligingsbeleid. Het betreft de complete set van sta-tements uit het compliance kader privacy voor het mbo.

2.3 Concrete beheersmaatregelen in het toetsingskader Het compliance kader privacy is de basis voor het inrichten van de informatiebeveiliging omtrent de privacy en het is tevens de basis voor het voorliggende toetsingskader privacy. Door aan de statements uit het compliance kader privacy een korte beschrijving, alsmede de evidence toe te voegen is het toetsingskader privacy mbo ont-staan. De evidence wordt op vijf verschillende volwassenheidsniveau ’s weergegeven, net als bij het generieke toetsingskader Informatiebeveiliging. Het toetsingskader privacy mbo is bedoeld om onderwijsinstellingen een kader en handvatten te bieden om de informatiebeveiliging rondom privacy te regelen. Door het hanteren van de verschillende niveaus kan er een beeld van de reële situatie gemaakt worden (het bereikte niveau), als mede een streef- of ambitie niveau waar-aan de instelling in de (nabije) toekomst zou willen gaan voldoen. Dit kan ook onderdeel zijn van sector brede afspraken hierover.

Page 12: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 12 van 69

3. Toepassing toetsingskaders informatiebe-veiliging (cluster 1 t/m 6)

3.1 Toelichting toetsingskader De statements in het normen- en toetsingskader privacy bestaan uit statements vanuit het toetsingskader ibp mbo en statements vanuit het compliance kader privacy. In dit hoofdstuk zijn de statements weergegeven uit het generieke ibp toetsingskader met die aantekening dat die dus in het kader van de privacy extra aandacht behoeven.

3.2 Clustering naar thema’s Het toetsingskader ibp mbo bevat 85 statements, waarvan 38 heel direct gerelateerd zijn aan privacy, verdeeld over 6 clusters. De clustering is gebaseerd op een logische indeling die goed bruikbaar is voor het mbo-onderwijs. De clustering is tevens toegepast op de statements afkomstig van de wet en regelgeving privacy.

Schematische samenvatting clustering:

Cluster Onderwerpen (o.a.) Kwaliteitsaspecten Betrokkenen

Beleid en Organisatie Privacy maakt gebruik van 11 van de 21 statements.

Informatiebeveiligingsbeleid Classificatie Inrichten beheer Cryptografie

Beschikbaarheid Integriteit Vertrouwelijkheid Controleerbaarheid

College van bestuur Directeuren

Personeel, deelnemers en gasten Privacy maakt gebruik van 5 van de 7 statements.

Informatiebeveiligingsbeleid Aanvullingen arbeidsover-eenkomst Scholing en bewustwording

Vertrouwelijkheid Integriteit

College van bestuur Dienst HR Ondernemingsraad

Ruimte en Apparatuur Privacy maakt gebruik van 2 van de 15 statements.

Beveiligen van hardware, devices en bekabeling

Beschikbaarheid Vertrouwelijkheid

College van bestuur Dienst ict of afdeling

Continuïteit Privacy maakt gebruik van 3 van de 15 statements.

Anti-virussen, back up, bedrijfscontinuïteit planning

Beschikbaarheid College van bestuur Dienst ICT of afdeling functioneel beheer

Toegangsbeveiliging en In-tegriteit Privacy maakt gebruik van 13 van de 17 statements.

Gebruikersbeheer, wacht-woorden, online transacties, cryptografisch sleutelbe-heer, validatie

Integriteit Vertrouwelijkheid

College van bestuur Dienst ICT of afdeling functioneel beheer

Controle en logging Privacy maakt gebruik van 4 van de 10 statements.

Systeemacceptatie, loggen van gegevens, registreren van storingen, toetsen be-leid

Controleerbaarheid College van bestuur Stafmedewerker infor-matiebeveiliging Kwaliteitszorg

Voor een afdoende risicobeheersing t.a.v. informatiebeveiliging en privacy binnen een onderwijsinstelling moe-ten alle 85 statements op orde zijn. Daarbij zou dan uitgegaan moeten worden van een volwassenheidsniveau 2 voor de maatregelen om aan het statement te voldoen. Dat wil zeggen opzet, bestaan en gedeeltelijke werking (een aantal collega’s werkt volgens de afspraak maar nog niet de gehele organisatie. Een aantal van de privacy gelieerde statements zou aan niveau 3 of 4 moeten voldoen, om de privacy risico’s te mitigeren.

Page 13: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 13 van 69

3.3 Beveiliging van persoonsgegevens en ISO Het beveiligen van persoonsgegevens is een belangrijke randvoorwaarde. Door het College Bescherming Per-soonsgegevens (de voorloper van de Autoriteit Persoonsgegevens) is in 2013 vastgesteld dat een risicoanalyse moet worden gemaakt van de verwerkte gegevens, en dat op basis van die analyse passende technische en or-ganisatorische beveiligingsmaatregelen moet nemen om de persoonsgegevens te beveiligen. De ISO 27001 en ISO 27002 bieden volgens de AP een passend beschermingsniveau om persoonsgegevens te beveiligen. Deze ISO-normen sluiten dus voor informatiebeveiliging aan bij wet- en regelgeving (AVG). Dit betekent dat om te voldoen aan privacy wetgeving er ook voldaan moet worden aan de ISO-normen voor informatiebeveiliging. Het voldoen aan het bij het normenkader behorende “Toetsingskader voor informatiebeveiliging mbo” (IBPDOC 3), is dus relevant om te voldoen aan privacy wet- en regelgeving. De ISO-normen 27001 en 27002 zijn een uitgangspunt voor de beveiliging van persoonsgegevens. Om privacy te waarborgen, moet op een aantal ISO-statements voldaan worden aan een bepaald beveiligingsniveau. Vertaald naar het Normenkader en Toetsingskader IBP, betekent dit dat aan bepaalde maturity-levels moet worden vol-daan. In deze paragraaf wordt beschreven welke statements uit het Toetsingskader informatiebeveiliging (IBP-DOC 3) moeten voldoen aan een minimum maturity-level. Het gaat hierbij dus om een subset van 38 statements uit de totale set van 85.

3.4 Generieke statements (informatiebeveiliging) Cluster beleid en organisatie

Nr. ISO27002 Statement

1.1 5.1.1.1

Beleidsregels voor informatiebeveiliging: Ten behoeve van informatiebeveiliging behoort een reeks be-leidsregels te worden gedefinieerd en goedgekeurd door het bestuur

Privacy toets: Hanteer als uitgangspunt IBPDOC6 Model informatiebeveiliging en privacy beleid voor de mbo sector. Indien gebruik wordt gemaakt van een eigen beleidsplan controleer dan de volgende onder-delen op aanwezigheid en juistheid: 1. Inleiding 2. Beleidsuitgangspunten en -principes informatiebeveiliging en privacy 3. Classificatie 4. Wet- en regelgeving 5. Governance informatiebeveiligingsbeleid (waaronder aanstellen FG of privacy officer) 6. Melding en afhandeling van incidenten

1.2 5.1.1.2

Beleidsregels voor informatiebeveiliging: Het door het bestuur vastgestelde Informatiebeveiligingsbeleid wordt gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.

Privacy toets: onderzoek of er ook met externe partijen wordt gecommuniceerd over het informatiebevei-liging en privacy beleid van de mbo instelling.

1.6 6.2.1.1

Beleid voor mobiele apparatuur: Er dient beleid te worden vastgesteld om de risico’s die het gebruik van mobiele apparatuur met zich meebrengt te beheren.

Privacy toets: er is een beleid op het gebied van Bring Your Own Device (BYOD) en Bring Your Company Device (BYCD). Bovendien wordt dit beleid gecontroleerd.

1.7 8.2.1

Classificatie van informatie: Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.

Privacy toets: er is een beleid waarin de uitgangspunten van de BIV classificatie worden beschreven. De classificatie wordt op Laag, Midden en Hoog niveau beschreven. De beheersmaatregelen worden eveneens op deze schaalverdeling beschreven. Deze classificatie wordt gebruikt en periodiek geëvalueerd, en is no-dig voor het bepalen van de te nemen maatregelen om de privacy van betrokkenen te beschermen.

1.8 8.2.2

Informatie labelen: Om informatie te labelen behoort een passende reeks procedures te worden ontwik-keld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.

Privacy toets: de mbo instelling moet kunnen aantonen dat de classificatie daadwerkelijk wordt toege-past. Te denken valt aan:

Security architectuur document;

Documenten die voorzien zijn van een ‘stempel’ vertrouwelijk;

Aanwezigheid van een vertrouwenspersoon;

Aanvullende afspraken voor functioneel beheerders i.v.m. vertrouwelijkheid; Etc.

Page 14: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 14 van 69

1.9 10.1.1.1 Beleid inzake het gebruik van crypto grafische beheersmaatregelen: Ter bescherming van informatie be-hoort een beleid voor het gebruik van crypto grafische beheersmaatregelen te worden ontwikkeld.

Privacy toets: Er is een beleid t.a.v. crypto grafische beheersmaatregelen.

1.10 10.1.1.2

Beleid inzake het gebruik van crypto grafische beheersmaatregelen: Ter bescherming van informatie zijn er tools of applicaties aanwezig waarmee het beleid voor het gebruik van crypto grafische beheersmaat-regelen wordt geïmplementeerd.

Privacy toets: de mbo instelling heeft een of meerder tools aangeschaft ihkv crypto grafische beheers-maatregelen.

1.15 15.1.2

Opnemen van beveiligingsaspecten in leveranciersovereenkomsten: Alle relevante informatiebeveili-gingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt.

Privacy toets: eisen worden opgenomen in SLA’s en (bijvoorbeeld) maandelijks teruggekoppeld in een SLR (Service Level Rapportage).

1.18 16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen: Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd.

Privacy toets: er is een goede escalatie procedure beschikbaar.

1.19 18.1.3

Beschermen van registraties: Registraties behoren in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen te worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave.

Privacy toets: er is een document met afgesproken bewaartermijnen binnen een mbo instelling. Er moet zich zijn op welke categorieën persoonsgegevens er worden verwerkt.

1.20 18.1.4

Privacy en bescherming van persoonsgegevens: Privacy en bescherming van persoonsgegevens behoren, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelge-ving. Dit statement is de verbindende schakel tussen informatiebeveiliging en privacy. IB is een wettelijke eis om zorgvuldig met persoonsgegevens om te gaan.

Privacy toets: privacy kan onderdeel zijn van het informatiebeveiligingsbeleid zoals opgenomen in state-ment 1.1.

Personeel, deelnemers en gasten

Nr. ISO27002 Statement

2.1 7.1.2 Arbeidsvoorwaarden: De contractuele overeenkomst met medewerkers en contractanten behoort hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie te vermelden.

Privacy toets: geen aanvullende opmerkingen

2.2 7.2.2

Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging: Alle medewerkers van de orga-nisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover rele-vant voor hun functie.

Privacy toets: geen aanvullende opmerkingen

2.3 9.2.6

Toegangsrechten intrekken of aanpassen: De toegangsrechten van alle medewerkers en externe gebrui-kers voor informatie en informatie verwerkende faciliteiten behoren bij beëindiging van hun dienstver-band, contract of overeenkomst te worden verwijderd, en bij wijzigingen behoren ze te worden aange-past.

Privacy toets: de autorisatie matrix is voor dit statement cruciaal. Met name de medewerkers dit uit-dienst zijn getreden moeten worden ge-audit.

2.4 11.2.9

‘Clear desk’- en ‘clear screen’-beleid: Er behoort een ‘clear desk’-beleid voor papieren documenten en verwijderbare opslagmedia en een ‘clear screen’-beleid voor informatie verwerkende faciliteiten te wor-den ingesteld.

Privacy toets: geen aanvullende opmerkingen

2.5 13.2.4

Vertrouwelijkheids- of geheimhoudingsovereenkomst: Eisen voor vertrouwelijkheids- of geheimhou-dingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen, behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.

Privacy toets: geheimhoudingsovereenkomst beoordelen. Onderzoek met name de deelnemersadmi-nistratie. T.a.v. de geheimhouding kan ook verwezen worden naar de cao.

Page 15: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 15 van 69

Ruimtes en apparatuur

Nr. ISO27002 Statement

3.1 6.2.1.2

Beleid voor mobiele apparatuur: Er dienen beveiligingsmaatregelen te worden vastgesteld om de risico’s die het gebruik van mobiele apparatuur met zich meebrengt te beperken.

Privacy toets: een reglement notebooks (die eigendom zijn van de mbo instelling) is niet voldoende. Een AUP (Acceptable Use Policy), in het Nederlands “Verantwoord Gebruik”, is noodzakelijk, immers alle me-dewerkers thuis op hun eigen device inloggen op applicaties die eigendom zijn van de mbo instelling moeten alle medewerkers zich aan de afspraken zoals verwoord in AUP houden. Juridisch is de AUP een aanvulling op de arbeidsovereenkomst als deze goedgekeurd is door de Ondernemingsraad (WOR, artikel 27, lid K).

3.14 11.2.7

Veilig verwijderen of hergebruiken van apparatuur: Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gege-ven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn over-schreven.

Privacy toets: het betreft hier afvoer van apparatuur.

Continuïteit

Nr. ISO27002 Statement

4.5 12.3.1.1

Back-up van informatie: Regelmatig behoren back-upkopieën van informatie, software en systeemafbeel-dingen te worden gemaakt.

Privacy toets: controle van de volume van de back up is gewenst (Is van alle informatie een back up ge-maakt?). Controleer logboek back up.

4.6 12.3.1.2 Back-up van informatie: Gemaakte back ups worden regelmatig getest conform het back-up beleid.

Privacy toets: terugzetten van bestanden (restore) middels een logboek controleren.

4.14 17.1.2

Informatiebeveiligingscontinuïteit implementeren: De organisatie behoort processen, procedures en be-heersmaatregelen vast te stellen, te documenteren, te implementeren en te handhaven om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie te waarborgen.

Privacy toets: een continuïteitsplan (BCM) moet voorhanden zijn.

Page 16: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 16 van 69

Vertrouwelijkheid en integriteit

Nr. ISO27002 Statement

5.1 9.1.1 Beleid voor toegangsbeveiliging: Een beleid voor toegangsbeveiliging behoort te worden vastgesteld, ge-documenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingseisen.

Privacy toets: toegangsbeveiliging zowel voor het netwerk als voor applicaties.

5.2 9.1.2 Toegang tot netwerken en netwerkdiensten: Gebruikers behoren alleen toegang te krijgen tot het net-werk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn.

Privacy toets: het betreft hier technische netwerkdiensten, denk aan VPN en draadloos netwerk.

5.3 9.2.1 Registratie en afmelden van gebruikers: Een formele registratie- en afmeldingsprocedure behoort te wor-den geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.

Privacy toets: het betreft nieuwe gebruikers en het verwijderen van gebruikers.

5.4 9.2.2

Gebruikers toegang verlenen: Een formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.

Privacy toets: het verlenen van toegangsrechten tot applicaties op basis van functie en rollen (RBAC) van medewerkers.

5.5 9.2.3 Beheren van speciale toegangsrechten: Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst.

Privacy toets: het betreft hier de super users / administrators rechten.

5.6 9.2.4 Beheer van geheime authenticatie-informatie van gebruikers: Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces.

Privacy toets: het betreft het wachtwoorden beleid dat op basis van delegatie is goedgekeurd.

5.7 9.3.1 Geheime authenticatie-informatie gebruiken: Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie informatie houden aan de praktijk van de organisatie.

Privacy toets: geen aanvullende opmerkingen.

5.8 9.4.1 Beperking toegang tot informatie: Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging.

Privacy toets: de gebruiker ziet alleen die opties in het keuzemenu waartoe hij rechten heeft.

5.9 9.4.2

Beveiligde inlogprocedures: Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure.

Privacy toets: een aantal aanbevelingen:

2-way authenticatie;

Wachtwoord kan niet worden “afgeluisterd”;

Wachtwoord wordt niet weergegeven; Wachtwoord en username komen niet overeen is de juiste foutmelding bij onjuist ingetypt wachtwoord.

5.10 10.1.2.1 Sleutelbeheer: Met betrekking tot het gebruik, de bescherming en de levensduur van cryptografische sleu-tels behoort tijdens hun gehele levenscyclus een beleid te worden ontwikkeld.

Privacy toets: beleid t.a.v. digitale sleutels (voorbeeld Bitlocker).

5.11 10.1.2.2 Sleutelbeheer: Er wordt gebruik gemaakt van tools om cryptografische sleutels tijdens hun gehele levens-cyclus adequaat te beheren.

Privacy toets: beheer van digitale sleutels (bijvoorbeeld Bitlocker).

5.12 12.4.2 Beschermen van informatie in logbestanden: Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang.

Privacy toets: geen aanvullende opmerkingen

5.16 13.2.3 Elektronische berichten: Informatie die is opgenomen in elektronische berichten behoort passend te zijn beschermd

Privacy toets: toetsen op certificering.

Page 17: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 17 van 69

Controle en logging

Nr. ISO27002 Statement

6.1 9.2.5

Beoordeling van toegangsrechten van gebruikers: Eigenaren van bedrijfsmiddelen behoren toegangsrech-ten van gebruikers regelmatig te beoordelen.

Privacy toets: een van de belangrijkste statements. De proceseigenaar moet samen met hoofd systeem-beheer controleren of de toegangsrechten juist zijn.

6.2 12.4.1

Gebeurtenissen registreren: Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.

Privacy toets: geen aanvullende opmerkingen.

6.9 18.2.2

Naleving van beveiligingsbeleid en –normen: Het management behoort regelmatig de naleving van de informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied te beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.

Privacy toets: proceseigenaren controleren of afspraken gerealiseerd zijn. Er mogen geen vragen zijn in de trant van: “Waar liggen de verantwoordelijkheden?”.

6.10 18.2.3 Beoordeling van technische naleving: Informatiesystemen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging.

Privacy toets: beoordeling op technisch inhoudelijk gebied..

Page 18: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 18 van 69

4. Toetsingskader privacy

Toelichting op de aanvullende statements ISO 27001 en 27002, de Code voor Informatiebeveiliging, beschrijft weliswaar alle voorkomende risico’s op het gebied van informatiebeveiliging, maar alleen op een generieke manier. De Code is niet opgesteld om alle risico’s die samenhangen met privacy te verminderen. Weliswaar wordt een flink deel van de risico’s afgedekt maar niet alle. In dit hoofdstuk benoemen we alle aanvullende statements die vanuit het complete compliance kader pri-vacy zijn geselecteerd. Zoals aangegeven zijn die op dezelfde wijze gerangschikt als de generieke statements. In de onderstaande statements wordt in de eerste kolom met een kleur aangegeven met welke wet of norm dit statement concreet overeenkomt. Het statement (of een afgeleide daarvan) kan in andere bewoordingen bij-voorbeeld ook voorkomen in de Wbp of AVG. Bij een mogelijke overlap wordt gekozen voor de wet- of regel die daarbij het beste aansluit. In de laatste kolom wordt vermeld van welk privacy principe het statement is afgeleid. Het betreft de kleuren:

Beleidsdocument

Het toetsingskader privacy gaat ervan uit dat de mbo instelling beschikt (nu of in de nabije toekomst) over een beleidsdocument privacy. Er is een model beleidsplan beschikbaar: Model informatiebeveiligings- en privacy be-leid voor de mbo sector (IBPDOC6).

Kleuren Basis EVRM Europees Verdrag voor de Rechten van de Mens

AVG Algemene Verordening Gegevensbescherming

Wbp Wet bescherming persoonsgegevens

NEN7510 NEN-norm voor privacy en informatiebeveiliging in de zorg, veel gebruik in academi-sche ziekenhuizen

Andere nationale wetgeving

Overige nationale wetgeving zoals de Archiefwet

Page 19: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 19 van 69

4.1 Beleid en organisatie

P.1: Privacy-beleid Cluster: Beleid en organisatie P1: AVG 24 (ISO 18.1.4)

Privacy-beleid: Ten behoeve van het garanderen van privacy van deelnemers en medewerkers en om te voldoen aan de relevante wet- en regelgeving, behoort een reeks beleidsregels te worden gedefinieerd en goedgekeurd door het bestuur. In dit beleid is voorzien in procedures voor het uitoefenen van de rechten van deelnemers en docenten.

Toelichting: De verantwoordelijke moet interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan de beginselen van gegevensbescherming, wet- en regelgeving en (indien van toepassing) contractuele bepa-lingen. Daarbij moet de instelling rekening gehouden met de aard, omvang, de context en het doel van de gegevensverwerkingen binnen de instelling. De verantwoordelijke moet waarborgen én aantonen dat zijn gegevensverwerkingen in overeenstemming zijn met de AVG. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd. De AVG verplicht de verantwoordelijke om een passend gegevensbeschermingsbeleid te voeren, en dat re-gelmatig te evalueren. In termen van volwassenheidsniveaus, dient de instelling ten minste te voldoen aan niveau 4: beheersbaar en meetbaar. Door het privacy beleid op te nemen in een PDCA-cyclus, wordt hieraan voldaan. Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6)

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Er is geen beleid voor bescherming van persoonsgegevens. Voor som-mige systemen zijn ad hoc maatregelen genomen.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Er zijn afspraken over maatregelen maar die zijn niet formeel vastge-legd. Ze zijn specifiek ingericht op afdelingsniveau of in een bepaald be-drijfsproces en zijn intuïtief, gebaseerd op individuele kennis en exper-tise. Evidence: a) Inrichtings- of procesdocumenten waaruit blijkt dat er specifieke

maatregelen genomen zijn.

Volwassenheidsniveau 3 (gedefinieerd proces)

Er is beleid vastgesteld en dit wordt nageleefd. Evidence in aanvulling op 2: 1. Kopie goedgekeurde beleid voor bescherming van persoonsgege-

vens; 2. Kopie van informatie waaruit blijkt dat het beleid met medewerkers

is gecommuniceerd (te denken aan flyers, presentaties); 3. Voor zover apart geregeld: kopie van de rechten van deelnemers

en medewerkers (inclusief procedures).

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Er is een proces ingericht wat de toepassing van het beleid waarborgt. Daarin wordt onder andere zorg gedragen voor actualisatie van:

welk CvB lid eindverantwoordelijk is;

bij welke functionaris de rol/functie van privacy officer of Functio-naris voor de Gegevensbescherming (FG) is belegd;

wie de gegevens binnen de instelling gebruiken;

hoe betrokkenen in staat zijn invloed uit te oefenen op wat er met hun persoonsgegevens gebeurt en hoe daarop wordt toegezien.

Evidence in aanvulling op 3: 1. Kopie van een actueel overzicht van de procesonderwerpen.

Page 20: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 20 van 69

Volwassenheidsniveau 5 (Geoptimaliseerd)

Het proces en het privacy beleid is ingericht conform externe best prac-tices. Het beleid wordt periodiek geëvalueerd en zo nodig bijgesteld. Men houdt in het proces in de gaten wanneer gebruik, regels en voor-schriften veranderen en past het beleid hier op aan. Het proces maakt onderdeel uit van een gestandaardiseerd en geïnte-greerd intern audit en compliance proces. Evidence in aanvulling op 4: 1. Kopie waaruit blijkt welke best-practices gehanteerd worden (bv.

richtsnoer informatiebeveiliging van het CBP, aangevuld met bran-che specifieke afspraken.);

2. Kopie van het interne audit en compliance proces.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 21: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 21 van 69

P.2: Functionaris gegevensbescherming Cluster: Beleid en organisatie P2 AVG 37 (ISO 18.1.4) Governance

Functionaris gegevensbescherming: De instelling benoemt een functionaris voor de gegevensbescherming (FG), of indien dit niet mogelijk of wen-selijk is een privacy officer (PO), die is belast met intern toezicht op de verwerkingen van persoonsgegevens binnen de instelling, en alle verwerkingen van persoonsgegevens inventariseert en registreert. De verant-woordelijke zorgt er voor dat alle andere beroepswerkzaamheden van de FG verenigbaar zijn met zijn taken en verplichtingen als FG en dat die niet tot een belangenconflict leiden.

Toelichting: Om de bescherming van persoonsgegevens te verbeteren, stelt de verantwoordelijke een speciale functiona-ris aan die belast is met intern toezicht op de verwerkingen. Voor zover er een functionaris voor gegevensbescherming wordt benoemd, zijn een deel van diens rechten en plichten verankerd in de Wbp en AVG. De FG wordt door het CvB benoemd. De FG moet in staat zijn om zijn taken en verplichtingen onafhankelijk te vervullen, hij/zij geniet ontslagbescherming voor het deel dat het hun toezichthoudende taken betreft. De FG hoeft geen fulltime functie te zijn, maar de functie kan bij-voorbeeld ook belegd worden bij de instellingsjurist, vertrouwenspersoon of bestuurssecretaris. Een alternatief voor het benoemen van een FG, is het aanstellen van een privacy officer (PO) waarbij de in-stelling zelf meer mogelijkheden heeft om diens bevoegdheden te regelen of om diens taken anders te ver-delen. Deze PO heeft geen ontslagbescherming. In die zin is de PO anders dan de FG: FG is een functie terwijl PO een rol is. Overigens hoeft een FG of PO niet werkzaam te zijn bij de instelling, maar deze mag ook extern worden inge-huurd, of door een aantal onderwijsinstellingen gezamenlijk worden ingevuld. Verplichte aanwijzing FG Met de komst van de AVG (zie paragraaf 1.4) bestaat er in een aantal gevallen de verplichting om een FG aan te wijzen. Helaas wordt er geen cijfermatige maatstaf gegeven (zoals bijvoorbeeld het verwerken van gege-vens van X aantal betrokkenen). Overheden zijn wel altijd verplicht een FG aan te stellen. Daarnaast spreekt de AVG over ‘organisaties die persoonsgegevens gebruiken van personen waarop op grote schaal regelmatig en stelselmatig toezicht moet worden gehouden’. Volgens de toelichting bij de AVG gaat het om organisatie die als persoonsgegeven verwerken als kerntaak en niet om verwerkingen van persoonsgegevens als neven-activiteit. Onderwijsinstellingen leggen steeds meer gegevens vast over de resultaten en schoolloopbaan van deelnemers, of ze registreren bijzondere persoonsgegevens zoals bijvoorbeeld over gezondheid (dyslexie, ge-dragsproblemen). Ook al is het vastleggen van deelnemersgegevens geen kerntaak of hoofdactiviteit van een instelling, het is niet mogelijk om les te geven zonder vastlegging van deelnemersgegevens, voortgangs- of studieresultaten, et cetera. De conclusie is dan ook gerechtvaardigd dat onderwijsinstellingen stelselmatig en regelmatig betrokkenen ‘monitoren’ en in dat kader persoonsgegevens verwerken. Daarmee vallen zij onder de verplichting om een FG aan te stellen. Taken FG De FG vervult ten minste de volgende taken: 1. registreren van verwerkingen van gegevensverwerkingen. 2. adviseren van de verantwoordelijke en alle bij gegevensverwerkingen betrokken werknemers over hun (wettelijke) verplichtingen. 3. toezicht op de naleving van wet- en regelgeving, alsmede op naleving van het privacy beleid, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrok-ken personeel. 4. advies over de gegevensbeschermingseffectbeoordeling (zie statement P.21) en toezien op de uitvoering daarvan. 5. samenwerking met de toezichthoudende (privacy)autoriteiten. 6. optreden als contactpunt voor de toezichthoudende autoriteit. Overige verplichtingen voortvloeiend uit de AVG:

Page 22: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 22 van 69

1. De FG wordt geselecteerd op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundig-heid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om te adviseren en toezicht te houden op verwerkingen van persoonsgegevens binnen de instelling. 2. De bestuurder zorgt er voor dat de FG naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens binnen de onderwijsinstelling. 3. De FG brengt rechtstreeks verslag uit aan de hoogste leidinggevende/directie binnen de onderwijsinstel-ling. 4. Het CvB verschaft de FG toegang tot alle persoonsgegevens en verwerkingsactiviteiten en stelt de FG de benodigde middelen ter beschikking voor het vervullen van zijn taken en voor het in stand houden van zijn deskundigheid 5. De bestuurder zorgt ervoor dat eventuele overige taken of plichten van de FG niet tot een belangenconflict leiden. Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6)

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Er is geen specifieke functionaris aangesteld die belast is met intern toe-zicht op de verwerking van persoonsgegevens. Voor sommige systemen of processen zijn ad hoc maatregelen genomen.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Er zijn afspraken over maatregelen maar die zijn niet formeel vastgelegd. Ze zijn specifiek ingericht op afdelingsniveau of in een bepaald bedrijfs-proces en zijn intuïtief, gebaseerd op individuele kennis en expertise. Evidence: 1. Inrichtings- of procesdocumenten waaruit blijkt dat er specifieke

maatregelen genomen zijn of functionarissen die met toezicht op ge-gevensverwerkingen zijn belast.

Volwassenheidsniveau 3 (gedefinieerd proces)

Er is beleid vastgesteld en dit wordt nageleefd. Evidence in aanvulling op 2: 1. Kopie van het besluit waarin een FG of PO wordt aangesteld; 2. Kopie van het besluit of reglement waarin de rechten en bevoegdhe-

den van de FG of PO zijn geregeld.

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Er is een proces ingericht wat de aanstelling en functioneren van een FG waarborgt. Dit is vastgelegd in een document waarin onder andere is op-genomen:

welk CvB lid eindverantwoordelijk is, aan wie de FG (PO)rapporteert;

er is een medewerker aangewezen als FG op basis van kennis, des-kundigheid en ervaring met de verwerking van persoonsgegevens;

er is voor deze FG een beschrijving van diens, bevoegdheden, rech-ten (waaronder ontslagbescherming) en plichten zijn.

Evidence in aanvulling op 3: 1. Kopie van een actueel overzicht van de voornoemde procesonder-

werpen met wat rol en positie van de FG daarin is.

Volwassenheidsniveau 5 (Geoptimaliseerd)

Het proces en het privacy beleid is ingericht conform externe best prac-tices. Het beleid wordt periodiek geëvalueerd en zo nodig bijgesteld. Men houdt in het proces in de gaten wanneer gebruik, regels en voorschriften veranderen en past het beleid hier op aan. Evidence in aanvulling op 4: 1. Kopie waaruit blijkt welke best-practices gehanteerd worden (bv.

richtsnoer informatiebeveiliging van het CBP, aangevuld met branche specifieke afspraken.);

2. Kopie van het interne audit en compliance proces. 3. In het privacy beleid is opgenomen dat de FG aantoonbaar betrokken

bij alle aangelegenheden die gaan over privacy van deelnemers bin-nen de instelling, én uit navraag blijkt dit ook praktijk te zijn

4. De FG rapporteert aan de hoogste leidinggevende (zoals directie) of aan de bestuurder

5. De overige werkzaamheden en taken van de FG leiden niet tot een conflict met zijn taak als FG.

Page 23: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 23 van 69

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 24: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 24 van 69

P.3: Doelbepaling, doelbinding, grondslag, grond bij minderjari-gen en dataminimalisatie.

Cluster: Beleid en organisatie P3 WBP; AVG 5, 6, 12

Doelbepaling, doelbinding, grondslag, grond bij minderjarigen en dataminimalisatie. De instelling draagt er zorg voor dat bij verwerking van persoonsgegevens de volgende uitgangspunten wor-den gehanteerd: P.3a Doelbepaling en doelbinding: De instelling draagt er zorg voor dat voor iedere categorie van verwerkin-

gen – voorafgaand aan die verwerking - een specifiek doeleinde is vastgesteld, en dat dit doel-einde is gecommuniceerd bij de gegevensverzameling. De instelling zorgt er voor dat persoons-gegevens alleen worden verwerkt voor het doeleinde waarvoor die gegevens verkregen zijn.

P.3b Grondslag (rechtmatigheid): De instelling zorgt er voor dat persoonsgegevens altijd op basis van een wettelijke grondslag worden verwerkt. Daarbij maakt de instelling geen gebruik van opt-out re-gelingen als het gaat om verwerkingen van persoonsgegevens. Indien toestemming noodzakelijk is voor verwerkingen van persoonsgegevens van deelnemers jonger dan 16 jaar, dan wordt toe-stemming altijd afgestemd met de wettelijke vertegenwoordigers, en deze toestemming wordt vastgelegd en is reproduceerbaar.

P.3c Dataminimalisatie: Het verwerken van persoonsgegevens moet redelijk zijn en in verhouding staan tot het te realiseren doel van die verwerking: de inbreuk op de privacy moet te rechtvaardigen zijn om het doeleinde te bereiken (proportionaliteit), de te verzamelen persoonsgegevens blijven be-perkt tot datgene wat minimaal nodig is om de doeleinde(n) te bereiken waarvoor de data wor-den verwerkt (subsidiariteit).

P.3d Transparantie: de instelling informeert de gebruikers (of hun wettelijke vertegenwoordigers) en mede-werkers van wie persoonsgegevens worden verwerkt, beknopt, transparant, eenvoudig toegan-kelijk en begrijpelijk in duidelijke en eenvoudige taal over het beleid alsmede over alle gegevens-verwerkingen.

P.3e Data-integriteit: de instelling zorgt er voor dat bij verwerkingen die door of namens de instelling worden uitgevoerd, de juiste persoonsgegevens op het juiste moment op de juiste plaats beschikbaar zijn.

Toelichting: Alle verwerkingen van persoonsgegevens binnen de instelling voldoen aan de vijf (herziene) vuistregels voor privacy. Deze basis privacy principes, die afgeleid zijn van de Wbp, zijn: 1) doelbepaling en doelbinding, 2) grondslag, 3) dataminimalisatie en 4) transparantie (over de rechten, maar ook over de verschillende verwer-kingen van persoonsgegevens) en 5) data-integriteit. De verantwoordelijke voor de gegevensverwerking moet aan kunnen tonen dat er voldaan wordt aan deze principes (verantwoordingsplicht zoals opgenomen in de AVG). De uitgangspunten P.3d en P.3e worden in de statements P.11 en P.12 respectievelijk P.17. Deze statemens zijn hier opgenomen om voor de volledigheid: instellingen moeten deze vijf uitgangspunten controleren als zij voornemens zijn persoonsgegevens te gaan verwerken. In de AVG worden deze principes anders benoemd, maar komen inhoudelijk op het zelfde neer.

Doel en doelbinding: dit valt onder het beginsel doelbinding (AVG 5.1.b)

Grondslag: rechtmatigheid van de verwerking (AVG 6)

Dataminimalisatie: dit valt onder de beginselen minimale gegevensverwerking (AVG 5.1.c) en opslag-beperking (AVG 5.1.e)

Transparantie en rechten betrokkene: transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene (AVG 12). Het onderdeel transparantie komt terug in P.11 en P.12 van dit toetsingskader (communicatie) en wordt niet geregeld in dit statement.

‘Juistheid van gegevens’ (AVG 5.1.d) wordt geïntroduceerd in de AVG: persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Dit sluit inhoudelijk aan bij begrip ‘integriteit’ uit de informatiebeveiliging. Onjuiste gegevens worden gerectificeerd of gewist. De juistheid van de data (integriteit) komt terug in P.17 van dit toetsingskader: vertrouwelijkheid en integriteit.

Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6)

Page 25: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 25 van 69

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Er is geen beleid voor bescherming van persoonsgegevens. Voor som-mige systemen zijn ad hoc maatregelen genomen.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Er is een checklist ontwikkeld die P.2a t/m P.2e toetst en die wordt toe-gepast door een kleine groep van medewerkers. Bijvoorbeeld: het hoofd van de deelnemersadministratie heeft het in-schrijfformulier aan de hand van de checklist gecontroleerd op de nale-ving van het privacy beleid. De medewerkers van de deelnemersadmi-nistratie passen het privacy beleid toe bij inschrijving van nieuwe deel-nemers. Evidence: 1. Kopie checklist waardoor toetsing van P.2a t/m P.2e mogelijk is; 2. Kopie verklaring van leidinggevende waarin staat aangegeven dat

een formulier getoetst is op de juiste uitvoer van het privacy beleid,

Volwassenheidsniveau 3 (gedefinieerd proces)

Er is een checklist ontwikkeld die P.2a t/m P.2e toetst en die wordt toe-gepast op alle vragenformulieren in de mbo instelling. Evidence in aanvulling op 2: 1. Kopie proces architectuur waarin de proceseigenaren zijn te trace-

ren; 2. Kopie van alle vragenformulieren; 3. Kopie verklaringen waarin staat aangegeven dat alle vragenformu-

lieren getoetst zijn op de juiste uitvoer van het privacy beleid.

Volwassenheidsniveau 4 (Beheerst en meetbaar)

De checklist wordt jaarlijks aangepast naar aanleiding van gesigna-leerde tekortkomingen of op basis van veranderende wet- en regelge-ving, Evidence in aanvulling op 3: 1. Kopie rapport evaluatie checklist op basis van werking en nieuwe

wet- en regelgeving; 2. Kopie nieuwe checklist; 3. Kopie goedkeuring checklist door College van Bestuur.

Volwassenheidsniveau 5 (Geoptimaliseerd)

Toekomstige ontwikkelingen en best practices op het gebied van pri-vacy worden nauwgezet gevolgd door de mbo instelling. Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die in

de nabije toekomst van invloed zijn op de checklist.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 26: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 26 van 69

P.4: Registratieplicht Cluster: Beleid en organisatie P4 WBP; AVG 30, 39

Registratieplicht: Een verwerking van persoonsgegevens wordt gemeld aan de aangestelde Functionaris Ge-gevensbescherming die daartoe een (openbaar) register bijhoudt. In geval er geen Functionaris voor Gege-vensbescherming is aangesteld, wordt deze melding gedaan bij de Autoriteit Persoonsgegevens voor zover de verwerking niet onder een vrijstelling meldingsplicht valt.

Toelichting: Organisaties die persoonsgegevens verwerken, moeten daar melding van doen bij de Autoriteit Persoonsge-gevens die daarvan een register bijhoudt. Onderwijsinstellingen hoeven alleen zo’n melding te doen als zij persoonsgegevens gaan verwerken voor een doel dat niet samenhangt met het lesgeven aan deelnemers. Als de onderwijsinstelling een FG heeft benoemd, dan is deze FG als intern toezichthouder verplicht om de meldingen bij te houden. Er hoeft dan geen melding te worden gedaan bij de Autoriteit Persoonsgegevens. Indien de instelling geen FG heeft aangesteld, moeten tot mei 2018 de meldingen bij de Autoriteit Per-soonsgegevens worden gedaan (en kan de melding niet plaatsvinden bij een andere functionaris zoals een privacy officer)6. Na 25 mei 2018 moet een instelling, met meer dan 250 medewerkers, zelf een register bijhouden waarin tenminste de volgende gegevens worden opgenomen:

a) Contactgegevens van de instelling; b) Indien van toepassing: gegevens van de bewerker; c) Doeleinden van de gegevensverwerking; d) Beschrijving van de categorieën persoonsgegevens; e) Beschrijving van de categorieën betrokkenen: deelnemers, medewerkers, etc. ; f) Categorieën van de personen die deze gegevens gaan gebruiken (intern/extern); g) Of er sprake is van doorgifte van de persoonsgegevens buiten de EU; h) Van toepassing zijnde bewaar- en vernietigingstermijnen van de gegevens;

Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen. Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6)

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Er is geen beleid voor verwerking en registratie (openbaar register) van persoonsgegevens door een aangestelde Functionaris Gegevens-bescherming.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Er is een vastgesteld beleid of proces voor verwerking en registratie (openbaar register) van persoonsgegevens door een aangestelde Functionaris Gegevensbescherming. Evidence: 1. Kopie document beleid verwerking en registratie van persoons-

gegevens; 2. Kopie verklaring van College van Bestuur waarin staat dat het for-

mulier verwerking en registratie van persoonsgegevens is vastge-steld.

Volwassenheidsniveau 3 (gedefinieerd proces)

Er is een vastgesteld beleid of proces voor verwerking en registratie (openbaar register) van persoonsgegevens door een aangestelde Functionaris Gegevensbescherming dat bekend is bij alle medewer-kers van de mbo instelling. Evidence in aanvulling op 2: 1. Kopie nieuwsbrief of bericht waar het beleid of proces verwerking

en registratie van persoonsgegevens is gecommuniceerd met alle medewerkers en deelnemers.

2. Kopie register (overzicht geregistreerde gegevensverwerkingen).

6 https://autoriteitpersoonsgegevens.nl/nl/melden/melden-verwerking-persoonsgegevens

Page 27: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 27 van 69

Volwassenheidsniveau 4 (Beheerst en meetbaar)

De checklist wordt jaarlijks aangepast naar aanleiding van gesigna-leerde tekortkomingen of op basis van veranderende wet- en regelge-ving, Evidence in aanvulling op 3: 1. Kopie aanbevelingen op basis van bevindingen register persoonsge-

gevens door de Functionaris Gegevensbescherming; 2. Kopie goedkeuring aanpassingen register persoonsgegevens door

College van Bestuur.

Volwassenheidsniveau 5 (Geoptimaliseerd)

Toekomstige ontwikkelingen en best practices op het gebied van Pri-vacy worden nauwgezet gevolgd door de mbo instelling. De instelling houdt zelf een register bij van gegevensverwerkingen bin-nen de instellingen Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die in

de nabije toekomst van invloed zijn op het register persoonsgege-vens.

2. (Wettelijk vereist per 25 mei 2018:) Indien de onderwijsinstelling meer dan 250 personeelsleden heeft, is er een register met geregi-streerde verwerkingen.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 28: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 28 van 69

P.5: Bewaartermijnen Cluster: Beleid en organisatie P5 Archiefwet; AVG 5, 30

Bewaartermijnen: Er is een actief archief- en vernietigingsbeleid: persoonsgegevens worden niet langer bewaard dan nodig voor het gestelde doeleinde. De instelling stelt op basis van de Archiefwet (waaronder het BSD valt) de vernieti-gings- en bewaartermijnen vast van de verwerkte persoonsgegevens. De instelling is in staat om alle per-soonsgegevens die niet onder een wettelijke bewaartermijn vallen, op een eerste verzoek van de deelnemer (of indien deze jonger is dan 16 jaar: diens ouders) te vernietigen.

Toelichting: Persoonsgegevens worden niet langer bewaard dan nodig. Binnen het mbo zijn er verschillende documenten beschikbaar, zoals onder meer de ‘Hoe? Zo! Documentmanagement’ maar ook het Basisselectiedocument (BSD) zoals deze door de FSR is opgesteld. Hiermee is een instelling in staat om het archief- en vernietigings-beleid van persoonsgegevens binnen de instelling duidelijk en inzichtelijk te maken. Desgewenst kan er door de instelling een apart document (archief- en vernietigingsbeleid) voor worden gemaakt. Vanaf mei 2018 moet voldaan worden aan het in de AVG opgenomen ‘recht om te worden vergeten’ (art. 17 AVG). Dat betekent dat een instelling in staat moet zijn om volledige dossiers te wissen en schonen van alle informatie die niet volgens de wet bewaard moet of mag worden. Relevante ibp documenten: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6) en “Hoe? Zo! Documentmanagement”.

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Er is geen archief- en vernietigingsbeleid van persoonsgegevens.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Er is een vastgesteld archief- en vernietigingsbeleid van persoonsge-gevens op basis van de archiefwet. Evidence: 1. Kopie document archief- en vernietigingsbeleid van persoonsge-

gevens; 2. Kopie verklaring van College van Bestuur waarin staat dat het ar-

chief- en vernietigingsbeleid van persoonsgegevens is vastge-steld.

Volwassenheidsniveau 3 (gedefinieerd proces)

Er is een vastgesteld archief- en vernietigingsbeleid van persoonsge-gevens op basis van de archiefwet dat bekend is bij alle medewerkers van de mbo instelling. Evidence in aanvulling op 2: 1. Kopie nieuwsbrief waar het beleid verwerking en registratie van

persoonsgegevens is gecommuniceerd met alle medewerkers en deelnemers;

2. Kopie trainingsaanbod “Bewaartermijnen” aan de medewerkers die betrokken zijn bij dit beleid;

3. Kopie overzicht aanwezigheidslijst van deelnemers trainingsaan-bod “Bewaartermijnen”.

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Het vastgestelde archief- en vernietigingsbeleid van persoonsgege-vens op basis van de archiefwet wordt jaarlijks aangepast naar aan-leiding van gesignaleerde tekortkomingen of op basis van verande-rende wet- en regelgeving, Evidence in aanvulling op 3: 1. Kopie overzicht bevindingen gesignaleerde tekortkomingen op

het beleid; 2. Kopie aanbevelingen op basis van bevindingen tekortkomingen

door de Functionaris Gegevensbescherming; 3. Kopie goedkeuring aanpassingen archief- en vernietigingsbeleid

van persoonsgegevens door College van Bestuur.

Page 29: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 29 van 69

Volwassenheidsniveau 5 (Geoptimaliseerd)

Toekomstige ontwikkelingen en best practices op het gebied van ar-chief- en vernietigingsbeleid van persoonsgegevens worden nauwge-zet gevolgd door de mbo instelling. Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die

in de nabije toekomst van invloed zijn op het register persoons-gegevens.

2. (Wettelijk vereist vanaf 25 mei 2018:) Er is een beleid om te vol-doen aan het verzoek van een deelnemer op volledige wissing van zijn gegevens waarbij wordt voldaan aan alle randvoorwaarden van artikel 17 AVG.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 30: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 30 van 69

P.6: Verwerking t.b.v. onderzoek Cluster: Beleid en organisatie P6 WBP NIEUW; AVG 89 (5, 9, 14, 17, 21)

Verwerking t.b.v. onderzoek: Persoonsgegevens mogen worden verwerkt ten behoeve van: b) archivering in het algemeen belang (Archiefwet); c) wetenschappelijk of historisch onderzoek; of d) statistische doeleinden

indien passende technische en organisatorische maatregelen zijn genomen om de privacy van de betrokken deelnemers te garanderen. Onder deze maatregelen wordt in ieder geval verstaan dat er niet meer persoons-gegevens worden verwerkt dan strikt noodzakelijk is. Hierbij valt te denken aan pseudonimisering (in geval de data herleidbaar moet zijn tot individuen) of anonimisering (in geval data niet herleidbaar hoeft te zijn). Bij historische, statistische of wetenschappelijke doeleinden is verwerking alleen mogelijk op basis van strikte voorwaarden vergelijkbaar met de ‘Gedagscode voor Onderzoek & Statistiek’ en de verantwoordelijke voor-afgaand toestemming heeft verleend.

Toelichting: Er is een beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doel-einden beschikbaar. Hierbij kan worden aangehaakt bij de gedragscode voor historisch en wetenschappelijk onderzoek. Indien er sprake is van onderzoek dan zal de onderzoekende partij deze gedragscode bespreken en toepassen.

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Er is geen beleid voor verwerking van persoonsgegevens voor histo-risch, statistisch of wetenschappelijke doeleinden.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Er is een vastgesteld beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden. Evidence: 1. Kopie beleid voor verwerking van persoonsgegevens voor histo-

risch, statistisch of wetenschappelijke doeleinden; 2. Kopie verklaring van College van Bestuur waarin staat dat het beleid

voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden is vastgesteld.

Volwassenheidsniveau 3 (gedefinieerd proces)

Er is een vastgesteld beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden dat bekend is bij alle medewerkers van de mbo instelling. Evidence in aanvulling op 2: 1. Kopie nieuwsbrief of bericht waar beleid voor verwerking van per-

soonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden is gecommuniceerd met alle medewerkers en deelne-mers;

2. Kopie trainingsaanbod “verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden” aan de me-dewerkers die betrokken zijn bij dit beleid;

3. Kopie overzicht aanwezigheidslijst van deelnemers trainingsaanbod “verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden”.

Page 31: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 31 van 69

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Het vastgestelde beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden wordt jaarlijks aangepast naar aanleiding van gesignaleerde tekortkomingen of op ba-sis van veranderende wet- en regelgeving, Evidence in aanvulling op 3: 1. Kopie overzicht bevindingen gesignaleerde tekortkomingen op het

beleid; 2. Kopie aanbevelingen op basis van bevindingen tekortkomingen

door de Functionaris Gegevensbescherming; 3. Kopie goedkeuring aanpassingen beleid voor verwerking van per-

soonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden door College van Bestuur.

Volwassenheidsniveau 5 (Geoptimaliseerd)

Toekomstige ontwikkelingen en best practices op het gebied van beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden worden nauwgezet gevolgd door de mbo instelling. Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die in

de nabije toekomst van invloed zijn op het beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappe-lijke doeleinden.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 32: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 32 van 69

P.7: Verwerking van bijzondere persoonsgegevens Cluster: Beleid en organisatie P7 WBP; AVG 9

Verwerking van bijzondere persoonsgegevens De instelling verwerkt geen persoonsgegevens betreffende

iemands religieuze of levensbeschouwelijke overtuigingen, tenzij dit gelet op het doel van de instelling en voor de verwezenlijking van haar grondslag strikt noodzakelijk is,

ras of etnische afkomst, tenzij de instelling daartoe op grond van een wet verplicht is, of alleen in met het doel om personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen om feitelijke nadelen verband houdende met de grond ras op te heffen of te verminderen,

biometrische gegevens (zoals vingerafdruk of irisscan) voor zover deze gebruikt worden met het oog op de unieke identificatie van een persoon,

gezondheid of iemands seksueel gedrag of seksuele gerichtheid, voor zover dat met het oog op de speci-ale begeleiding van deelnemers of het treffen van bijzondere voorzieningen in verband met hun gezond-heidstoestand noodzakelijk is,

tenzij de deelnemer voor het gebruik van deze categorieën persoonsgegevens zelf toestemming heeft gege-ven voor het verwerken van de hiervoor genoemde categorieën persoonsgegevens.

Toelichting: Het gebruik van bijzondere persoonsgegevens is verboden, tenzij daar voor een onderwijsinstelling een aan-wijsbare en wettelijke rechtvaardiging voor is. Het gebruik van deze gegevens moet strikt noodzakelijk zijn. Dat vraagt om extra aandacht als deze categorie gegevens verwerkt zal gaan worden. Onder bijzondere per-soonsgegevens valt ook het gebruik van pasfoto’s omdat daarvan iemand ras kan worden afgeleid. Het heeft de voorkeur dat de instelling inzichtelijk kan maken in welke gevallen deze gegevens worden verwerkt en voor welke doeleinden. Vanaf 25 mei 2018 is het niet mogelijk om zonder uitdrukkelijke voorafgaande toestemming de biometrische gegevens zoals een irisscan of vingerafdruk te gebruiken voor de unieke identificatie van een deelnemer.

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Er is geen beleid voor verwerking van bijzondere persoonsgegevens.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Er is een vastgesteld beleid voor verwerking van bijzondere persoons-gegevens. Evidence: 1. Kopie beleid voor verwerking van bijzondere persoonsgegevens; 2. Kopie verklaring van College van Bestuur waarin staat dat het beleid

voor verwerking bijzondere persoonsgegevens is vastgesteld.

Volwassenheidsniveau 3 (gedefinieerd proces)

Er is een vastgesteld beleid voor verwerking van bijzondere persoons-gegevens dat bekend is bij alle medewerkers van de mbo instelling. Evidence in aanvulling op 2: 1. Kopie nieuwsbrief waar beleid voor verwerking van bijzondere per-

soonsgegevens is gecommuniceerd met alle medewerkers en deel-nemers;

2. Kopie trainingsaanbod “Bijzondere persoonsgegevens” aan de me-dewerkers die betrokken zijn bij dit beleid;

3. Kopie overzicht aanwezigheidslijst van deelnemers trainingsaanbod “Bijzondere persoonsgegevens”.

Page 33: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 33 van 69

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Het vastgestelde beleid voor verwerking van bijzondere persoonsgege-vens wordt jaarlijks aangepast naar aanleiding van gesignaleerde te-kortkomingen of op basis van veranderende wet- en regelgeving, Evidence in aanvulling op 3: 1. Kopie overzicht bevindingen gesignaleerde tekortkomingen op het

beleid; 2. Kopie aanbevelingen op basis van bevindingen tekortkomingen

door de Functionaris Gegevensbescherming; 3. Kopie goedkeuring aanpassingen beleid voor verwerking van bij-

zondere persoonsgegevens door College van Bestuur.

Volwassenheidsniveau 5 (Geoptimaliseerd)

Toekomstige ontwikkelingen en best practices op het gebied van bijzon-dere persoonsgegevens worden nauwgezet gevolgd door de mbo in-stelling. Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die in

de nabije toekomst van invloed zijn op het beleid voor verwerking van bijzondere persoonsgegevens.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 34: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 34 van 69

P.8: Geautomatiseerde besluitvorming Cluster: Beleid en organisatie P5 NIEUW ; AVG 21, 22

Geautomatiseerde besluitvorming In geval de instelling gebruik maakt van geautomatiseerde individuele besluitvorming (geautomatiseerde be-sluitvorming) zal zij:

geen geautomatiseerde beslissingen laten nemen over de betrokkene zonder dat bij die beslissing een natuurlijk persoon namens de instelling betrokken is, tenzij de betrokkene instemt met een geautomati-seerde beslissing zonder menselijke interventie; en

er aan de betrokkene duidelijke informatie is verstrekt over de wijze van geautomatiseerde besluitvor-ming, en

de betrokkene de mogelijkheid heeft o zijn standpunt en visie over het besluit en besluitvormingsproces te geven, en o in verweer te komen tegen een dergelijke geautomatiseerde beslissing; en

bij de geautomatiseerde besluitvorming geen gebruik maken van bijzondere persoonsgegevens.

Toelichting: Bij geautomatiseerde besluitvorming, vaak ook wel profilering genoemd, is er sprake van elke vorm van ge-automatiseerde verwerking van persoonsgegevens waarbij aan de hand van die persoonsgegevens bepaalde persoonlijke aspecten van een onderwijsdeelnemer worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen. Het betreft een geautomatiseerde verwer-king (en vergelijking) van verschillende soorten persoonsgegevens. Bijvoorbeeld om een betrokkene te eva-lueren, classificeren of een beslissing over die betrokkene te nemen. De instelling zal bij het inzetten van geautomatiseerde besluitvorming geen geautomatiseerde beslissingen laten nemen over de betrokkene, zon-der dat bij die beslissing een medewerker namens de instelling zeggenschap heeft over deze besluitvorming. Aan betrokkenen moet voorafgaand aan de geautomatiseerde besluitvorming informatie zijn verstrekt over de wijze van geautomatiseerde besluitvorming, en de betrokkene de mogelijkheid heeft om tegen een der-gelijke geautomatiseerde beslissing bezwaar aan te tekenen. Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6)

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Er is geen beleid voor geautomatiseerde besluitvorming.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Er is een vastgesteld beleid geautomatiseerde besluitvorming. Evidence: 1. Kopie beleid voor geautomatiseerde besluitvorming; 2. Kopie verklaring van College van Bestuur waarin staat dat het beleid

voor geautomatiseerde besluitvorming is vastgesteld.

Volwassenheidsniveau 3 (gedefinieerd proces)

Er is een vastgesteld beleid voor geautomatiseerde besluitvorming dat bekend is bij alle medewerkers van de mbo instelling. Evidence in aanvulling op 2: 1. Kopie nieuwsbrief waar beleid voor geautomatiseerde besluitvor-

ming is gecommuniceerd met alle medewerkers en deelnemers; 2. Kopie trainingsaanbod “Geautomatiseerde besluitvorming” aan de

medewerkers die betrokken zijn bij dit beleid; 3. Kopie overzicht aanwezigheidslijst van deelnemers trainingsaanbod

“Geautomatiseerde besluitvorming”.

Page 35: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 35 van 69

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Het vastgestelde beleid voor geautomatiseerde besluitvorming wordt jaarlijks aangepast naar aanleiding van gesignaleerde tekortkomingen of op basis van veranderende wet- en regelgeving, Evidence in aanvulling op 3: 1. Kopie overzicht bevindingen gesignaleerde tekortkomingen op het

beleid; 2. Kopie aanbevelingen op basis van bevindingen tekortkomingen

door de Functionaris Gegevensbescherming; 3. Kopie goedkeuring aanpassingen beleid voor geautomatiseerde be-

sluitvorming door College van Bestuur.

Volwassenheidsniveau 5 (Geoptimaliseerd)

Toekomstige ontwikkelingen en best practices op het gebied van geau-tomatiseerde besluitvorming worden nauwgezet gevolgd door de mbo instelling. Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die in

de nabije toekomst van invloed zijn op het beleid voor geautomati-seerde besluitvorming.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 36: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 36 van 69

P.9: Informatiebeveiliging Cluster: Beleid en organisatie P9 WBP; AVG 5, 32

Informatiebeveiliging De instelling neemt passende technische of organisatorische maatregelen op een dusdanige manier dat de passende beveiliging van persoonsgegevens gewaarborgd is. De integriteit en vertrouwelijkheid van de per-soonsgegevens moet gegarandeerd zijn. Verwerkte persoonsgegevens zijn beveiligd tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze beveiliging is afhankelijk van de stand van de techniek, de uitvoeringskosten, alsook de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de privacy van de onderwijsdeelnemers. Bij de beveiliging wordt aangesloten bij algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging.

Toelichting: De bescherming van gegevens en privacy wordt bewerkstelligd overeenkomstig relevante wetgeving, voor-schriften en (indien van toepassing) contractuele bepalingen. De persoonsgegevens worden beveiligd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Dit statement wordt gekoppeld aan het informatiebeveiligingsbeleid zoals dat ontwikkeld is door saMBO-ICT (MBO-Raad) en Kennisnet, op basis ISO 27001/2 als internationaal erkende informatiebeveiliging standaard. Vanaf 25 mei 2018 is het verplicht om te voorzien in een procedure om regelmatig de genomen beveiligings-maatregelen te testen, beoordelen en te evalueren. Relevante ibp documenten: Toetsingskader ib: clusters 1 t/m 6 (IBPDOC3) en Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6)

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Er is geen beleid voor de beveiliging van persoonsgegevens. Voor sommige systemen zijn ad hoc maatregelen genomen.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Er is beleid en er zijn maatregelen beschreven en formeel vastgelegd, Er is geen baseline (minimum niveau). Evidence: 1. Kopie van het informatiebeveiligingsbeleid. 2. Kopie goedkeuring informatiebeveiligingsbeleid door het College

van Bestuur..

Volwassenheidsniveau 3 (gedefinieerd proces)

Er is beleid vastgesteld en dit wordt nageleefd. Het volwassenheids-niveau van alle statements in het toetsingskader is tenminste niveau 2 (opzet en bestaan en beperkte werking). Evidence: 1. Kopie interne audit op basis van het toetsingskader informatiebe-

veiliging van het mbo waarbij aantoonbaar, op basis van evidence (evidence), tenminste op ieder statement het volwassenheidsni-veau 2 wordt behaald;

2. Kopie projectplan waarbij wordt beschreven op welke manier de statements die van belang zijn voor het privacy beleid binnen 2 jaar op volwassenheidsniveau 3 worden beoordeeld tijdens een interne audit.

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Er is beleid vastgesteld en dit wordt nageleefd. Evidence in aanvulling op 3: 1. Kopie interne audit op basis van het toetsingskader informatiebe-

veiliging van het mbo waarbij aantoonbaar, op basis van evidence (evidence), tenminste op ieder statement een volwassenheidsni-veau is bepaald en (wordt) gerealiseerd.

Page 37: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 37 van 69

Volwassenheidsniveau 5 (Geoptimaliseerd)

Het proces en het privacy beleid is ingericht conform externe best practices. Het beleid wordt periodiek geëvalueerd en zo nodig bijge-steld. Men houdt in het proces in de gaten wanneer gebruik, regels en voorschriften veranderen en past het beleid hier op aan. Het proces maakt onderdeel uit van een gestandaardiseerd en geïn-tegreerd extern (peer-) audit en compliance proces. Evidence in aanvulling op 4: 1. Kopie waaruit blijkt welke best-practices gehanteerd. 2. Kopie van het externe (peer-) audit en compliance proces. 3. (Vanaf 25 mei 2018:) Er is voorzien in een procedure om op vaste

tijden de genomen beveiligingsmaatregelen te testen, beoorde-len en te evalueren op doeltreffendheid.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 38: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 38 van 69

P.10: Bewerkersovereenkomsten Cluster: Beleid en organisatie P10 WBP 6.7 (ISO 15.2.1); AVG 28

Bewerkersovereenkomsten Met alle leveranciers die als bewerker voor of namens de instelling persoonsgegevens (van deelnemers, me-dewerkers en externen) verwerken, worden bewerkersovereenkomsten gesloten waarin alle wettelijk ver-eiste afspraken zijn vastgesteld.

Toelichting: De Wbp gaat er van uit dat een onderwijsinstelling als verantwoordelijke voor de gegevensbescherming, af-spraken maakt met alle derden (bijvoorbeeld leveranciers) die beschikking krijgen over persoonsgegevens afkomstig van de onderwijsinstelling. Deze afspraken moeten worden vastgelegd in een overeenkomst: de bewerkersovereenkomst. In het mbo is er een bewerkingsovereenkomst die gebruikt kan worden. Voor het mbo is er een modelbewerkersovereenkomst opgesteld die kan worden gebruikt voor leveranciers van digitaal leermateriaal of school- en studentinformatiesystemen. Dit is Bewerkersovereenkomst mbo ver-sie (IBPDOC28). Vanaf 25 mei 2018 dient de bewerkersovereenkomst ten minste de volgende elementen te bevatten:

a) Het onderwerp van de bewerkersovereenkomst; b) de duur van de verwerking; c) aard en het doel van de verwerking; d) het soort en categorieën persoonsgegevens; e) de rechten en verplichtingen van de verantwoordelijke en bewerker; f) de instructie dat de bewerker alleen na uitdrukkelijke opdracht en instructie van de verantwoorde-

lijke persoonsgegevens van de onderwijsinstelling zal verwerken; g) de betrokken medewerkers van bewerker verplicht zijn tot geheimhouding van de persoonsgege-

vens die de onderwijsinstelling met de bewerker deelt; h) de gegevens moeten beveiligd zijn; i) de contractuele bepalingen onverkort gelden voor door de bewerker ingeschakelde subbewerkers; j) de verplichting van bewerker om medewerking te verlenen indien een deelnemer zijn rechten wenst

uit te oefenen; k) na afloop van de overeenkomst met bewerker worden de door verantwoordelijke persoonsgegevens

teruggegeven of vernietigd (behoudens een op bewerker rustende wettelijke bewaarplicht); l) medewerking verlenen aan door de verantwoordelijke uit te voeren inspecties en audits.

Relevant ibp document: Bewerkersovereenkomst mbo (IBPDOC29)

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

De diensten, rapporten en registraties die door een derde partij wor-den geleverd, worden niet gecontroleerd of beoordeeld en er worden geen audits uitgevoerd.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Er zijn alleen incidentele, ad hoc of niet-juridische dekkende afspra-ken met leveranciers die deelnemersgegevens ontvangen. De diensten, rapporten en registraties die door een derde partij wor-den geleverd, worden opgeslagen in een registratiesysteem en ge-bruikt om achteraf bij te kunnen sturen. Ze worden niet regelmatig gecontroleerd en beoordeeld. Er worden alleen ad hoc audits uitgevoerd, bv tijdens een algehele audit van het door de dienst van de derde partij ondersteunde busi-ness proces. Evidence: 1. Kopie of rapportage uit het registratiesysteem. 2. Kopie afspraken leveranciers.

Page 39: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 39 van 69

Volwassenheidsniveau 3 (gedefinieerd proces)

Er is een getekende bewerkersovereenkomst met alle derden (leve-ranciers) die van de onderwijsinstelling persoonsgegevens van deel-nemers ontvangen, en de overeenkomst bevat alle vereiste onderde-len. De diensten, rapporten en registraties die door een derde partij wor-den geleverd, worden regelmatig gecontroleerd en beoordeeld en er worden regelmatig audits uitgevoerd. Het management realiseert zich dat de eindverantwoordelijkheid voor de informatie bij de eigen organisatie berust. Evidence in aanvulling op 2: 1. Kopie bewerkersovereenkomsten. 2. Kopie proces "contractmanagement" van de organisatie; 3. Kopie procesbeschrijving van het controleren en beoordelen van

dienstverlening door een derde partij; 4. Kopie van informatie waaruit blijkt dat de organisatie het heeft

gecontroleerd en beoordeeld. Te denken aan:

kopie rapportage (evaluatie?) van het prestatieniveau van de dienstverlening,

kopie dienstverleningsrapport die opgesteld is door derde partij,

kopie auditbevindingen.

Volwassenheidsniveau 4 (Beheerst en meetbaar)

De bewerkersovereenkomsten worden regelmatig op termijnen en er wordt gecontroleerd of de geleverde diensten nog conform de afspra-ken in het contract worden afgenomen (er worden niet meer of min-der gegevens geleverd). De diensten, rapporten en registratie worden regelmatig gecontro-leerd en beoordeeld en er worden regelmatig audits uitgevoerd. De dienstverleningsrapporten en auditbevindingen worden verwerkt in verbeterplannen. Evidence in aanvulling op 3: 1. Kopie analyse bewerkersovereenkomsten (bijvoorbeeld contrac-

tenregister of overzicht met aflopende bewerkersovereenkom-sten).

2. Evaluatie en controle van bewerkingen die de leverancier uit-voert, ten opzichte van de in de bewerkersovereenkomst opge-nomen bewerkingen;

3. Kopie verbeterplannen die door de derde partij worden geleverd.

Volwassenheidsniveau 5 (Geoptimaliseerd)

De diensten, rapporten en registraties die door de derde partij wor-den geleverd, worden regelmatig gecontroleerd en beoordeeld en er worden regelmatig audits uitgevoerd. De dienstverleningsrapporten en auditbevindingen worden verwerkt in verbeterplannen. De dienstverlening wordt periodiek geëvalueerd ten opzichte van het ondersteunde business proces en de dienstverleningscontracten wor-den zo nodig geoptimaliseerd. Evidence in aanvulling op 4: 1. Evaluatierapport.

Page 40: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 40 van 69

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 41: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 41 van 69

4.2 Personeel, deelnemers en gasten

P.11: Transparantie privacy beleid Cluster: Personeel, deelnemers en gasten P11 AVG 5, 12

Transparantie privacy beleid De instelling informeert de (ouders van) deelnemers en medewerkers van wie persoonsgegevens worden verwerkt, beknopt, transparant, eenvoudig toegankelijk en begrijpelijk in duidelijke en eenvoudige taal over het privacy beleid en de rechten en verplichtingen van betrokkenen.

Toelichting: Er is een organisatie breed beleid ontwikkeld hoe er met persoonsgegevens wordt omgegaan, wat de doelen zijn, en wat de rechten en plichten zijn. Er is ook duidelijk hoe lang de gegevens worden bewaard, en met wie de gegevens zijn/worden gedeeld. De rechten en plichten van de instelling, deelnemers en medewerkers zijn nader omschreven in een privacy reglement. Openheid en transparantie over de gegevensverwerking is uit-gangspunt. Deze informatie wordt bekend gemaakt via een door het College van Bestuur vast te stellen pri-vacy reglement (opgenomen in de studiegids of bijvoorbeeld op de website).

Naast algemene informatie over het privacy beleid van de instelling, wordt iedere deelnemer van wie per-soonsgegevens worden gevraagd of verzameld, gewezen op het privacy beleid van de instelling. Dit gebeurt onder meer door het opnemen van extra toelichting of uitleg bij het aanmeld- en inschrijfformulier. Dit wordt geregeld in statement P.12.

Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6)

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Medewerkers en deelnemers (en hun ouders) worden niet geïnfor-meerd en er is daarvoor geen beleid opgesteld.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Medewerkers en deelnemers (en hun ouders) worden incidenteel of ad hoc geïnformeerd. Evidence: 1. Kopie informatieverstrekking aan medewerkers en deelnemers

(en hun ouders).

Volwassenheidsniveau 3 (gedefinieerd proces)

Medewerkers en deelnemers (en hun ouders) worden geïnformeerd over de gegevensverwerking door de onderwijsinstelling. Evidence in aanvulling op 2: 1. Kopie website en/of studiegids waarin medewerkers en deelne-

mers worden geïnformeerd over het privacy beleid.

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Medewerkers en deelnemers (en hun ouders) worden geïnformeerd over de gegevensverwerking door de onderwijsinstelling. Bestaande medewerkers en deelnemers worden periodiek (ten min-ste jaarlijks) geïnformeerd over en gewezen op het privacy beleid. Evidence in aanvulling op 3: 1. Kopie berichten (reminders) voor medewerkers en deelnemers; 2. Kopie aanbevelingen van de Functionaris Gegevensbescherming

op basis van bevindingen tekortkomingen in de informatieplicht; 3. Indien van toepassing: kopie berichtgeving aanpassingen privacy

beleid.

Page 42: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 42 van 69

Volwassenheidsniveau 5 (Geoptimaliseerd)

Medewerkers en deelnemers worden uitgebreid geïnformeerd over toekomstige ontwikkelingen op het gebied van privacy beleid. Best practices op het gebied van Informatieplicht worden nauwgezet ge-volgd door de mbo instelling. Evidence in aanvulling op 4: 1. Kopie berichtgeving toekomstige ontwikkelingen op het gebied

van privacy die in de nabije toekomst van invloed zijn op het be-leid Informatieplicht.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 43: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 43 van 69

P.12: Informatieplicht verwerkingen Cluster: Personeel, deelnemers en gasten P12 NIEUW (Wbp); AVG 13

Informatieplicht verwerkingen: De instelling informeert actief, al dan niet met gebruikmaking van door leveranciers geleverde informatie, aan de (ouders van) deelnemers en medewerkers van wie persoonsgegevens worden verwerkt, welke ver-werking er in welke informatiesystemen binnen de instelling plaatsvindt en welke maatregelen er zijn getrof-fen om de privacy van die deelnemer te kunnen waarborgen. Aan de betrokken deelnemers en docenten wordt beknopt, transparant, eenvoudig toegankelijk en begrijpe-lijk in duidelijke en eenvoudige taal ten minste medegedeeld:

De identiteit en contactgegevens van de verantwoordelijke (CvB van de onderwijsinstelling),

De contactgegevens van de FG of PO,

welke (categorieën) persoonsgegevens worden verwerkt,

het doel van de verwerking,

of die verwerking beperkt is tot dat wat voor het gestelde doeleinde strikt noodzakelijk is,

of persoonsgegevens ook voor andere doeleinden worden verwerkt,

wat de bewaar- en vernietigingstermijnen zijn;

of persoonsgegevens worden gedeeld met commerciële derden,

of persoonsgegevens worden verkocht of verhuurd,

of persoonsgegevens gecodeerd worden bewaard.

Toelichting: Naast het op hoofdlijnen informeren van de medewerkers en studenten over het algemene privacy beleid en reglement (zie P.11), moeten betrokkenen ook concreet worden geïnformeerd over iedere verwerking hún gegevens. Denk hierbij aan het inschrijfformulier waar een toelichting is bijgesloten over wat er met de per-soonsgegevens wordt gedaan (de doeleinden, en bijvoorbeeld met wie de gegevens binnen de instelling wor-den gedeeld). Het moet voor hen volstrekt helder en begrijpelijk zijn welke gegevens er over hen worden verzameld, en wat er met de gegevens gebeurt. Openheid en transparantie over de gegevensverwerking is ook hier uitgangspunt. Kernbegrippen bij deze communicatie zijn ‘beknopt en duidelijk’. De boodschap is af-gestemd op de ontvanger. Medewerkers en deelnemers worden geïnformeerd over de soorten verwerkingen zoals een verwijzing naar de door de instelling gebruikte systemen en leveranciers. De bijlage bij de model-bewerkersovereenkomst (IBPDOC28) betreft de privacy bijsluiter waarin leveranciers zelf uiteenzetten welke categorieën persoonsgegevens er worden verwerkt, voor welke doelen. Verwijzing naar deze bijsluiter is dan ook zeker een optie. Voorbeeld reglement als bijlage bij BIV en PIA bekostiging (IBPDOC15).

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Medewerkers en deelnemers (en hun ouders) worden niet geïnfor-meerd over de verwerkingen waar hun persoonsgegevens bij betrok-ken zijn en er is daarvoor geen beleid opgesteld.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Medewerkers en deelnemers (en hun ouders) worden incidenteel of ad hoc geïnformeerd over de verwerkingen waar hun persoonsgege-vens bij betrokken zijn. Evidence: 2. Kopie informatieverstrekking aan medewerkers en deelnemers

(en hun ouders).

Volwassenheidsniveau 3 (gedefinieerd proces)

Medewerkers en deelnemers (en hun ouders) worden geïnformeerd over de verwerkingen waar hun persoonsgegevens bij betrokken zijn. Evidence in aanvulling op 2: 2. Kopie website en/of studiegids waarin medewerkers en deelne-

mers worden geïnformeerd over het privacy beleid en/of; 3. Kopie (persoonlijke) berichtgeving aan medewerkers en deelne-

mers.

Page 44: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 44 van 69

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Nieuwe medewerkers en deelnemers (en hun ouders) worden geïn-formeerd over de verwerkingen waar hun persoonsgegevens bij be-trokken zijn. Bestaande medewerkers en deelnemers worden periodiek (ten min-ste jaarlijks) geïnformeerd over en gewezen op de voor hen relevante verwerkingen. Evidence in aanvulling op 3: 4. Kopie aanbevelingen van de Functionaris Gegevensbescherming

op basis van bevindingen tekortkomingen in de informatieplicht; 5. Indien van toepassing: kopie berichtgeving aanpassingen privacy

beleid.

Volwassenheidsniveau 5 (Geoptimaliseerd)

Medewerkers en deelnemers worden uitgebreid geïnformeerd over toekomstige ontwikkelingen die van invloed zijn op de specifieke ver-werkingen van hun persoonsgegevens door de instelling. Best practi-ces op het gebied van Informatieplicht worden nauwgezet gevolgd door de mbo instelling. Evidence in aanvulling op 4: 2. Kopie berichtgeving toekomstige ontwikkelingen op het gebied

van privacy die in de nabije toekomst van invloed zijn op het be-leid Informatieplicht.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 45: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 45 van 69

P.13: Rechten betrokkene Cluster: Personeel, deelnemers en gasten P13 NIEUW (Wbp); AVG 12, 13, 15, 16, 17, 20

Respecteren rechten van betrokkene De instelling respecteert expliciet de volgende rechten:

P.13. a. Deelnemers (dan wel hun ouders) en medewerkers hebben het recht een verzoek te doen ter verbetering, aanvulling, verwijdering of afscherming van hun persoonsgegevens, in het geval dat deze gegevens:

feitelijk onjuist zijn,

voor het gestelde doeleinde onvolledig of niet ter zake dienend zijn,

de verwerking van de persoonsgegevens niet meer nodig is,

dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. P.13.b De verbetering, aanvulling of verwijdering wordt voor zover redelijkerwijs mogelijk doorgegeven aan alle personen en organisaties die van de onderwijsinstelling hebben ontvangen. P.13.c Deelnemers hebben het recht om geheel ‘te worden vergeten’ door het verwijderen van alle per-soonsgegevens, tenzij de onderwijsinstelling op grond van een wettelijke plicht, of ter vrijwaring van een rechtsvordering deze gegevens moet bewaren. Evenmin worden de gegevens verwijderd indien deze ver-wijdering een inbreuk op de vrijheid van meningsuiting en informatie oplevert. P.13.d In geval de verwerking van persoonsgegevens plaatsvindt op basis van toestemming of een over-eenkomst, heeft de deelnemer heeft recht om de door de onderwijsinstelling verwerkte persoonsgege-vens in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen. P.13.e De betrokken deelnemer wordt in kennis gesteld van de door de onderwijsinstelling uitgevoerde handelingen met zijn persoonsgegevens.

Toelichting: In vervolg op P.11 en P.12 wordt in het gecommuniceerde privacy beleid van de instelling verwezen naar de rechten en plichten van de deelnemers en medewerkers. Deze rechten moeten zonder belemmering kunnen worden uitgevoerd. Het gaat hierbij om:

de betrokkene wordt (vooraf) in begrijpelijke taal actief en laagdrempelig geïnformeerd over de ge-gevensverwerking;

het op verzoek van de betrokkene inzage geven welke persoonsgegevens er worden verwerkt;

het op verzoek van betrokkene corrigeren van ontbrekende of verkeerd vastgelegde persoonsgege-vens;

het op verzoek van betrokkenen verwijderen van persoonsgegevens die niet (langer) nodig zijn om de vastgestelde doelen te behalen;

het door betrokkene verzet instellen tegen een verwerking van zijn persoonsgegevens die plaats vond op grond van een gerechtvaardigd belang. Een voorbeeld hiervan is het gebruik van de per-soonsgegevens door de leverancier van leermiddelen van de deelnemer , wil niet langer aanbiedin-gen krijgen en meldt zich af.

Het terugkoppelen van eventuele verbetering, aanvulling of verwijdering aan alle personen en orga-nisaties die de gegevens hebben ontvangen van de deelnemer.

De betrokkene krijgt terugkoppeling van de door de onderwijsinstelling verrichte handelingen. Deze rechten moeten binnen een redelijke tijd worden uitgeoefend, zonder dat de betrokkene een buiten-sporige vergoeding hoeft te betalen. De verstrekte informatie moet gemakkelijk leesbaar en begrijpelijk zijn. Met betrekking tot het recht op wissing van alle persoonsgegevens, zal een onderwijsinstelling niet aan dat verzoek kunnen voldoen zolang er een wettelijke bewaarplicht loopt. Dat neemt niet weg dat het dossier moet worden geschoond en ontdaan van alle persoonsgegevens die niet onder een wettelijke bewaarplicht vallen. De onderwijsdeelnemer heeft ook het recht op een export of download van zijn gegevens uit de administra-ties van de onderwijsinstelling, in het geval de verwerking van de persoonsgegevens plaatsvindt op basis van toestemming of een onderwijsovereenkomst (OOK). Het betreft slechts gegevens uit geautomatiseerde sys-temen.

Page 46: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 46 van 69

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Deelnemers en medewerkers worden niet (actief) gewezen op hun rechten.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Medewerkers en deelnemers (en hun ouders) worden incidenteel of ad hoc geïnformeerd over hun rechten. Evidence: 3. Kopie informatieverstrekking aan medewerkers en deelnemers

(en hun ouders).

Volwassenheidsniveau 3 (gedefinieerd proces)

Medewerkers en deelnemers (en hun ouders) worden actief geïnfor-meerd over hun rechten. Evidence in aanvulling op 2: 4. Kopie website en/of studiegids waarin medewerkers en deelne-

mers worden geïnformeerd over het privacy beleid en/of; 5. Kopie (persoonlijke) berichtgeving aan medewerkers en deelne-

mers.

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Alle nieuwe medewerkers en deelnemers (en hun ouders) worden ac-tief geïnformeerd over hun rechten. Bestaande medewerkers en deelnemers worden periodiek (ten min-ste jaarlijks) geïnformeerd over en gewezen op de voor hen relevante rechten. Evidence in aanvulling op 3: 6. Kopie (persoonlijke) berichtgeving aan medewerkers en deelne-

mers; 7. Kopie aanbevelingen van de Functionaris Gegevensbescherming

op basis van bevindingen tekortkomingen in de informatieplicht; 8. Indien van toepassing: kopie berichtgeving aanpassingen privacy

beleid.

Volwassenheidsniveau 5 (Geoptimaliseerd)

Medewerkers en deelnemers worden uitgebreid geïnformeerd over toekomstige ontwikkelingen die van invloed zijn op hun rechten. Best practices op het gebied van de rechten van de medewerkers en deel-nemers worden nauwgezet gevolgd door de mbo instelling. Evidence in aanvulling op 4: 3. Kopie berichtgeving toekomstige ontwikkelingen op het gebied

van privacy die in de nabije toekomst van invloed zijn op het be-leid Informatieplicht.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 47: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 47 van 69

P.14: Arbeidsvoorwaarden Cluster: Personeel, deelnemers en gasten P14 AVG 2.1 (ISO 7.1.2); AVG 9, 38, 90

Arbeidsvoorwaarden In de contractuele overeenkomst met medewerkers en contractanten zijn hun (eventuele) verantwoordelijk-heden voor privacy opgenomen. In deze overeenkomst is voorzien in een vertrouwelijkheids- of geheimhou-dingsbeding ten aanzien van de verwerkte persoonsgegevens.

Toelichting: Als onderdeel van hun contractuele verplichting behoren werknemers, ingehuurd personeel en externe ge-bruikers de algemene voorwaarden te aanvaarden en te ondertekenen van hun arbeidscontract, waarin hun verantwoordelijkheden en die van de organisatie ten aanzien van privacy behoren te zijn vastgelegd. (Er mag een gedragscode worden gebruikt om de verantwoordelijkheden van gebruikers te dekken ten aanzien van vertrouwelijkheid, gegevensbescherming, ethiek, passend gebruik van voorzieningen enz. Ingehuurde of ge-detacheerde gebruikers zijn verbonden met een externe organisatie, die op haar beurt weer verplicht kan zijn om contracten af te sluiten namens de ingehuurde persoon). Een FG is met betrekking tot de uitvoering van zijn taken volgens wetgeving tot geheimhouding en vertrou-welijkheid gehouden.

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Er zijn geen afspraken vastgelegd, werknemers handelen op eigen initi-atief, het is niet duidelijk wat de verantwoordelijkheden zijn, de alge-mene voorwaarden zijn niet algemeen bekend. Processen en werkwijzen voor aanvaarding van eigen verantwoorde-lijkheden en die van de organisatie door werknemers, ingehuurd per-soneel en externe gebruikers ten aanzien van privacy worden op ad-hoc basis benaderd. Er is geen sprake van een vastomlijnd proces of beleid.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Er zijn bepaalde afspraken vastgelegd maar nog niet opgenomen in de arbeidsvoorwaarden. Er verschijnen gelijksoortige en gemeenschappe-lijke processen voor aanvaarding van eigen verantwoordelijkheden en die van de organisatie door werknemers, ingehuurd personeel en ex-terne gebruikers ten aanzien van privacy, maar deze zijn grotendeels intuïtief vanwege het individuele karakter van de expertise. Bepaalde aspecten van het proces zijn reproduceerbaar vanwege die individuele expertise, en er kan sprake zijn van enige documentatie en een zeker begrip van beleid en procedures. Evidence: 1. Kopie van mogelijk beschikbaar beleid en procedures; 2. Kopie van gedragscode(s) in het kader van privacy.

Volwassenheidsniveau 3 (gedefinieerd proces)

Er zijn organisatie breed afspraken die door medewerkers moeten wor-den ondertekend. Langzaamaan worden steeds vaker best practices toegepast voor aanvaarding van eigen verantwoordelijkheden en die van de organisatie door werknemers, ingehuurd personeel en externe gebruikers ten aanzien van privacy. Voor alle belangrijke activiteiten worden proces, beleid en procedures gedefinieerd en gedocumen-teerd. Evidence in aanvulling op 2: 1. Kopie cao, regelingen personeel, beleid, procesbeschrijving waarin

de organisatie brede afspraken zijn opgenomen; 2. Kopie werkinstructies/ gedragscode; 3. Kopie (geanonimiseerd) arbeidscontract indien de algemene voor-

waarden m.b.t. privacy daarin zijn vastgelegd.

Page 48: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 48 van 69

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Langzaamaan worden steeds vaker best practices toegepast voor aan-vaarding van eigen verantwoordelijkheden en die van de organisatie door werknemers, ingehuurd personeel en externe gebruikers ten aan-zien van privacy. Voor alle belangrijke activiteiten worden proces, be-leid en procedures gedefinieerd en gedocumenteerd. Periodiek vindt evaluatie plaats (PDCA). Evidence in aanvulling op 3: 1. Informatie over periodieke evaluatie en herziening van proces en

procedures.

Volwassenheidsniveau 5 (Geoptimaliseerd)

Er worden externe best practices en normen toegepast voor aanvaar-ding van eigen verantwoordelijkheden en die van de organisatie ten aanzien van privacy. De procesdocumentatie is geëvolueerd tot een stelsel van geautomatiseerde work flows. Processen, beleid en proce-dures zijn gestandaardiseerd en geïntegreerd, ten behoeve van een ef-fectief beheer en verbeteringen in alle stadia. Evidence in aanvulling op 4: 1. Kopie beleid waaruit blijkt dat externe best practices zijn opgeno-

men; 2. Kopie beschrijving workflow proces(sen); 3. Kopie procesgegevens workflow.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 49: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 49 van 69

P.15: Bewustzijn, opleiding en training ten aanzien van privacy Cluster: Personeel, deelnemers en gasten P15 AVG 2.2 (ISO 7.2.2); AVG 39

Bewustzijn, opleiding en training ten aanzien van privacy Alle interne en externe medewerkers van de organisatie behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. De FG is hierbij betrokken.

Toelichting: Alle werknemers, ingehuurd personeel en externe gebruikers moeten bewust worden gemaakt van de risi-co's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, en over de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen. Zij behoren geschikte training en regelmatige bijscholing te krijgen met betrekking tot beleid en procedures van de organisatie, voor zover relevant voor hun functie. Bewustmakingstrainingen, bijv. een introductieprogramma waarin de verwachtingen van de organisatie wor-den behandeld voordat toegang wordt verleend tot informatie of diensten, behoort tot de mogelijkheden.

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Het is niet duidelijk welke procedures gelden en voor wie dit relevant is.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Voor kritieke terreinen zijn minimale eisen t.a.v. vaardigheden vastge-steld. Training wordt pas aangeboden als daar behoefte aan blijkt te bestaan en niet op basis van een overeengekomen plan; de opleiding bestaat deels uit informele praktijktraining. Evidence: 1. Kopie van vaardigheidseisen die gesteld worden aan functies voor

informatiebeveiliging; 2. Kopie van (informele) praktijktrainingen voor privacy.

Volwassenheidsniveau 3 (gedefinieerd proces)

Op alle terreinen zijn de benodigde vaardigheden bekend en benoemd. Er is een formeel opleidingsplan opgesteld, de formele training gaat echter nog uit van afzonderlijke initiatieven. Evidence in aanvulling op 2: 1. Kopie recente opleidingsplan; 2. Kopie lijst met opgestelde cursussen en bijscholingen; 3. Kopie documentatie (nieuwsbrief, flyers of aankondigingen) m.b.t.

het aanmelden van de cursussen; 4. Kopie enkele materialen van recente cursussen.

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Voor alle terreinen worden de vaardigheidsvereisten stelselmatig bij-gehouden; op alle kritieke gebieden is de deskundigheidsbevordering gewaarborgd en certificering wordt aangemoedigd. Er worden vol-waardige trainingstechnieken toegepast. Evidence: in aanvulling op niveau 3: 1. trainingstechnieken worden toegepast conform het opleidingsplan,

en kennisdeling wordt bevorderd (recente training). Alle personen met specifieke kennis worden hierbij betrokken en de effectiviteit van het opleidingsplan wordt beoordeeld. (evaluatie training)

Page 50: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 50 van 69

Volwassenheidsniveau 5 (Geoptimaliseerd)

De organisatie hanteert een formeel proces voor het stimuleren van voortdurende vaardigheidsverbetering, gebaseerd op heldere persoon-lijke en organisatie brede doelstellingen. Training en opleiding onder-steunen externe best practices en het gebruik van geavanceerde con-cepten en technieken. Kennisdeling is onderdeel van de bedrijfscultuur en vervat in geïntegreerde bedrijfssystemen. Advies wordt ingewonnen van externe deskundigen en vooraanstaande sectorgenoten. Evidence in aanvulling op 4: 1. Cursussen en trainingen voldoen aan externe best practices en het

gebruik van geavanceerde concepten en technieken m.b.t. infor-matiebeveiliging;

2. Kopie adviezen van externe deskundigen m.b.t. informatiebeveili-ging.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 51: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 51 van 69

4.3 Ruimte en apparatuur

P.16: Verwijderen van persoonsgegevens

Cluster: Ruimte en apparatuur P16 ; AVG 5

Verwijderen van persoonsgegevens: van apparatuur die niet langer wordt gebruikt, worden de op het appa-raat aanwezige persoonsgegevens op een betrouwbare en veilige wijze vernietigd. Vernietiging is mogelijk door vernietiging van de gegevensdrager zelf. In geval van vernietiging door een derde, geeft deze een ver-klaring af aangaande de vernietiging.

Toelichting: In het informatiebeveiligingsbeleid zijn statemens en procedures opgenomen over vernietiging van niet-lan-ger in gebruik zijnde apparatuur. In aanvulling hierop gelden er aparte regels als er op gegevensdragers per-soonsgegevens staan. Van de vernietiging dient bewijs te zijn dat de gegevens vernietigd zijn als dit door een extern bedrijf geschiedt.

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Naar eigen inzicht, op individueel niveau.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Voor specifieke gegevens dragers zijn afspraken gemaakt bij vernieti-ging van apparatuur en gegevensdragers, maar nog niet voor alle ge-gevensdragers.

Volwassenheidsniveau 3 (gedefinieerd proces)

De vernietiging van de apparatuur geschiedt gestructureerd waarbij de vernietiging altijd gedocumenteerd wordt. Ook in geval van ver-nietiging door de instelling zelf, wordt deze vernietiging gedocumen-teerd. Bij vernietiging door een derde, wordt de vernietiging actief gevolgd en wordt voor opvolging gezorgd indien de benodigde verklaring niet wordt afgegeven. Evidence: 1. Kopie procedurebeschrijving voor verwijderen van apparatuur; 2. Kopie van informatie waaruit blijkt dat de organisatie conform het

procedurebeschrijving heeft uitgevoerd. Te denken aan:

kopie contractovereenkomst met een goedgekeurde verwij-derbedrijf;

kopie checklist bij het verwijderen van apparatuur;

kopie getekende verklaring van vernietiging door (interne) medewerker;

kopie van een registerlijst met alle verwijderde apparatuur met verwijzing van het gebruik (welk type gegevens aanwe-zig was op de apparatuur).

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Evidence in aanvulling op 3: 1. Er is een gedegen en volledig proces, PDCA belegd, en er worden

interne best practices toegepast. Alle aspecten van het proces zijn gedocumenteerd en reproduceerbaar. Beleidsvoorschriften zijn goedgekeurd en bekrachtigd door het management. Er vinden re-gelmatige controles plaats op de effectiviteit van de beveiligings-maatregelen.

Volwassenheidsniveau 5 (Geoptimaliseerd)

Evidence in aanvulling op 4: 1. Er worden externe best practices en normen toegepast. De pro-

cesdocumentatie is geëvolueerd tot een stelsel van geautomati-seerde work flows. Processen, beleid en procedures zijn gestan-daardiseerd en geïntegreerd, ten behoeve van een effectief be-heer en verbeteringen in alle stadia.

Page 52: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 52 van 69

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 53: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 53 van 69

4.4 Vertrouwelijkheid en integriteit

P.17: Datakwaliteit Cluster: Continuïteit P17 WBP NIEUW ; AVG 5, 32

Datakwaliteit De verantwoordelijke gaat zorgvuldig om met de verwerkte persoonsgegevens en waarborgt het behoud en bescherming van de juistheid en de consistentie van die gegevens.

Toelichting: Datakwaliteit is een uitvloeisel van informatiebeveiligings- en privacy beleid. Met de introductie van de AVG (die per 25 mei 2018 in werking treedt), is een grotere nadruk komen te liggen op integriteit van data . Data-integriteit maakt daarom onderdeel uit van de vijf (herziene) vuistregels voor privacy (zie statement P.3). De datakwaliteit wordt allereerst bepaald door de medewerkers maar zeker ook door de gebruikte applica-ties. De onderwijsinstelling moet er voor zorgen dat de gegevens juist zijn en zo nodig worden geactualiseerd. Alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren. Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6)

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Er is geen beleid voor het waarborgen van de datakwaliteit. Voor sommige systemen zijn ad hoc maatregelen genomen.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

De datakwaliteit (integriteit) wordt incidenteel getoetst op juistheid, volledigheid en tijdigheid. Er is geen algemeen beleid. De datakwali-teit wordt alleen gegarandeerd in het kader van de bekostiging. Evidence: 1. Kopie waaruit blijkt dat de bekostigingsgegevens door de externe

accountant zijn voorzien van een goedkeurende verklaring.

Volwassenheidsniveau 3 (gedefinieerd proces)

De datakwaliteit (integriteit) wordt instelling breed getoetst op juist-heid, volledigheid en tijdigheid. Er is een algemeen beleid. De integri-teit wordt nagestreefd voor alle data. Evidence in aanvulling op 2: 1. Kopie interne audit op datakwaliteit van alle bestanden plus aan-

bevelingen.

Volwassenheidsniveau 4 (Beheerst en meetbaar)

De datakwaliteit (integriteit) wordt instelling breed getoetst op juist-heid, volledigheid en tijdigheid. Er is een algemeen beleid. De integri-teit wordt gegarandeerd voor alle data. Evidence in aanvulling op 3: 1. Kopie interne audit op datakwaliteit van alle bestanden. 2. Kopie aanbevelingen voor aanpassing applicaties zodat integriteit

gewaarborgd blijft. 3. Kopie goedkeuring College van Bestuur voor nieuw beleid in het

kader van Datakwaliteit.

Volwassenheidsniveau 5 (Geoptimaliseerd)

Externe best practices worden bestudeerd en meegenomen in toe-komstig beleid. Evidence in aanvulling op 4: 1. Kopie toekomstig beleid op het gebied van datakwaliteit.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews:

Page 54: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 54 van 69

Waarneming ter plaatse: Aanbevelingen:

Page 55: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 55 van 69

P.18: Datalek Cluster: Continuïteit P18 WBP 1.20 (ISO 18.1.4) Emergency Response

team; AVG 33

Datalek In geval van een inbreuk in verband met de (beveiliging van) persoonsgegevens die per ongeluk of op on-rechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens, En die inbreuk houdt een risico in voor de rechten en vrijheden van betrokkenen, dan meldt de verantwoordelijke de inbreuk bij de AP zo snel mogelijk, doch uiterlijk binnen 72 uur nadat de inbreuk bekend is geworden. Deze inbreuk wordt aan getroffen betrokkenen gemeld indien de inbreuk een waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. De getroffen deelnemers en medewerkers worden geïnformeerd over de aard van de inbreuk, en de gevolgen van de inbreuk op hun privacy.

Toelichting: Een inbreuk in verband met persoonsgegevens, is een inbreuk op de beveiliging die per ongeluk of op on-rechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Er is een beleid voor datalekken (calamiteiten). De AP heeft een meldingsprocedure in een richtlijn opgeno-men die moet worden gevolgd. Aangezien de gestelde termijnen kort zijn, en ook in geval van vakanties on-verkort gelden, is het belangrijk dat de procedures bij datalekken goed zijn ingeregeld en optimaal werken. Indien de instelling al aan incident management doet dan moet expliciet rekening gehouden worden met datalekken. De tekst van het statement is aangepast aan de AVG. IBPDOC15

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Er is geen beleid voor bescherming van persoonsgegevens. Voor som-mige systemen zijn ad hoc maatregelen genomen.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Er zijn afspraken over maatregelen maar die zijn niet formeel vastge-legd. Ze zijn specifiek ingericht op afdelingsniveau of in een bepaald bedrijfsproces en zijn intuïtief, gebaseerd op individuele kennis en ex-pertise. Evidence (indien beschikbaar): 1. Inrichtings- of procesdocumenten waaruit blijkt dat er specifieke

maatregelen genomen zijn.

Volwassenheidsniveau 3 (gedefinieerd proces)

Er is beleid vastgesteld en dit wordt nageleefd. Evidence: 1. Kopie goedgekeurde beleid voor bescherming van persoonsgege-

vens; 2. Kopie van informatie waaruit blijkt dat het beleid met de mede-

werkers zijn gecommuniceerd (te denken aan flyers, presenta-ties);

3. Kopie (/referentie naar) nationale wet- en regelgeving zodat aan-toonbaar is dat de organisatie de wet heeft gehanteerd (cross re-ference tussen registratie en regelgeving).

Page 56: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 56 van 69

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Er is een proces ingericht wat de toepassing van het beleid waarborgt. Daarin wordt onder andere zorg gedragen voor actualisatie van: welk CvB lid eindverantwoordelijk is; bij welke functionaris de rol/functie van Functionaris voor de Gege-vensbescherming (FG) is belegd; wie de gegevensverwerkers zijn; hoe betrokkenen in staat zijn invloed uit te oefenen op wat er met hun persoonsgegevens gebeurt en hoe daarop wordt toegezien. Evidence in aanvulling op 3: 1. Kopie van een actueel overzicht van de procesonderwerpen.

Volwassenheidsniveau 5 (Geoptimaliseerd)

Het proces en het privacy beleid is ingericht conform externe best practices. Het beleid wordt periodiek geëvalueerd en zo nodig bijge-steld. Men houdt in het proces in de gaten wanneer gebruik, regels en voorschriften veranderen en past het beleid hier op aan. Het proces maakt onderdeel uit van een gestandaardiseerd en geïn-tegreerd intern audit en compliance proces. Evidence in aanvulling op 4: 1. Kopie waaruit blijkt welke best-practices gehanteerd worden (bv.

richtsnoer informatiebeveiliging van het CBP, aangevuld met branche specifieke afspraken.);

2. Kopie van het interne audit en compliance proces.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 57: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 57 van 69

P.19: Toegang tot bijzondere persoonsgegevens Cluster: Vertrouwelijkheid en integriteit P19 WBP 5.5 (ISO 9.2.3), 5.6 (ISO 9.2.4),

5.7 (ISO 9.3.1) en 5.8 (ISO 9.4.1); AVG 9, 22, 32

Bijzondere persoonsgegevens Bij verwerking van bijzondere persoonsgegevens neemt de instelling (extra) passende, consequente en spe-cifieke maatregelen om de veiligheid van de gegevens te garanderen. Het gebruik van deze bijzondere gege-vens blijft beperkt tot alleen die gevallen dat de informatie strikt noodzakelijk en evenredig is.

Toelichting: Bij het gebruik van bijzondere persoonsgegevens wordt expliciet gemotiveerd waarom deze noodzakelijk zijn. Het gebruik van deze gegevens, en de toegang daartoe, vraagt om aparte beveiligingsmaatregelen. Dit betreft de volgende statements uit het toetsingskader IB mbo: 5.5 Beheren van speciale toegangsrechten: Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst. 5.6 Beheer van geheime authenticatie-informatie van gebruikers: Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces. 5.7 Geheime authenticatie-informatie gebruiken: Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie informatie houden aan de praktijk van de organisatie. 5.8 Beperking toegang tot informatie: Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging.

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Er is geen beleid voor bescherming van persoonsgegevens. Voor som-mige systemen zijn ad hoc maatregelen genomen.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

De statements 5.5, 5.6, 5.7 en 5.8 uit het toetsingskader Informatiebe-veiliging worden op het volwassenheidsniveau 1 of 2 beoordeeld. Evidence (indien beschikbaar): 1. Kopie van de interne audit waarbij op basis van bewijzen (evidence)

het volwassenheidsniveau 1 of 2 wordt aangetoond.

Volwassenheidsniveau 3 (gedefinieerd proces)

De statements 5.5, 5.6, 5.7 en 5.8 uit het toetsingskader Informatiebe-veiliging worden op het volwassenheidsniveau 2 beoordeeld. Boven-dien is er een plan van aanpak beschikbaar met het doel om binnen twee jaar het volwassenheidsniveau 3 te realiseren. Evidence: 1. Kopie van de interne audit waarbij op basis van bewijzen (evidence)

het volwassenheidsniveau 2 wordt aangetoond. 2. Kopie plan van aanpak waarbij de doelstelling geformuleerd wordt

om binnen 2 jaar het volwassenheidsniveau 3 te bereiken.

Volwassenheidsniveau 4 (Beheerst en meetbaar)

De statements 5.5, 5.6, 5.7 en 5.8 uit het toetsingskader Informatiebe-veiliging worden op het volwassenheidsniveau 3 beoordeeld. Evidence in aanvulling op 3: 1. Kopie van de interne audit waarbij op basis van bewijzen (evidence)

het volwassenheidsniveau 3 wordt aangetoond.

Volwassenheidsniveau 5 (Geoptimaliseerd)

Tenminste 2 van de statements 5.5, 5.6, 5.7 en 5.8 uit het toetsingska-der Informatiebeveiliging worden op het volwassenheidsniveau 4 be-oordeeld. Evidence in aanvulling op 4: 1. Kopie van de interne audit waarbij op basis van bewijzen (evidence)

tenminste voor 2 statements het volwassenheidsniveau 4 wordt aangetoond.

Page 58: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 58 van 69

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 59: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 59 van 69

4.5 Controle en Logging

P.20: Privacy in informatiesystemen Cluster: Controle en Logging P20 WBP 1.5 (ISO 6.1.5); AVG 25

Privacy in informatiesystemen Bij het gebruiken en/of ontwerpen van informatiesystemen die persoonsgegevens van deelnemers en mede-werkers verwerken, worden privacy regels zoals privacy by design en privacy by default in die systemen aan-gehouden en zo mogelijk ingebouwd:

• Gegevensminimalisatie af te dwingen (zo min mogelijk vrije velden). • Transparantie over gebruik van gegevens • Afschermen van de identiteit (pseudonimisering) • Gebruik sticky policies • Data tracking (waaronder logging).

Toelichting: Gegevensbescherming door ontwerp (privacy by design) en gegevensbescherming door standaardinstellingen (privacy by default) zorgen er voor dat privacy bescherming uitgangspunt is in de onderwijsinstelling. Privacy behoort daarom te worden geïntegreerd in de projectbeheermethode(n) van de organisatie om ervoor te zorgen dat informatiebeveiligingsrisico’s worden geïdentificeerd en aangepakt als deel van een project. Dit geldt in het algemeen voor elk project ongeacht het karakter, bijv. een project voor een proces voor kernac-tiviteiten, IT, ‘facility management’ en andere ondersteunende processen.

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Aandacht voor privacy is niet geborgd in projectmethodiek. Aandacht vindt plaats uit persoonlijk initiatief of indien het projecten betreft rond beveiligingsmaatregelen.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Privacy blijkt - uit notulen of tekstfragmenten in projectdocumenten – zichtbaar aandacht te besteden aan informatiebeveiliging en pri-vacy aspecten. Formeel geregeld is het nog niet. Evidence: 1. Kopie van documenten waaruit blijkt dat aandacht is besteed aan

privacy aspecten.

Volwassenheidsniveau 3 (gedefinieerd proces)

De projectmethodiek beschrijft in proces en producten op welke wijze tijdens projecten met privacy beleid wordt omgegaan. Templa-tes bevatten privacy paragrafen en op verschillende momenten in het project zoals Go / No Go momenten en projectevaluatie wordt de kwaliteit van informatiebeveiliging meegewogen. Evidence: 2. Projecttemplates bevatten privacy paragraaf; 3. Methodiek beschrijft vereiste aandacht voor privacy; 4. Functionaris Gegevensbescherming heeft adviesfunctie binnen

projecten; 5. Risico analyse en Gegevensbeschermingseffectbeoordeling zijn

verplichte componenten in ieder project.

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Projecten hebben zichtbaar aandacht besteed aan privacy. Kwaliteit van Risico analyse en Gegevensbeschermingseffectbeoordeling zijn geëvalueerd, in evaluaties is betrokkenheid van de informatiebeveili-gingsfunctie mede beoordeeld. Evidence in aanvulling op 3: 1. Risico analyse en Gegevensbeschermingseffectbeoordeling zijn in

meerdere projecten uitgevoerd; 2. Advies Functionaris Gegevensbescherming is in dossier aanwe-

zig; 3. In projectevaluaties is aandacht voor privacy zichtbaar.

Page 60: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 60 van 69

Volwassenheidsniveau 5 (Geoptimaliseerd)

Privacy heeft in ten minste vijf projecten zichtbaar aandacht gekre-gen. Leerpunten zijn getrokken en hebben inmiddels tot het bijstellen van de projectaanpak geleid. Evidence in aanvulling op 4: 1. Verbeterpunten zijn geformuleerd; 2. Vernieuwde versie projectmethodiek aanwezig; 3. Meerdere projectdeelnemers hebben inmiddels in meerdere pro-

jecten zichtbaar aandacht besteed aan informatiebeveiliging.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 61: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 61 van 69

P.21: Gegevensbeschermingseffectbeoordeling Cluster: Controle en Logging P20 AVG 1.5 (ISO 6.1.5); AVG 5, 24, 35, 39

Gegevensbeschermingseffectbeoordeling (GBEB, voorheen PIA)

De instelling voert een (tweejaarlijks terugkerende) evaluatie uit van de mogelijke effecten van de ver-schillende gegevensverwerking op de rechten en vrijheden van de betrokkenen. Deze evaluatie vindt eveneens plaats in geval van een wijziging in de verwerking van persoonsgegevens die specifiek de ri-sico’s wijzigt voor de privacy van de betrokken deelnemers en medewerkers.

De instelling voert naar aanleiding van de evaluatie een volledige GBEB uit in geval de verwerking van de persoonsgegevens:

in geval van een systematische en uitgebreide beoordeling van persoonlijke aspecten van betrokke-nen, die is gebaseerd op geautomatiseerde verwerking, waaronder geautomatiseerde besluitvor-ming, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;

Bijzondere persoonsgegevens (ras, gezondheid) worden verwerkt;

Geautomatiseerde bewaking van publiek toegankelijke ruimtes.

De beoordeling heeft betrekking op de gehele levenscyclus van persoonsgegevens van verzameling van verwerking tot verwijdering.

In geval van herziening van of nieuwe verwerkingen van grote hoeveelheden persoonsgegevens, wordt vooraf bepaald wat de impact is van deze (gewijzigde) verwerking op de privacy van de deelnemers.

Bij de GBEB is altijd de FG betrokken.

Toelichting: Informatiebeveiliging behoort te worden geïntegreerd in de projectbeheermethode(n) van de organisatie om ervoor te zorgen dat informatiebeveiligingsrisico’s worden geïdentificeerd en aangepakt als deel van een pro-ject. Dit geldt in het algemeen voor elk project ongeacht het karakter, bijv. een project voor een proces voor kernactiviteiten, IT, ‘facility management’ en andere ondersteunende processen. Een GBEB is een toets waarmee op een gestructureerde en heldere manier in beeld brengen privacy risico’s in beeld kunnen worden gebracht. Het daarbij om te onderzoeken wat impact is van het gebruik van per-soonsgegevens op de privacy van de betrokkenen, wat de risico’s zijn voor de organisatie en of er alternatie-ven zijn die minder impact hebben. Een GBEB is vanaf 25 mei 2018 in ieder geval verplicht in geval van:

Geautomatiseerde besluitvorming: als ict-systemen automatisch beslissingen nemen op basis van een profiel dat over een betrokkene is samengesteld.

Als er op grote schaal bijzondere persoonsgegevens worden gebruikt (zoals gezondheid, religie).

Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. Een GBEB bevat ten minste de volgende onderdelen:

1. Een systematische beschrijving van de beoogde gebruik van de persoonsgegevens, en het beoogd doel daarvan;

2. Een beoordeling van de noodzaak en de evenredigheid van het gebruik in relatie tot het doel; 3. Een beoordeling van de risico’s voor de privacy van de betrokkenen; 4. Een beoordeling van de te nemen maatregelen om de risico’s te beperken (zoals veiligheidsmaatre-

gelen, dataminimalisatie, privacy-enhancing-technologies zoals pseudonimisering). Als er binnen de instelling een FG is aangesteld, is deze betrokken bij de PIA of gbeb. Indien uit een GBEB blijkt dat de gegevensverwerking een hoog risico zou opleveren, dan moeten er maatre-gelen worden genomen om dat risico te mitigeren. Indien dat niet mogelijk is, is vanaf mei 2018 voorafgaand overleg met de AP noodzakelijk. Documenten: Model beleid informatiebeveiligings- en privacy beleid (IBPDOC6)

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Aandacht voor privacy is niet geborgd in projectmethodiek. Aandacht vindt plaats uit persoonlijk initiatief of indien het projecten betreft rond beveiligingsmaatregelen.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Privacy blijkt - uit notulen of tekstfragmenten in projectdocumenten – zichtbaar aandacht te besteden aan informatiebeveiliging en privacy aspecten. Formeel geregeld is het nog niet.

Page 62: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 62 van 69

Evidence: 1. Kopie van documenten waaruit blijkt dat aandacht is besteed aan

privacy aspecten.

Volwassenheidsniveau 3 (gedefinieerd proces)

Periodiek voert de instelling een evaluatie uit van de mogelijke effec-ten van de verschillende gegevensverwerkingen op de rechten en vrij-heden van de betrokkenen. Ook bij wijzigingen in bestaande diensten, projecten of software, wordt een (nieuwe) evaluatie uitgevoerd. Evidence: 2. Projecttemplates bevatten privacy paragraaf; 3. Methodiek beschrijft vereiste aandacht voor privacy; 4. Functionaris Gegevensbescherming heeft adviesfunctie binnen

projecten; 5. Aantoonbare periodieke evaluaties van de bestaande gegevensver-

werkingen; 6. Risico analyse en GEB (BIA/PIA) zijn verplichte componenten in ie-

der project.

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Periodiek voert de instelling een evaluatie uit van de mogelijke effecten van de verschillende gegevensverwerkingen op de rechten en vrijheden van de betrokkenen. De kwaliteit van Risico analyse en Gegevensbeschermingseffectbeoorde-ling zijn geëvalueerd, in evaluaties is betrokkenheid van de informatiebe-veiligingsfunctie mede beoordeeld. Evidence in aanvulling op 3: 1. Risico analyse en Gegevensbeschermingseffectbeoordeling zijn in

meerdere projecten uitgevoerd; 2. Advies Functionaris Gegevensbescherming s is in dossier aanwezig; 3. In projectevaluaties is aandacht voor privacy zichtbaar.

Volwassenheidsniveau 5 (Geoptimaliseerd)

Privacy heeft in ten minste vijf projecten zichtbaar aandacht gekregen. Leerpunten zijn getrokken en hebben inmiddels tot het bijstellen van de projectaanpak geleid. Evidence in aanvulling op 4: 1. Verbeterpunten zijn geformuleerd; 2. Vernieuwde versie projectmethodiek aanwezig; 3. Meerdere projectdeelnemers hebben inmiddels in meerdere pro-

jecten zichtbaar aandacht besteed aan informatiebeveiliging.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 63: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 63 van 69

P.22: Naleving van privacy beleid en –normen Cluster: Controle en Logging P22 AVG 6.9 (ISO 18.2.2); AVG 5, 24, 32, 35, 39

Naleving van privacy beleid en –normen De instelling controleert (laat controleren) regelmatig de naleving van de privacy regels en informatieverwer-king en -procedures binnen haar verantwoordelijkheidsgebied aan de hand van de desbetreffende beleidsre-gels, normen en andere eisen betreffende beveiliging. De FG ziet toe op de (dagelijkse) naleving van het be-leid.

Toelichting: Managers behoren te bewerkstelligen dat alle privacy procedures die binnen hun verantwoordelijkheid vallen correct worden uitgevoerd om naleving te bereiken van privacy beleid en -normen. (Implementatierichtlijnen uit ISO 27002: Managers behoren regelmatig te beoordelen of de informatieverwerking binnen hun verant-woordelijkheidsgebied voldoet aan het geldende beveiligingsbeleid, normen en andere privacy eisen.)

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Er is geen periodieke controle op naleving van privacy beleid en -nor-men. In voorkomende gevallen (bv bij incidenten of specifieke vragen) wordt ad hoc op naleving getoetst en nemen medewerkers op eigen initiatief en op reactieve wijze verantwoordelijkheid voor kwesties.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Men neemt verantwoordelijkheid voor kwesties en wordt ook ter ver-antwoording geroepen, zelfs als dit niet formeel is geregeld. Bij proble-men is echter vaak onduidelijk wie er verantwoordelijk is en men is ge-neigd de schuld door te schuiven. (Een risico is dat privacy daarmee ook wel wordt gebruikt als reden om zaken niet te doen ("is niet toegestaan vanwege privacy") zonder dat op het juiste niveau deze beslissing genomen/getoetst is.

Volwassenheidsniveau 3 (gedefinieerd proces)

Tenminste alle managers van de concernsystemen en de belangrijkste business processen stellen periodiek vast dat alle beveiligingsprocedu-res die binnen hun verantwoordelijkheid vallen correct worden uitge-voerd om naleving te bereiken van privacy beleid en -normen. Evidence: 1. Kopie privacy beleid en normen; 2. Overzicht systemen, processen, eigenaren, gebruikers en rollen

(RACI); 3. Kopie twee meest recente rapportages waaruit blijkt dat managers

periodiek beoordelen of de privacy binnen hun verantwoordelijk-heidsgebied voldoet aan het geldende beveiligingsbeleid, normen en andere beveiligingseisen (versienummer + datum), dat kan bv zijn:

compliance verklaring;

periodieke (her)classificatie van data of systemen en checklist bijbehorende maatregelen (baseline en aanvullend).

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Er is een binnen de hele instelling aanvaarde structuur voor verant-woordelijkheid en verantwoording en de betreffende personen kunnen zich van hun verantwoordelijkheden kwijten. Deze verantwoordelijkhe-den zijn ingebed in functiebeschrijvingen, evaluatiegesprekken, over-drachtsdocumenten etc. Positieve actie wordt stelselmatig beloond om de betrokkenen te motiveren. Evidence in aanvulling op 3: 1. Kopie (beveiligings-)organisatiestructuur (kan ingebed zijn in bevei-

ligingsbeleid document); 2. Kopie agenda jaargesprek; 3. Kopie standaard overdrachtsdocument.

Page 64: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 64 van 69

Volwassenheidsniveau 5 (Geoptimaliseerd)

De verantwoordelijken hebben de vrijheid om besluiten en maatrege-len te nemen. De verantwoordelijkheidsstructuur is tot op het laagste niveau ingebed in de organisatie. Deze verantwoordlijkheden zijn op-genomen in een mandatenregeling c.q. expliciet benoemd in procesbe-schrijvingen of werkinstructies. Evidence in aanvulling op 4: 1. Kopie mandatenregeling; 2. Voorbeeld van procesbeschrijving of werkinstructie.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 65: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 65 van 69

P.23: Rapportage van privacy gebeurtenissen Cluster: Controle en Logging P23 (ISO 16.1.3); AVG 28, 33, 38, 39

Rapportage van privacy gebeurtenissen Privacy- en informatiebeveiligingsincidenten behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd aan de FG en verantwoordelijke.

Toelichting: Van alle werknemers, ingehuurd personeel en externe gebruikers van informatiesystemen en -diensten be-hoort te worden geëist dat zij alle waargenomen of verdachte zwakke plekken in systemen of diensten registreren en rapporteren. Gebruikers zijn geïnformeerd dat zelf testen op zwakke plekken uitgelegd kan worden als potentieel misbruik. Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6)

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Medewerkers (c.s.) weten niet welke incidenten ze moeten melden en hoe dat dan moet.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Medewerkers weten dat zij incidenten moeten melden maar de meeste weten niet hoe dat moet en wanneer dat moet. Men realiseert zich dat er iets gedaan moet worden. Het management communiceert over de algemene kwesties. Evidence: 1. Kopie van notulen/notitie waarin de noodzaak wordt vastgesteld

dat personen alle waargenomen of verdachte zwakke plekken in systemen of diensten dienen te registreren en rapporteren;

2. Kopie van (voorbeeld)meldingen.

Volwassenheidsniveau 3 (gedefinieerd proces)

Medewerkers weten dat zij incidenten moeten melden en het is be-kend waar zij dat moeten doen. Men begrijpt dat ingrijpen noodzakelijk is. De communicatie door het management kent een meer formele, vaste structuur. Evidence in aanvulling op 2: 1. Kopie overzicht welke meldpunten er aanwezig zijn; 2. Kopie nieuwsbrief, email, waaruit blijkt dat het is gecommuniceerd

met alle werknemers, ingehuurd personeel en externe gebruikers en laat zien dat de organisatie awareness bevordert;

3. Kopie van de laatste 2 meldingen.

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Medewerkers worden er regelmatig op gewezen dat zij incidenten moeten melden en krijgen ook terugkoppeling van gemelde incidenten. Men heeft een goed beeld van wat er nodig is. Er worden volwaardige communicatietechnieken en standaard communicatietools ingezet. Evidence in aanvulling op 3: 1. Kopie opvolgingsacties; 2. Het incidentproces en de communicatie daarover wordt periodiek

geëvalueerd (PDCA).

Volwassenheidsniveau 5 (Geoptimaliseerd)

Medewerkers melden incidenten op een afgesproken manier en geven ook feedback over de werking van het proces. Men heeft diepgaand inzicht in zowel actuele als toekomstige behoeften. Er wordt proactief gecommuniceerd over kwesties op basis van trends. Volwaardige com-municatietechnieken worden ingezet, alsmede geïntegreerd commu-nicatietools. Best practices worden toegepast. Evidence in aanvulling op 4: 1. Toegepaste best practices.

Page 66: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 66 van 69

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 67: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 67 van 69

P.24: Gebeurtenissen registeren Cluster: Controle en Logging P24 AVG ; AVG 5, 32

Gebeurtenissen registreren: Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzoneringen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig be-oordeeld.

Toelichting: De instelling moet de deelnemer kunnen uitleggen en verantwoorden wie op welk moment toegang heeft gehad tot welke gegevens. Daarvoor is nodig dat niet alleen incidenten worden geregistreerd (zie P.23) maar ook – op hoofdlijnen – reguliere verwerkingen. Deze registratie van gebeurtenissen maakt het mogelijk dat ook misbruik en fouten kunnen worden opgespoord. Activiteiten van gebruikers, betrokkenen, uitzonderin-gen en privacy gebeurtenissen behoren te worden vastgelegd in logbestanden. Deze logbestanden behoren gedurende een overeengekomen periode te worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. Logbestanden ten behoeve van controle worden gemaakt van onder meer de volgende gegevens: gebruikers-ID's, data, tijdstippen en details van in- en uitloggen, identiteit device/locatie, ge-slaagde/geweigerde pogingen om toegang te krijgen, gebruik van speciale bevoegdheden en dergelijke. Waar mogelijk behoren systeembeheerders geen toestemming te hebben om logbestanden van hun eigen activi-teiten te wissen of deactiveren, met inachtneming van relevante bewaartermijnen. Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6)

Niveaus Beheersmaatregel (plus evidence) Audit

Volwassenheidsniveau 1 (Ad hoc / initieel)

Er zijn wellicht logbestanden beschikbaar op diverse systemen. Deze zullen doorgaans ontstaan zijn vanuit een informatiebeveiligingsoog-punt of vanuit een default instelling tijdens installatie. Er zijn geen af-spraken over de inhoud van de logging of over bewaartermijnen.

Volwassenheidsniveau 2 (herhaalbaar maar intu-ïtief)

Er zijn logbestanden beschikbaar op de relevante systemen. De log-le-vels zullen op soortgelijke systemen ook vergelijkbaar zijn ingesteld op basis van individuele expertises en er zijn mogelijk extra tools zoals een centrale syslog-server. Er is echter geen vastgesteld beleid over be-waartermijnen, inhoud van de logging of centrale opslag. Evidence: 1. Kopie van systeemconfiguratie voor zover beschikbaar (deze kun-

nen de basis vormen voor verbeterstappen); 2. Kopie van (een deel van) een logbestand .

Volwassenheidsniveau 3 (gedefinieerd proces)

Activiteiten van gebruikers, betrokkenen, uitzonderingen en privacy gebeurtenissen zijn vastgelegd in logbestanden. Deze logbestanden worden gedurende een overeengekomen periode bewaard, ten be-hoeve van toekomstig onderzoek en toegangscontrole.

Evidence in aanvulling op 2: 1. Kopie beleid en procedurebeschrijving voor het aanmaken van au-

dit-logbestanden; 2. Kopie van informatie waaruit blijkt dat de organisatie conform het

beleid of procedure heeft uitgevoerd. Te denken aan: a. kopie uit systeem waaruit blijkt dat alle gebruikers een unieke

gebruikers-ID hebben; b. kopie uit systeem waaruit blijkt dat registratie plaats vindt bij

geslaagde en geweigerde pogingen om toegang te krijgen tot het systeem;

c. kopie uit systeem waaruit blijkt dat men gebruik maakt van spe-ciale bevoegdheden (redflag envelop).)

Page 68: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 68 van 69

Volwassenheidsniveau 4 (Beheerst en meetbaar)

Activiteiten van gebruikers, betrokkenen, uitzonderingen en privacy ge-beurtenissen worden op een gestandaardiseerde methode vastgelegd in logbestanden. In ieder geval de logbestanden van de concernsys-temen worden, zoveel mogelijk real-time, op een separate (SYSLOG) server opgeslagen, waarbij de bronbestanden niet gemuteerd kunnen worden door de systeembeheerders. Deze logbestanden worden ge-durende een overeengekomen periode bewaard, ten behoeve van toe-komstig onderzoek en toegangscontrole. Privacygevoelige informatie wordt adequaat afgeschermd en wordt na een afgesproken periode vernietigd, dan wel geanonimiseerd, met encryptie of geaggregeerd opgeslagen. Er zijn tools beschikbaar om logbestanden te analyseren, het procesbeheer te automatiseren en kritieke activiteiten en contro-lemechanismen te bewaken. Evidence in aanvulling op 3: 1. Kopie van de inrichtingsdocumenten van de centrale logserver(s); 2. Beschrijving van de beschikbare tooling en het beoogd en toege-

stane gebruik; 3. Kopie (bewakings-) rapportage over events (kritieke activiteiten,

werking controle mechanismen).

Volwassenheidsniveau 5 (Geoptimaliseerd)

Alle logbestanden van alle systemen worden op een gestandaardi-seerde wijze verzameld en opgeslagen en er is een standaard tool set beschikbaar voor beheer en analyse. De datasets zijn uniform ingericht en de tools zijn volledig geïntegreerd, zodat processen van begin tot eind worden ondersteund en analyses over de datasets heen mogelijk zijn. Er worden analyse en rapportage tools ingezet ter ondersteuning van procesverbeteringen en automatische detectie van afwijkingen. Evidence in aanvulling op 4: 1. Kopie van de (trend)rapportage.

Beoordeling (aanwezigen, datum en locatie):

Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen:

Page 69: Toetsingskader Privacy (Pluscluster 7) - sambo-ict.nl Datakwaliteit ..... 53. Toetsingskader Privacy (pluscluster 7) IBPDOC7, versie 2.0 Pagina 4 van 69 P.18: Datalek ...

Toetsingskader Privacy (pluscluster 7)

IBPDOC7, versie 2.0 Pagina 69 van 69

Bijlage 1: Framework informatiebeveiliging en privacy in het mbo