Toetsingskader Privacy (Pluscluster 7)

Transcriptie

1 Toetsingskader Privacy (Pluscluster 7) IBPDOC7

2 Verantwoording Bronnen: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Opdracht verstrekking door: Kennisnet / sambo-ict Auteurs Leo Bakker (Kennisnet) Ludo Cuijpers (Kennisnet) Axel Eissens (Kennisnet) Job Vos (Kennisnet) Versie 2.0 juli 2016 Sommige rechten voorbehouden Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s) en uitgever van Kennisnet geen aansprakelijkheid voor eventuele fouten of onvolkomenheden. Creative commons Naamsvermelding 3.0 Nederland (CC BY 3.0) De gebruiker mag: Het werk kopiëren, verspreiden en doorgeven Remixen afgeleide werken maken Onder de volgende voorwaarde: Naamsvermelding De gebruiker dient bij het werk de naam van Kennisnet te vermelden (maar niet zodanig dat de indruk gewekt wordt dat zij daarmee instemt met uw werk of uw gebruik van het werk). IBPDOC7, versie 2.0 Pagina 2 van 69

3 Inhoudsopgave Toetsingskader Privacy (pluscluster 7) Verantwoording Inleiding Uitgangspunt is het Privacy Compliance kader Basis-privacy-principes, normen/statements en beheersmaatregelen Samenhang Informatiebeveiliging en Privacy Nieuwe Europese wetgeving: AVG Toelichting op de hoofdstukken Referentiearchitectuur Compliance Privacy Algemeen Clustering van statements Concrete beheersmaatregelen in het toetsingskader Toepassing toetsingskaders Informatiebeveiliging (cluster 1 t/m 6) Toelichting toetsingskader Clustering naar thema s Beveiliging van persoonsgegevens en ISO Generieke statements (informatiebeveiliging) Toetsingskader Privacy Beleid en organisatie P.1: Privacy-beleid P.2: Functionaris gegevensbescherming P.3: Doelbepaling, doelbinding, grondslag, grond bij minderjarigen en dataminimalisatie P.4: Registratieplicht P.5: Bewaartermijnen P.6: Verwerking t.b.v. onderzoek P.7: Verwerking van bijzondere persoonsgegevens P.8: Geautomatiseerde besluitvorming P.9: Informatiebeveiliging P.10: Bewerkersovereenkomsten Personeel, deelnemers en gasten P.11: Transparantie privacy-beleid P.12: Informatieplicht verwerkingen P.13: Rechten betrokkene P.14: Arbeidsvoorwaarden P.15: Bewustzijn, opleiding en training ten aanzien van privacy Ruimte en apparatuur P.16: Verwijderen van persoonsgegevens Vertrouwelijkheid en integriteit P.17: Datakwaliteit IBPDOC7, versie 2.0 Pagina 3 van 69

4 P.18: Datalek P.19: Toegang tot bijzondere persoonsgegevens Controle en Logging P.20: Privacy in informatiesystemen P.21: Gegevensbeschermingseffectbeoordeling P.22: Naleving van privacy beleid en normen P.23: Rapportage van privacy-gebeurtenissen P.24: Gebeurtenissen registeren Bijlage 1: Framework informatiebeveiliging en privacy in het mbo IBPDOC7, versie 2.0 Pagina 4 van 69

5 1. Inleiding 1.1 Uitgangspunt is het Privacy Compliance kader 1 Privacy is een thema dat door de digitalisering van de maatschappij en de populariteit van sociale media meer leeft dan ooit. Er wordt steeds meer informatie met elkaar gedeeld en dit roept vragen op over wat wel of niet verstandig is. Ook in het onderwijs is te merken dat ICT steeds vaker wordt ingezet in de klas, maar ook in het secundaire proces zoals bij de deelnemersadministratie. Het toenemend opslaan en verzamelen van informatie over deelnemers, maakt dat er ook meer aandacht moet zijn voor privacy en informatiebeveiliging. Willen onderwijsinstellingen 2 in de toekomst gebruik blijven maken van gegevens, én willen deelnemers (en docenten) ook nog gegevens met instellingen blijven delen, dan moet er een perfect samenspel zijn tussen: 1. de interactie van deelnemers; 2. de interactie met de betrokken partijen (zoals instellingen en hun leveranciers); 3. de gebruikte middelen (de gegevens). Dit noemen we samen het digitale ecosysteem: partijen en middelen zijn van elkaar afhankelijk om in balans te komen. Bij een datalek, is er - spreekwoordelijk - sprake van vervuiling en een verstoring van die balans. Het lek moet worden gedicht, de vervuiling wordt zo veel mogelijk verwijderd, maatregelen worden genomen om herhaling te voorkomen en met betrokkenen wordt gebouwd aan het vertrouwen om te voorkomen dat een nieuw lek opnieuw plaatsvindt. Het zorgvuldig omgaan met gegevens is (wettelijk) de verantwoordelijkheid van onderwijsinstellingen zelf. Zij kunnen dit niet afwentelen op bijvoorbeeld hun leveranciers. Door het toegenomen gebruik van ICT in het onderwijs, en de toenemende mogelijkheden daarvan, komt de noodzaak voor informatiebeveiligingsbeleid en privacy steeds vaker in beeld. De bescherming van privacy en daarmee samenhangende gegevens wordt steeds belangrijker voor mbo-instellingen. 1 Bron: Privacy Compliance kader (IBPDOC2B) 2 Met instelling wordt de rechtspersoon bedoeld, concreet wordt deze vertegenwoordigd door de verantwoordelijke. Binnen het mbo zal dit de voorzitter van het College van Bestuur zijn. IBPDOC7, versie 2.0 Pagina 5 van 69

6 1.2 Basis privacy principes, normen/statements en beheersmaatregelen In de publicatie Privacy compliance kader (IBPDOC2B) worden de uitgangspunten en principes van privacy beschreven. Daarin staat het doel van privacy centraal (het wat en waarom ). De manier om dat doel te bereiken (het hoe ) wordt in dit document beschreven. De beschreven principes uit het Privacy compliance kader zijn nu vertaald naar concretere normen voor onderwijsinstellingen. Algemene principes worden omgevormd tot praktische normen. Deze normen noemen we statements. Als de instelling aan deze statements voldoet, dan worden de bovenliggende basis privacy principes nageleefd. De privacy statements zijn op de zelfde wijze vormgegeven als de statements uit het normenkader informatiebeveiliging. In dit toetsingskader staat bij ieder statement genoemd aan welk bovenliggend basis privacy principe wordt voldaan. Een onderwijsinstelling kan op verschillende manieren voldoen aan de statements. Om dat op uniforme wijze meetbaar te maken, wordt er een evidence (bewijslast) gekoppeld aan ieder statement. Deze evidence bestaat uit maatregelen die een instelling in meer- of mindere mate genomen moet hebben om aan het statement te voldoen. In dit toetsingskader worden de maatregelen beheersmaatregelen genoemd. De beheersmaatregelen worden ook onderverdeeld. Des te meer en zwaarder de beheersmaatregel, des beter voldoet de instelling aan het statement. En dus des te meer komt de onderwijsinstelling tegemoet aan het privacy principe. Deze onderverdeling van beheersmaatregelen is gelijk aan die bij de statements voor informatiebeveiliging. De niveaus worden volwassenheidsniveaus (maturity levels) genoemd. Alle statements in dit toetsingskader, zijn in principe dus een afgeleide van de privacy principes die zijn opgenomen in het Privacy compliance kader. De beheersmaatregelen zijn bedoeld om te bewijzen dat wordt voldaan aan die statements. En dus dat de onderwijsinstelling voldoet aan de privacy principes. IBPDOC7, versie 2.0 Pagina 6 van 69

7 1.3 Samenhang informatiebeveiliging en privacy Privacy is het topje van de, juridische, ijsberg. De samenhang tussen privacy en informatiebeveiliging kan wellicht d.m.v. een voorbeeld worden verduidelijkt. Het College van Bestuur van een mbo instelling wil graag de mogelijkheid laten onderzoeken om tijdens ziekte van een medewerker zijn/haar onderwijs gerelateerde mail te mogen gebruiken. De mail omgeving is eigendom van de mbo instelling. Privacy beleid: Vanuit de privacy wetgeving is dit niet toegestaan. Een oplossing is om aan de OR een voorstel voor te leggen waarbij gegarandeerd wordt dat binnen de omgeving door de medewerker een map Privé wordt aangemaakt. Deze map zal nooit bekeken worden, ook niet tijdens langdurige ziekte van een medewerker. De overige s mogen wel - onder strikte voorwaarden - bekeken worden. Als de OR (op basis van WOR, artikel 27, lid k) hiermee akkoord gaat, dan kan dit beleid worden geeffectueerd. Vervolgens moeten er vanuit informatiebeveiligingsaspecten enkele dingen geregeld worden: Beleid: Er moet een beleid inzage worden voorgelegd aan de OR en na instemming is dit een aanvulling op de arbeidsovereenkomst. Personeel: Personeel en externen moeten worden geïnformeerde en eventueel getraind. Toegang: De fysieke toegang tot de exchange server ( ) moet goed geregeld zijn om de privacy te waarborgen. Continuïteit: Tijdens grote verstoringen moet de omgeving veilig opgeslagen zijn en eventueel d.m.v. een back up teruggeplaatst worden. Applicaties: De toegang tot de omgeving (applicatie toegang) is alleen voorbehouden aan de eigenaar en in een noodsituatie aan de applicatie beheerder die toegang heeft en kan verschaffen tot de van een medewerker (behalve de Privé-map). Logging: De eigenaar van de moet te allen tijde kunnen controleren wie er toegang heeft gehad tot zijn e- mails. Ook moet hij kunnen controleren dat de Privé-map niet is bekeken. En los van deze punten, moet de mailomgeving uiteraard ook voldoen aan overige wet- en regelgeving en informatiebeveiliging. 1.4 Nieuwe Europese wetgeving: AVG In april 2016 heeft het Europees Parlement ingestemd met de Algemene Verordening Gegevensbescherming (AVG), in het Engels General Data Protection Regulation (GDPR) genoemd. Deze Europese verordening treedt vanaf 25 mei 2016 in werking, en is op 25 mei 2018 van toepassing in alle landen van de Europese Unie. Deze AVG vervangt (alle) nationale privacy wetgeving. Door de AVG zijn persoonsgegevens van alle EU-inwoners straks op dezelfde uniforme wijze beschermd, ongeacht of de data van die EU-burgers in Europa of in de Verenigde Staten wordt opgeslagen. De AVG stimuleert organisaties tot bewustere omgang met privacy; onder meer met de verplichting om risicoanalyses uit te voeren, bewuster toestemming te vragen of door een FG aan te stellen. De periode tussen 25 mei 2016 en 25 mei 2018 geeft organisaties de tijd en gelegenheid om te kunnen voldoen aan de AVG. Vanwege de inwerkingtreding in 2016, moeten organisaties zich al wel aan de AVG-bepalingen houden indien dat voor 2018 al mogelijk is. Vanuit het oogpunt dat onderwijsinstellingen privacy bewustere organisaties moeten worden, betekent de AVG op hoofdlijnen dat de baseline voor beheersmaatregelen gemiddeld hoger zal komen te liggen. Vooralsnog kan niet gesteld worden dat alle statements en beheersmaatregelen aan level 4 (maatregelen geborgd in PDCA-cyclus) zouden moeten voldoen, terwijl dat uiteraard wel een goede ambitie is. Dit toetsingskader gaat uit van de vastgestelde Nederlandse vertaling van de AVG zoals opgenomen in het Publicatieblad van de Europese Unie van 4 mei De officiële benaming is Verordening EU 2016/679 van 27 april IBPDOC7, versie 2.0 Pagina 7 van 69

8 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) 3. Bij de Nederlandse tekst van de AVG dient een belangrijke kanttekening te worden geplaatst. In deze tekst wordt de verantwoordelijke de verwerkingsverantwoordelijke genoemd, en de bewerker wordt als verwerker aangeduid. Deze vertalingen worden ook al gebruikt in de Richtlijn 95/46/EG, terwijl in de Nederlandse wetgeving de benamingen verantwoordelijke en bewerker worden aangehouden. Naar verluid is dit verschil te verklaren doordat een Vlaamse vertaler de Engelse teksten heeft vertaald. Vooralsnog wordt in dit document de huidige wettelijke benaming aangehouden: verantwoordelijke en bewerker. 1.5 Toelichting op de hoofdstukken Hoofdstuk 2 gaat in op de compliance privacy, waarbij toegelicht wordt hoe de statements uit het generieke en compliance kader toegepast worden binnen het Toetsingskader privacy mbo. Hoofdstuk 3 geeft een opsomming, per cluster (1 t/m 6), van gebruikte statements uit het toetsingskader Informatiebeveiliging (IBPDOC3) die relevant zijn in het kader van privacy compliance. Dit zijn dus beheersmaatregelen gericht op informatiebeveiliging, die ook relevant zijn om privacy goed te regelen. Hoofdstuk 4 geeft een opsomming van de aanvullende privacy statements (cluster 7). 1.6 Referentiearchitectuur Privacy beleid bestaat niet alleen uit afspraken binnen in onderwijsinstelling maar het betreft ook afspraken met personen en instellingen buiten de onderwijsinstelling. Informatie wordt volop gedeeld met overheidsinstellingen, toeleverende scholen, stagebedrijven en, uiteraard, met deelnemers en ouders. Goede afspraken op het gebied van informatiebeveiliging en privacy zijn dan ook essentieel. De referentiearchitectuur beschrijft deze afspraken en geeft ze schematisch weer. Het onderstaande architectuurschema is terug te vinden het document Mbo ibp architectuur IBPDOC4. A: mbo <-> Bron-DUO Speerpunt: Onderwijsovereenkomst op basis van wet en regelgeving. Eveneens POK 4 / BPVO 5 B: mbo <-> Lokale overheid Speerpunt: Bewerkersovereenkomst. Contracten Educatie. C: mbo <-> VMBO en HBO Speerpunt: regionale uitwisseling en aanmelding. Doorstroom D: mbo <-> Bedrijven Speerpunt: Praktijkovereenkomst. E: mbo <-> Leveranciers Speerpunt: Bewerkersovereenkomst. Leveranciers kunnen applicatie (al dan niet in de cloud) of educatieve content (al dan niet in de cloud) aanbieden. F: mbo <-> Deelnemers / ouders Speerpunt: DIGID 3 Officiële Nederlandse vertaling: 4 POK: Praktijkovereenkomst 5 BPVO: Beroepspraktijkvorming Overeenkomst IBPDOC7, versie 2.0 Pagina 8 van 69

9 Deze architectuur principes zijn van belang om de risico s op het gebied van privacy te mitigeren (beperken). De top 3 privacy risico s zijn: Ontstaan van datalekken; Ongewenste publicaties van zorgdossiers; Ongewenste publicaties van medewerkers dossiers (gesprekscyclus). Omdat deze risico s ook kunnen optreden bij externe partners aan wie wij onze (privacy gevoelige) data toevertrouwen is het dan ook noodzakelijk om goede ibp afspraken met leveranciers te maken in de vorm van bewerkersovereenkomsten en andere contractuele afspraken. Met andere woorden privacy is niet alleen een aandachtspunt binnen de mbo instelling, waar beleid, scholing en architectuur een oplossing bieden maar ook buiten de mbo instelling. IBPDOC7, versie 2.0 Pagina 9 van 69

10 2. Compliance privacy 2.1 Algemeen Vanuit de overheid is er regelgeving op het gebied van privacy die ook voor het mbo van toepassing is. In deze wet- en regelgeving zijn zowel informatiebeveiligingsaspecten als specifieke privacy aspecten opgenomen. In samenwerking met SURF is van al deze aspecten een set van statements gemaakt. Wat opvalt is dat veel van de vereiste informatiebeveiligingsaspecten terugkomen in de statements die in het algemene informatiebeveiligingskader dat is opgesteld vanuit de ISO norm 27001/2. In zijn algemeenheid kan dan ook gezegd worden dat allereerst de generieke informatiebeveiliging op orde moet zijn. Dit is geheel uitgewerkt in het betreffende toetsingskader informatiebeveiliging IBPDOC3. Voor het handhaven van de privacy zijn er echter een aantal van deze basisaspecten die meer aandacht behoeven of is er reden om een hoger niveau van het vervullen van de betreffende norm te overwegen. Deze subset van 38 statements is uit het algemene normenkader IB gelicht en in dit document bij de statements betreffende privacy weergegeven, voorzien van een toelichting over de relatie met privacy. Daar waar bij het algemene toetsingskader informatiebeveiliging wellicht een niveau 2 voldoende geacht wordt, is het in het kader van de privacy van belang om hier een hoger ambitieniveau aan de dag te leggen, bijvoorbeeld een niveau 3 of zelfs 4. Maar naast deze statements op basis van het generieke informatiebeveiligingskader (gemeenschappelijk, zie afbeelding) is er ook behoefte aan een aanvullende set van statements opgesteld uit de betreffende wet- en regelgeving. Dit heeft aanleiding gegeven tot het opstellen van een compleet compliance kader privacy voor het mbo onderwijs. Dit is een veelomvattende en uitgebreide set geworden met 24 specifieke privacy statements die hierin zijn opgenomen. Deze statements komen niet of onvoldoende terug in het normenkader informatiebeveiliging, en zijn daarom opgenomen in een apart document: IBPDOC2b Compliance kader privacy voor het mbo. Dit juridisch normenkader, wat het in feite is, ligt ten grondslag aan het toetsingskader privacy dat in dit document wordt uitgewerkt. 2.2 Clustering van statements In het generieke toetsingskader Informatiebeveiliging wordt gebruik gemaakt van een specifieke clustering. Het gaat daarbij om 6 standaard clusters: 1. Beleid en organisatie 2. Personeel, deelnemers en gasten 3. Ruimte en apparatuur 4. Continuïteit 5. Toegangsbeveiliging en integriteit 6. Controle en logging Zoals aangegeven is uit de generieke set van informatiebeveiligingsstatement een 38-tal statements gehaald waarop in het kader van privacy sprake is van een verhoogd risico en er dus extra aandacht voor deze statements en de bijpassende maatregelen moet zijn In hoofdstuk 3 zijn deze statements weergegeven voorzien van een korte toelichting waarom deze in het toetsingskader privacy zijn opgenomen. IBPDOC7, versie 2.0 Pagina 10 van 69

11 De aanvullende statements op basis van wet- en regelgeving zijn weergegeven in hoofdstuk 4. Deze zijn eveneens gerangschikt naar dezelfde 6 clusters van het informatiebeveiligingsbeleid. Het betreft de complete set van statements uit het compliance kader privacy voor het mbo. 2.3 Concrete beheersmaatregelen in het toetsingskader Het compliance kader privacy is de basis voor het inrichten van de informatiebeveiliging omtrent de privacy en het is tevens de basis voor het voorliggende toetsingskader privacy. Door aan de statements uit het compliance kader privacy een korte beschrijving, alsmede de evidence toe te voegen is het toetsingskader privacy mbo ontstaan. De evidence wordt op vijf verschillende volwassenheidsniveau s weergegeven, net als bij het generieke toetsingskader Informatiebeveiliging. Het toetsingskader privacy mbo is bedoeld om onderwijsinstellingen een kader en handvatten te bieden om de informatiebeveiliging rondom privacy te regelen. Door het hanteren van de verschillende niveaus kan er een beeld van de reële situatie gemaakt worden (het bereikte niveau), als mede een streef- of ambitie niveau waaraan de instelling in de (nabije) toekomst zou willen gaan voldoen. Dit kan ook onderdeel zijn van sector brede afspraken hierover. IBPDOC7, versie 2.0 Pagina 11 van 69

12 3. Toepassing toetsingskaders informatiebeveiliging (cluster 1 t/m 6) 3.1 Toelichting toetsingskader De statements in het normen- en toetsingskader privacy bestaan uit statements vanuit het toetsingskader ibp mbo en statements vanuit het compliance kader privacy. In dit hoofdstuk zijn de statements weergegeven uit het generieke ibp toetsingskader met die aantekening dat die dus in het kader van de privacy extra aandacht behoeven. 3.2 Clustering naar thema s Het toetsingskader ibp mbo bevat 85 statements, waarvan 38 heel direct gerelateerd zijn aan privacy, verdeeld over 6 clusters. De clustering is gebaseerd op een logische indeling die goed bruikbaar is voor het mbo-onderwijs. De clustering is tevens toegepast op de statements afkomstig van de wet en regelgeving privacy. Schematische samenvatting clustering: Cluster Onderwerpen (o.a.) Kwaliteitsaspecten Betrokkenen Beleid en Organisatie Privacy maakt gebruik van 11 van de 21 statements. Informatiebeveiligingsbeleid Classificatie Inrichten beheer Cryptografie Beschikbaarheid Integriteit Vertrouwelijkheid Controleerbaarheid College van bestuur Directeuren Personeel, deelnemers en gasten Privacy maakt gebruik van 5 van de 7 statements. Ruimte en Apparatuur Privacy maakt gebruik van 2 van de 15 statements. Continuïteit Privacy maakt gebruik van 3 van de 15 statements. Toegangsbeveiliging en Integriteit Privacy maakt gebruik van 13 van de 17 statements. Controle en logging Privacy maakt gebruik van 4 van de 10 statements. Informatiebeveiligingsbeleid Aanvullingen arbeidsovereenkomst Scholing en bewustwording Beveiligen van hardware, devices en bekabeling Anti-virussen, back up, bedrijfscontinuïteit planning Gebruikersbeheer, wachtwoorden, online transacties, cryptografisch sleutelbeheer, validatie Systeemacceptatie, loggen van gegevens, registreren van storingen, toetsen beleid Vertrouwelijkheid Integriteit Beschikbaarheid Vertrouwelijkheid Beschikbaarheid Integriteit Vertrouwelijkheid Controleerbaarheid College van bestuur Dienst HR Ondernemingsraad College van bestuur Dienst ict of afdeling College van bestuur Dienst ICT of afdeling functioneel beheer College van bestuur Dienst ICT of afdeling functioneel beheer College van bestuur Stafmedewerker informatiebeveiliging Kwaliteitszorg Voor een afdoende risicobeheersing t.a.v. informatiebeveiliging en privacy binnen een onderwijsinstelling moeten alle 85 statements op orde zijn. Daarbij zou dan uitgegaan moeten worden van een volwassenheidsniveau 2 voor de maatregelen om aan het statement te voldoen. Dat wil zeggen opzet, bestaan en gedeeltelijke werking (een aantal collega s werkt volgens de afspraak maar nog niet de gehele organisatie. Een aantal van de privacy gelieerde statements zou aan niveau 3 of 4 moeten voldoen, om de privacy risico s te mitigeren. IBPDOC7, versie 2.0 Pagina 12 van 69

13 3.3 Beveiliging van persoonsgegevens en ISO Toetsingskader Privacy (pluscluster 7) Het beveiligen van persoonsgegevens is een belangrijke randvoorwaarde. Door het College Bescherming Persoonsgegevens (de voorloper van de Autoriteit Persoonsgegevens) is in 2013 vastgesteld dat een risicoanalyse moet worden gemaakt van de verwerkte gegevens, en dat op basis van die analyse passende technische en organisatorische beveiligingsmaatregelen moet nemen om de persoonsgegevens te beveiligen. De ISO en ISO bieden volgens de AP een passend beschermingsniveau om persoonsgegevens te beveiligen. Deze ISO-normen sluiten dus voor informatiebeveiliging aan bij wet- en regelgeving (AVG). Dit betekent dat om te voldoen aan privacy wetgeving er ook voldaan moet worden aan de ISO-normen voor informatiebeveiliging. Het voldoen aan het bij het normenkader behorende Toetsingskader voor informatiebeveiliging mbo (IBPDOC 3), is dus relevant om te voldoen aan privacy wet- en regelgeving. De ISO-normen en zijn een uitgangspunt voor de beveiliging van persoonsgegevens. Om privacy te waarborgen, moet op een aantal ISO-statements voldaan worden aan een bepaald beveiligingsniveau. Vertaald naar het Normenkader en Toetsingskader IBP, betekent dit dat aan bepaalde maturity-levels moet worden voldaan. In deze paragraaf wordt beschreven welke statements uit het Toetsingskader informatiebeveiliging (IBP- DOC 3) moeten voldoen aan een minimum maturity-level. Het gaat hierbij dus om een subset van 38 statements uit de totale set van Generieke statements (informatiebeveiliging) Cluster beleid en organisatie Nr. ISO27002 Statement Beleidsregels voor informatiebeveiliging: Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd en goedgekeurd door het bestuur Privacy toets: Hanteer als uitgangspunt IBPDOC6 Model informatiebeveiliging en privacy beleid voor de mbo sector. Indien gebruik wordt gemaakt van een eigen beleidsplan controleer dan de volgende onderdelen op aanwezigheid en juistheid: 1. Inleiding 2. Beleidsuitgangspunten en -principes informatiebeveiliging en privacy 3. Classificatie 4. Wet- en regelgeving 5. Governance informatiebeveiligingsbeleid (waaronder aanstellen FG of privacy officer) 6. Melding en afhandeling van incidenten Beleidsregels voor informatiebeveiliging: Het door het bestuur vastgestelde Informatiebeveiligingsbeleid wordt gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. Privacy toets: onderzoek of er ook met externe partijen wordt gecommuniceerd over het informatiebeveiliging en privacy beleid van de mbo instelling. Beleid voor mobiele apparatuur: Er dient beleid te worden vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrengt te beheren. Privacy toets: er is een beleid op het gebied van Bring Your Own Device (BYOD) en Bring Your Company Device (BYCD). Bovendien wordt dit beleid gecontroleerd. Classificatie van informatie: Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. Privacy toets: er is een beleid waarin de uitgangspunten van de BIV classificatie worden beschreven. De classificatie wordt op Laag, Midden en Hoog niveau beschreven. De beheersmaatregelen worden eveneens op deze schaalverdeling beschreven. Deze classificatie wordt gebruikt en periodiek geëvalueerd, en is nodig voor het bepalen van de te nemen maatregelen om de privacy van betrokkenen te beschermen. Informatie labelen: Om informatie te labelen behoort een passende reeks procedures te worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. Privacy toets: de mbo instelling moet kunnen aantonen dat de classificatie daadwerkelijk wordt toegepast. Te denken valt aan: Security architectuur document; Documenten die voorzien zijn van een stempel vertrouwelijk; Aanwezigheid van een vertrouwenspersoon; Aanvullende afspraken voor functioneel beheerders i.v.m. vertrouwelijkheid; Etc. IBPDOC7, versie 2.0 Pagina 13 van 69

14 Beleid inzake het gebruik van crypto grafische beheersmaatregelen: Ter bescherming van informatie behoort een beleid voor het gebruik van crypto grafische beheersmaatregelen te worden ontwikkeld. Privacy toets: Er is een beleid t.a.v. crypto grafische beheersmaatregelen. Beleid inzake het gebruik van crypto grafische beheersmaatregelen: Ter bescherming van informatie zijn er tools of applicaties aanwezig waarmee het beleid voor het gebruik van crypto grafische beheersmaatregelen wordt geïmplementeerd. Privacy toets: de mbo instelling heeft een of meerder tools aangeschaft ihkv crypto grafische beheersmaatregelen. Opnemen van beveiligingsaspecten in leveranciersovereenkomsten: Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt. Privacy toets: eisen worden opgenomen in SLA s en (bijvoorbeeld) maandelijks teruggekoppeld in een SLR (Service Level Rapportage). Rapportage van informatiebeveiligingsgebeurtenissen: Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd. Privacy toets: er is een goede escalatie procedure beschikbaar. Beschermen van registraties: Registraties behoren in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen te worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave. Privacy toets: er is een document met afgesproken bewaartermijnen binnen een mbo instelling. Er moet zich zijn op welke categorieën persoonsgegevens er worden verwerkt. Privacy en bescherming van persoonsgegevens: Privacy en bescherming van persoonsgegevens behoren, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving. Dit statement is de verbindende schakel tussen informatiebeveiliging en privacy. IB is een wettelijke eis om zorgvuldig met persoonsgegevens om te gaan. Privacy toets: privacy kan onderdeel zijn van het informatiebeveiligingsbeleid zoals opgenomen in statement 1.1. Personeel, deelnemers en gasten Nr ISO27002 Statement Arbeidsvoorwaarden: De contractuele overeenkomst met medewerkers en contractanten behoort hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie te vermelden. Privacy toets: geen aanvullende opmerkingen Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging: Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. Privacy toets: geen aanvullende opmerkingen Toegangsrechten intrekken of aanpassen: De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, en bij wijzigingen behoren ze te worden aangepast. Privacy toets: de autorisatie matrix is voor dit statement cruciaal. Met name de medewerkers dit uitdienst zijn getreden moeten worden ge-audit. Clear desk - en clear screen -beleid: Er behoort een clear desk -beleid voor papieren documenten en verwijderbare opslagmedia en een clear screen -beleid voor informatie verwerkende faciliteiten te worden ingesteld. Privacy toets: geen aanvullende opmerkingen Vertrouwelijkheids- of geheimhoudingsovereenkomst: Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen, behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd. Privacy toets: geheimhoudingsovereenkomst beoordelen. Onderzoek met name de deelnemersadministratie. T.a.v. de geheimhouding kan ook verwezen worden naar de cao. IBPDOC7, versie 2.0 Pagina 14 van 69

15 Ruimtes en apparatuur Nr. ISO27002 Statement Continuïteit Nr. Beleid voor mobiele apparatuur: Er dienen beveiligingsmaatregelen te worden vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrengt te beperken. Privacy toets: een reglement notebooks (die eigendom zijn van de mbo instelling) is niet voldoende. Een AUP (Acceptable Use Policy), in het Nederlands Verantwoord Gebruik, is noodzakelijk, immers alle medewerkers thuis op hun eigen device inloggen op applicaties die eigendom zijn van de mbo instelling moeten alle medewerkers zich aan de afspraken zoals verwoord in AUP houden. Juridisch is de AUP een aanvulling op de arbeidsovereenkomst als deze goedgekeurd is door de Ondernemingsraad (WOR, artikel 27, lid K). Veilig verwijderen of hergebruiken van apparatuur: Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. Privacy toets: het betreft hier afvoer van apparatuur. ISO27002 Statement Back-up van informatie: Regelmatig behoren back-upkopieën van informatie, software en systeemafbeeldingen te worden gemaakt. Privacy toets: controle van de volume van de back up is gewenst (Is van alle informatie een back up gemaakt?). Controleer logboek back up. Back-up van informatie: Gemaakte back ups worden regelmatig getest conform het back-up beleid. Privacy toets: terugzetten van bestanden (restore) middels een logboek controleren. Informatiebeveiligingscontinuïteit implementeren: De organisatie behoort processen, procedures en beheersmaatregelen vast te stellen, te documenteren, te implementeren en te handhaven om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie te waarborgen. Privacy toets: een continuïteitsplan (BCM) moet voorhanden zijn. IBPDOC7, versie 2.0 Pagina 15 van 69

16 Vertrouwelijkheid en integriteit Nr ISO27002 Statement Beleid voor toegangsbeveiliging: Een beleid voor toegangsbeveiliging behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingseisen. Privacy toets: toegangsbeveiliging zowel voor het netwerk als voor applicaties. Toegang tot netwerken en netwerkdiensten: Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn. Privacy toets: het betreft hier technische netwerkdiensten, denk aan VPN en draadloos netwerk. Registratie en afmelden van gebruikers: Een formele registratie- en afmeldingsprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken. Privacy toets: het betreft nieuwe gebruikers en het verwijderen van gebruikers. Gebruikers toegang verlenen: Een formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken. Privacy toets: het verlenen van toegangsrechten tot applicaties op basis van functie en rollen (RBAC) van medewerkers. Beheren van speciale toegangsrechten: Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst. Privacy toets: het betreft hier de super users / administrators rechten. Beheer van geheime authenticatie-informatie van gebruikers: Het toewijzen van geheime authenticatieinformatie behoort te worden beheerst via een formeel beheersproces. Privacy toets: het betreft het wachtwoorden beleid dat op basis van delegatie is goedgekeurd. Geheime authenticatie-informatie gebruiken: Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie informatie houden aan de praktijk van de organisatie. Privacy toets: geen aanvullende opmerkingen. Beperking toegang tot informatie: Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging. Privacy toets: de gebruiker ziet alleen die opties in het keuzemenu waartoe hij rechten heeft. Beveiligde inlogprocedures: Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure. Privacy toets: een aantal aanbevelingen: 2-way authenticatie; Wachtwoord kan niet worden afgeluisterd ; Wachtwoord wordt niet weergegeven; Wachtwoord en username komen niet overeen is de juiste foutmelding bij onjuist ingetypt wachtwoord. Sleutelbeheer: Met betrekking tot het gebruik, de bescherming en de levensduur van cryptografische sleutels behoort tijdens hun gehele levenscyclus een beleid te worden ontwikkeld. Privacy toets: beleid t.a.v. digitale sleutels (voorbeeld Bitlocker). Sleutelbeheer: Er wordt gebruik gemaakt van tools om cryptografische sleutels tijdens hun gehele levenscyclus adequaat te beheren. Privacy toets: beheer van digitale sleutels (bijvoorbeeld Bitlocker). Beschermen van informatie in logbestanden: Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang. Privacy toets: geen aanvullende opmerkingen Elektronische berichten: Informatie die is opgenomen in elektronische berichten behoort passend te zijn beschermd Privacy toets: toetsen op certificering. IBPDOC7, versie 2.0 Pagina 16 van 69

17 Controle en logging Nr ISO27002 Statement Toetsingskader Privacy (pluscluster 7) Beoordeling van toegangsrechten van gebruikers: Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen. Privacy toets: een van de belangrijkste statements. De proceseigenaar moet samen met hoofd systeembeheer controleren of de toegangsrechten juist zijn. Gebeurtenissen registreren: Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld. Privacy toets: geen aanvullende opmerkingen. Naleving van beveiligingsbeleid en normen: Het management behoort regelmatig de naleving van de informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied te beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging. Privacy toets: proceseigenaren controleren of afspraken gerealiseerd zijn. Er mogen geen vragen zijn in de trant van: Waar liggen de verantwoordelijkheden?. Beoordeling van technische naleving: Informatiesystemen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging. Privacy toets: beoordeling op technisch inhoudelijk gebied.. IBPDOC7, versie 2.0 Pagina 17 van 69

18 4. Toetsingskader privacy Toetsingskader Privacy (pluscluster 7) Toelichting op de aanvullende statements ISO en 27002, de Code voor Informatiebeveiliging, beschrijft weliswaar alle voorkomende risico s op het gebied van informatiebeveiliging, maar alleen op een generieke manier. De Code is niet opgesteld om alle risico s die samenhangen met privacy te verminderen. Weliswaar wordt een flink deel van de risico s afgedekt maar niet alle. In dit hoofdstuk benoemen we alle aanvullende statements die vanuit het complete compliance kader privacy zijn geselecteerd. Zoals aangegeven zijn die op dezelfde wijze gerangschikt als de generieke statements. In de onderstaande statements wordt in de eerste kolom met een kleur aangegeven met welke wet of norm dit statement concreet overeenkomt. Het statement (of een afgeleide daarvan) kan in andere bewoordingen bijvoorbeeld ook voorkomen in de Wbp of AVG. Bij een mogelijke overlap wordt gekozen voor de wet- of regel die daarbij het beste aansluit. In de laatste kolom wordt vermeld van welk privacy principe het statement is afgeleid. Het betreft de kleuren: Kleuren EVRM AVG Wbp NEN7510 Andere nationale wetgeving Basis Europees Verdrag voor de Rechten van de Mens Algemene Verordening Gegevensbescherming Wet bescherming persoonsgegevens NEN-norm voor privacy en informatiebeveiliging in de zorg, veel gebruik in academische ziekenhuizen Overige nationale wetgeving zoals de Archiefwet Beleidsdocument Het toetsingskader privacy gaat ervan uit dat de mbo instelling beschikt (nu of in de nabije toekomst) over een beleidsdocument privacy. Er is een model beleidsplan beschikbaar: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6). IBPDOC7, versie 2.0 Pagina 18 van 69

19 4.1 Beleid en organisatie P.1: Privacy-beleid Cluster: Beleid en organisatie P1: AVG 24 (ISO ) Privacy-beleid: Ten behoeve van het garanderen van privacy van deelnemers en medewerkers en om te voldoen aan de relevante wet- en regelgeving, behoort een reeks beleidsregels te worden gedefinieerd en goedgekeurd door het bestuur. In dit beleid is voorzien in procedures voor het uitoefenen van de rechten van deelnemers en docenten. Toelichting: De verantwoordelijke moet interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan de beginselen van gegevensbescherming, wet- en regelgeving en (indien van toepassing) contractuele bepalingen. Daarbij moet de instelling rekening gehouden met de aard, omvang, de context en het doel van de gegevensverwerkingen binnen de instelling. De verantwoordelijke moet waarborgen én aantonen dat zijn gegevensverwerkingen in overeenstemming zijn met de AVG. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd. De AVG verplicht de verantwoordelijke om een passend gegevensbeschermingsbeleid te voeren, en dat regelmatig te evalueren. In termen van volwassenheidsniveaus, dient de instelling ten minste te voldoen aan niveau 4: beheersbaar en meetbaar. Door het privacy beleid op te nemen in een PDCA-cyclus, wordt hieraan voldaan. Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6) Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Er is geen beleid voor bescherming van persoonsgegevens. Voor sommige systemen zijn ad hoc maatregelen genomen. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Er zijn afspraken over maatregelen maar die zijn niet formeel vastgelegd. Ze zijn specifiek ingericht op afdelingsniveau of in een bepaald bedrijfsproces en zijn intuïtief, gebaseerd op individuele kennis en expertise. Evidence: a) Inrichtings- of procesdocumenten waaruit blijkt dat er specifieke maatregelen genomen zijn. Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Er is beleid vastgesteld en dit wordt nageleefd. Evidence in aanvulling op 2: 1. Kopie goedgekeurde beleid voor bescherming van persoonsgegevens; 2. Kopie van informatie waaruit blijkt dat het beleid met medewerkers is gecommuniceerd (te denken aan flyers, presentaties); 3. Voor zover apart geregeld: kopie van de rechten van deelnemers en medewerkers (inclusief procedures). Er is een proces ingericht wat de toepassing van het beleid waarborgt. Daarin wordt onder andere zorg gedragen voor actualisatie van: welk CvB lid eindverantwoordelijk is; bij welke functionaris de rol/functie van privacy officer of Functionaris voor de Gegevensbescherming (FG) is belegd; wie de gegevens binnen de instelling gebruiken; hoe betrokkenen in staat zijn invloed uit te oefenen op wat er met hun persoonsgegevens gebeurt en hoe daarop wordt toegezien. Evidence in aanvulling op 3: 1. Kopie van een actueel overzicht van de procesonderwerpen. IBPDOC7, versie 2.0 Pagina 19 van 69

20 Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): Het proces en het privacy beleid is ingericht conform externe best practices. Het beleid wordt periodiek geëvalueerd en zo nodig bijgesteld. Men houdt in het proces in de gaten wanneer gebruik, regels en voorschriften veranderen en past het beleid hier op aan. Het proces maakt onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit en compliance proces. Evidence in aanvulling op 4: 1. Kopie waaruit blijkt welke best-practices gehanteerd worden (bv. richtsnoer informatiebeveiliging van het CBP, aangevuld met branche specifieke afspraken.); 2. Kopie van het interne audit en compliance proces. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 20 van 69

21 P.2: Functionaris gegevensbescherming Toetsingskader Privacy (pluscluster 7) Cluster: Beleid en organisatie P2 AVG 37 (ISO ) Governance Functionaris gegevensbescherming: De instelling benoemt een functionaris voor de gegevensbescherming (FG), of indien dit niet mogelijk of wenselijk is een privacy officer (PO), die is belast met intern toezicht op de verwerkingen van persoonsgegevens binnen de instelling, en alle verwerkingen van persoonsgegevens inventariseert en registreert. De verantwoordelijke zorgt er voor dat alle andere beroepswerkzaamheden van de FG verenigbaar zijn met zijn taken en verplichtingen als FG en dat die niet tot een belangenconflict leiden. Toelichting: Om de bescherming van persoonsgegevens te verbeteren, stelt de verantwoordelijke een speciale functionaris aan die belast is met intern toezicht op de verwerkingen. Voor zover er een functionaris voor gegevensbescherming wordt benoemd, zijn een deel van diens rechten en plichten verankerd in de Wbp en AVG. De FG wordt door het CvB benoemd. De FG moet in staat zijn om zijn taken en verplichtingen onafhankelijk te vervullen, hij/zij geniet ontslagbescherming voor het deel dat het hun toezichthoudende taken betreft. De FG hoeft geen fulltime functie te zijn, maar de functie kan bijvoorbeeld ook belegd worden bij de instellingsjurist, vertrouwenspersoon of bestuurssecretaris. Een alternatief voor het benoemen van een FG, is het aanstellen van een privacy officer (PO) waarbij de instelling zelf meer mogelijkheden heeft om diens bevoegdheden te regelen of om diens taken anders te verdelen. Deze PO heeft geen ontslagbescherming. In die zin is de PO anders dan de FG: FG is een functie terwijl PO een rol is. Overigens hoeft een FG of PO niet werkzaam te zijn bij de instelling, maar deze mag ook extern worden ingehuurd, of door een aantal onderwijsinstellingen gezamenlijk worden ingevuld. Verplichte aanwijzing FG Met de komst van de AVG (zie paragraaf 1.4) bestaat er in een aantal gevallen de verplichting om een FG aan te wijzen. Helaas wordt er geen cijfermatige maatstaf gegeven (zoals bijvoorbeeld het verwerken van gegevens van X aantal betrokkenen). Overheden zijn wel altijd verplicht een FG aan te stellen. Daarnaast spreekt de AVG over organisaties die persoonsgegevens gebruiken van personen waarop op grote schaal regelmatig en stelselmatig toezicht moet worden gehouden. Volgens de toelichting bij de AVG gaat het om organisatie die als persoonsgegeven verwerken als kerntaak en niet om verwerkingen van persoonsgegevens als nevenactiviteit. Onderwijsinstellingen leggen steeds meer gegevens vast over de resultaten en schoolloopbaan van deelnemers, of ze registreren bijzondere persoonsgegevens zoals bijvoorbeeld over gezondheid (dyslexie, gedragsproblemen). Ook al is het vastleggen van deelnemersgegevens geen kerntaak of hoofdactiviteit van een instelling, het is niet mogelijk om les te geven zonder vastlegging van deelnemersgegevens, voortgangs- of studieresultaten, et cetera. De conclusie is dan ook gerechtvaardigd dat onderwijsinstellingen stelselmatig en regelmatig betrokkenen monitoren en in dat kader persoonsgegevens verwerken. Daarmee vallen zij onder de verplichting om een FG aan te stellen. Taken FG De FG vervult ten minste de volgende taken: 1. registreren van verwerkingen van gegevensverwerkingen. 2. adviseren van de verantwoordelijke en alle bij gegevensverwerkingen betrokken werknemers over hun (wettelijke) verplichtingen. 3. toezicht op de naleving van wet- en regelgeving, alsmede op naleving van het privacy beleid, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel. 4. advies over de gegevensbeschermingseffectbeoordeling (zie statement P.21) en toezien op de uitvoering daarvan. 5. samenwerking met de toezichthoudende (privacy)autoriteiten. 6. optreden als contactpunt voor de toezichthoudende autoriteit. Overige verplichtingen voortvloeiend uit de AVG: IBPDOC7, versie 2.0 Pagina 21 van 69

22 1. De FG wordt geselecteerd op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om te adviseren en toezicht te houden op verwerkingen van persoonsgegevens binnen de instelling. 2. De bestuurder zorgt er voor dat de FG naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens binnen de onderwijsinstelling. 3. De FG brengt rechtstreeks verslag uit aan de hoogste leidinggevende/directie binnen de onderwijsinstelling. 4. Het CvB verschaft de FG toegang tot alle persoonsgegevens en verwerkingsactiviteiten en stelt de FG de benodigde middelen ter beschikking voor het vervullen van zijn taken en voor het in stand houden van zijn deskundigheid 5. De bestuurder zorgt ervoor dat eventuele overige taken of plichten van de FG niet tot een belangenconflict leiden. Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6) Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Er is geen specifieke functionaris aangesteld die belast is met intern toezicht op de verwerking van persoonsgegevens. Voor sommige systemen of processen zijn ad hoc maatregelen genomen. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Er zijn afspraken over maatregelen maar die zijn niet formeel vastgelegd. Ze zijn specifiek ingericht op afdelingsniveau of in een bepaald bedrijfsproces en zijn intuïtief, gebaseerd op individuele kennis en expertise. Evidence: 1. Inrichtings- of procesdocumenten waaruit blijkt dat er specifieke maatregelen genomen zijn of functionarissen die met toezicht op gegevensverwerkingen zijn belast. Er is beleid vastgesteld en dit wordt nageleefd. Evidence in aanvulling op 2: 1. Kopie van het besluit waarin een FG of PO wordt aangesteld; 2. Kopie van het besluit of reglement waarin de rechten en bevoegdheden van de FG of PO zijn geregeld. Er is een proces ingericht wat de aanstelling en functioneren van een FG waarborgt. Dit is vastgelegd in een document waarin onder andere is opgenomen: welk CvB lid eindverantwoordelijk is, aan wie de FG (PO)rapporteert; er is een medewerker aangewezen als FG op basis van kennis, deskundigheid en ervaring met de verwerking van persoonsgegevens; er is voor deze FG een beschrijving van diens, bevoegdheden, rechten (waaronder ontslagbescherming) en plichten zijn. Evidence in aanvulling op 3: 1. Kopie van een actueel overzicht van de voornoemde procesonderwerpen met wat rol en positie van de FG daarin is. Het proces en het privacy beleid is ingericht conform externe best practices. Het beleid wordt periodiek geëvalueerd en zo nodig bijgesteld. Men houdt in het proces in de gaten wanneer gebruik, regels en voorschriften veranderen en past het beleid hier op aan. Evidence in aanvulling op 4: 1. Kopie waaruit blijkt welke best-practices gehanteerd worden (bv. richtsnoer informatiebeveiliging van het CBP, aangevuld met branche specifieke afspraken.); 2. Kopie van het interne audit en compliance proces. 3. In het privacy beleid is opgenomen dat de FG aantoonbaar betrokken bij alle aangelegenheden die gaan over privacy van deelnemers binnen de instelling, én uit navraag blijkt dit ook praktijk te zijn 4. De FG rapporteert aan de hoogste leidinggevende (zoals directie) of aan de bestuurder 5. De overige werkzaamheden en taken van de FG leiden niet tot een conflict met zijn taak als FG. IBPDOC7, versie 2.0 Pagina 22 van 69

23 Beoordeling (aanwezigen, datum en locatie): Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 23 van 69

24 P.3: Toetsingskader Privacy (pluscluster 7) Doelbepaling, doelbinding, grondslag, grond bij minderjarigen en dataminimalisatie. Cluster: Beleid en organisatie P3 WBP; AVG 5, 6, 12 Doelbepaling, doelbinding, grondslag, grond bij minderjarigen en dataminimalisatie. De instelling draagt er zorg voor dat bij verwerking van persoonsgegevens de volgende uitgangspunten worden gehanteerd: P.3a Doelbepaling en doelbinding: De instelling draagt er zorg voor dat voor iedere categorie van verwerkingen voorafgaand aan die verwerking - een specifiek doeleinde is vastgesteld, en dat dit doeleinde is gecommuniceerd bij de gegevensverzameling. De instelling zorgt er voor dat persoonsgegevens alleen worden verwerkt voor het doeleinde waarvoor die gegevens verkregen zijn. P.3b Grondslag (rechtmatigheid): De instelling zorgt er voor dat persoonsgegevens altijd op basis van een wettelijke grondslag worden verwerkt. Daarbij maakt de instelling geen gebruik van opt-out regelingen als het gaat om verwerkingen van persoonsgegevens. Indien toestemming noodzakelijk is voor verwerkingen van persoonsgegevens van deelnemers jonger dan 16 jaar, dan wordt toestemming altijd afgestemd met de wettelijke vertegenwoordigers, en deze toestemming wordt vastgelegd en is reproduceerbaar. P.3c Dataminimalisatie: Het verwerken van persoonsgegevens moet redelijk zijn en in verhouding staan tot het te realiseren doel van die verwerking: de inbreuk op de privacy moet te rechtvaardigen zijn om het doeleinde te bereiken (proportionaliteit), de te verzamelen persoonsgegevens blijven beperkt tot datgene wat minimaal nodig is om de doeleinde(n) te bereiken waarvoor de data worden verwerkt (subsidiariteit). P.3d Transparantie: de instelling informeert de gebruikers (of hun wettelijke vertegenwoordigers) en medewerkers van wie persoonsgegevens worden verwerkt, beknopt, transparant, eenvoudig toegankelijk en begrijpelijk in duidelijke en eenvoudige taal over het beleid alsmede over alle gegevensverwerkingen. P.3e Data-integriteit: de instelling zorgt er voor dat bij verwerkingen die door of namens de instelling worden uitgevoerd, de juiste persoonsgegevens op het juiste moment op de juiste plaats beschikbaar zijn. Toelichting: Alle verwerkingen van persoonsgegevens binnen de instelling voldoen aan de vijf (herziene) vuistregels voor privacy. Deze basis privacy principes, die afgeleid zijn van de Wbp, zijn: 1) doelbepaling en doelbinding, 2) grondslag, 3) dataminimalisatie en 4) transparantie (over de rechten, maar ook over de verschillende verwerkingen van persoonsgegevens) en 5) data-integriteit. De verantwoordelijke voor de gegevensverwerking moet aan kunnen tonen dat er voldaan wordt aan deze principes (verantwoordingsplicht zoals opgenomen in de AVG). De uitgangspunten P.3d en P.3e worden in de statements P.11 en P.12 respectievelijk P.17. Deze statemens zijn hier opgenomen om voor de volledigheid: instellingen moeten deze vijf uitgangspunten controleren als zij voornemens zijn persoonsgegevens te gaan verwerken. In de AVG worden deze principes anders benoemd, maar komen inhoudelijk op het zelfde neer. Doel en doelbinding: dit valt onder het beginsel doelbinding (AVG 5.1.b) Grondslag: rechtmatigheid van de verwerking (AVG 6) Dataminimalisatie: dit valt onder de beginselen minimale gegevensverwerking (AVG 5.1.c) en opslagbeperking (AVG 5.1.e) Transparantie en rechten betrokkene: transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene (AVG 12). Het onderdeel transparantie komt terug in P.11 en P.12 van dit toetsingskader (communicatie) en wordt niet geregeld in dit statement. Juistheid van gegevens (AVG 5.1.d) wordt geïntroduceerd in de AVG: persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd. Dit sluit inhoudelijk aan bij begrip integriteit uit de informatiebeveiliging. Onjuiste gegevens worden gerectificeerd of gewist. De juistheid van de data (integriteit) komt terug in P.17 van dit toetsingskader: vertrouwelijkheid en integriteit. Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6) IBPDOC7, versie 2.0 Pagina 24 van 69

25 Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Er is geen beleid voor bescherming van persoonsgegevens. Voor sommige systemen zijn ad hoc maatregelen genomen. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Er is een checklist ontwikkeld die P.2a t/m P.2e toetst en die wordt toegepast door een kleine groep van medewerkers. Bijvoorbeeld: het hoofd van de deelnemersadministratie heeft het inschrijfformulier aan de hand van de checklist gecontroleerd op de naleving van het privacy beleid. De medewerkers van de deelnemersadministratie passen het privacy beleid toe bij inschrijving van nieuwe deelnemers. Evidence: 1. Kopie checklist waardoor toetsing van P.2a t/m P.2e mogelijk is; 2. Kopie verklaring van leidinggevende waarin staat aangegeven dat een formulier getoetst is op de juiste uitvoer van het privacy beleid, Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): Er is een checklist ontwikkeld die P.2a t/m P.2e toetst en die wordt toegepast op alle vragenformulieren in de mbo instelling. Evidence in aanvulling op 2: 1. Kopie proces architectuur waarin de proceseigenaren zijn te traceren; 2. Kopie van alle vragenformulieren; 3. Kopie verklaringen waarin staat aangegeven dat alle vragenformulieren getoetst zijn op de juiste uitvoer van het privacy beleid. De checklist wordt jaarlijks aangepast naar aanleiding van gesignaleerde tekortkomingen of op basis van veranderende wet- en regelgeving, Evidence in aanvulling op 3: 1. Kopie rapport evaluatie checklist op basis van werking en nieuwe wet- en regelgeving; 2. Kopie nieuwe checklist; 3. Kopie goedkeuring checklist door College van Bestuur. Toekomstige ontwikkelingen en best practices op het gebied van privacy worden nauwgezet gevolgd door de mbo instelling. Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die in de nabije toekomst van invloed zijn op de checklist. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 25 van 69

26 P.4: Registratieplicht Toetsingskader Privacy (pluscluster 7) Cluster: Beleid en organisatie P4 WBP; AVG 30, 39 Registratieplicht: Een verwerking van persoonsgegevens wordt gemeld aan de aangestelde Functionaris Gegevensbescherming die daartoe een (openbaar) register bijhoudt. In geval er geen Functionaris voor Gegevensbescherming is aangesteld, wordt deze melding gedaan bij de Autoriteit Persoonsgegevens voor zover de verwerking niet onder een vrijstelling meldingsplicht valt. Toelichting: Organisaties die persoonsgegevens verwerken, moeten daar melding van doen bij de Autoriteit Persoonsgegevens die daarvan een register bijhoudt. Onderwijsinstellingen hoeven alleen zo n melding te doen als zij persoonsgegevens gaan verwerken voor een doel dat niet samenhangt met het lesgeven aan deelnemers. Als de onderwijsinstelling een FG heeft benoemd, dan is deze FG als intern toezichthouder verplicht om de meldingen bij te houden. Er hoeft dan geen melding te worden gedaan bij de Autoriteit Persoonsgegevens. Indien de instelling geen FG heeft aangesteld, moeten tot mei 2018 de meldingen bij de Autoriteit Persoonsgegevens worden gedaan (en kan de melding niet plaatsvinden bij een andere functionaris zoals een privacy officer) 6. Na 25 mei 2018 moet een instelling, met meer dan 250 medewerkers, zelf een register bijhouden waarin tenminste de volgende gegevens worden opgenomen: a) Contactgegevens van de instelling; b) Indien van toepassing: gegevens van de bewerker; c) Doeleinden van de gegevensverwerking; d) Beschrijving van de categorieën persoonsgegevens; e) Beschrijving van de categorieën betrokkenen: deelnemers, medewerkers, etc. ; f) Categorieën van de personen die deze gegevens gaan gebruiken (intern/extern); g) Of er sprake is van doorgifte van de persoonsgegevens buiten de EU; h) Van toepassing zijnde bewaar- en vernietigingstermijnen van de gegevens; Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen. Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6) Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Er is geen beleid voor verwerking en registratie (openbaar register) van persoonsgegevens door een aangestelde Functionaris Gegevensbescherming. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Volwassenheidsniveau 3 (gedefinieerd proces) Er is een vastgesteld beleid of proces voor verwerking en registratie (openbaar register) van persoonsgegevens door een aangestelde Functionaris Gegevensbescherming. Evidence: 1. Kopie document beleid verwerking en registratie van persoonsgegevens; 2. Kopie verklaring van College van Bestuur waarin staat dat het formulier verwerking en registratie van persoonsgegevens is vastgesteld. Er is een vastgesteld beleid of proces voor verwerking en registratie (openbaar register) van persoonsgegevens door een aangestelde Functionaris Gegevensbescherming dat bekend is bij alle medewerkers van de mbo instelling. Evidence in aanvulling op 2: 1. Kopie nieuwsbrief of bericht waar het beleid of proces verwerking en registratie van persoonsgegevens is gecommuniceerd met alle medewerkers en deelnemers. 2. Kopie register (overzicht geregistreerde gegevensverwerkingen). 6 IBPDOC7, versie 2.0 Pagina 26 van 69

27 Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): De checklist wordt jaarlijks aangepast naar aanleiding van gesignaleerde tekortkomingen of op basis van veranderende wet- en regelgeving, Evidence in aanvulling op 3: 1. Kopie aanbevelingen op basis van bevindingen register persoonsgegevens door de Functionaris Gegevensbescherming; 2. Kopie goedkeuring aanpassingen register persoonsgegevens door College van Bestuur. Toekomstige ontwikkelingen en best practices op het gebied van Privacy worden nauwgezet gevolgd door de mbo instelling. De instelling houdt zelf een register bij van gegevensverwerkingen binnen de instellingen Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die in de nabije toekomst van invloed zijn op het register persoonsgegevens. 2. (Wettelijk vereist per 25 mei 2018:) Indien de onderwijsinstelling meer dan 250 personeelsleden heeft, is er een register met geregistreerde verwerkingen. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 27 van 69

28 P.5: Bewaartermijnen Toetsingskader Privacy (pluscluster 7) Cluster: Beleid en organisatie P5 Archiefwet; AVG 5, 30 Bewaartermijnen: Er is een actief archief- en vernietigingsbeleid: persoonsgegevens worden niet langer bewaard dan nodig voor het gestelde doeleinde. De instelling stelt op basis van de Archiefwet (waaronder het BSD valt) de vernietigings- en bewaartermijnen vast van de verwerkte persoonsgegevens. De instelling is in staat om alle persoonsgegevens die niet onder een wettelijke bewaartermijn vallen, op een eerste verzoek van de deelnemer (of indien deze jonger is dan 16 jaar: diens ouders) te vernietigen. Toelichting: Persoonsgegevens worden niet langer bewaard dan nodig. Binnen het mbo zijn er verschillende documenten beschikbaar, zoals onder meer de Hoe? Zo! Documentmanagement maar ook het Basisselectiedocument (BSD) zoals deze door de FSR is opgesteld. Hiermee is een instelling in staat om het archief- en vernietigingsbeleid van persoonsgegevens binnen de instelling duidelijk en inzichtelijk te maken. Desgewenst kan er door de instelling een apart document (archief- en vernietigingsbeleid) voor worden gemaakt. Vanaf mei 2018 moet voldaan worden aan het in de AVG opgenomen recht om te worden vergeten (art. 17 AVG). Dat betekent dat een instelling in staat moet zijn om volledige dossiers te wissen en schonen van alle informatie die niet volgens de wet bewaard moet of mag worden. Relevante ibp documenten: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6) en Hoe? Zo! Documentmanagement. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 Er is geen archief- en vernietigingsbeleid van persoonsgegevens. (Ad hoc / initieel) Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Er is een vastgesteld archief- en vernietigingsbeleid van persoonsgegevens op basis van de archiefwet. Evidence: 1. Kopie document archief- en vernietigingsbeleid van persoonsgegevens; 2. Kopie verklaring van College van Bestuur waarin staat dat het archief- en vernietigingsbeleid van persoonsgegevens is vastgesteld. Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Er is een vastgesteld archief- en vernietigingsbeleid van persoonsgegevens op basis van de archiefwet dat bekend is bij alle medewerkers van de mbo instelling. Evidence in aanvulling op 2: 1. Kopie nieuwsbrief waar het beleid verwerking en registratie van persoonsgegevens is gecommuniceerd met alle medewerkers en deelnemers; 2. Kopie trainingsaanbod Bewaartermijnen aan de medewerkers die betrokken zijn bij dit beleid; 3. Kopie overzicht aanwezigheidslijst van deelnemers trainingsaanbod Bewaartermijnen. Het vastgestelde archief- en vernietigingsbeleid van persoonsgegevens op basis van de archiefwet wordt jaarlijks aangepast naar aanleiding van gesignaleerde tekortkomingen of op basis van veranderende wet- en regelgeving, Evidence in aanvulling op 3: 1. Kopie overzicht bevindingen gesignaleerde tekortkomingen op het beleid; 2. Kopie aanbevelingen op basis van bevindingen tekortkomingen door de Functionaris Gegevensbescherming; 3. Kopie goedkeuring aanpassingen archief- en vernietigingsbeleid van persoonsgegevens door College van Bestuur. IBPDOC7, versie 2.0 Pagina 28 van 69

29 Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): Toekomstige ontwikkelingen en best practices op het gebied van archief- en vernietigingsbeleid van persoonsgegevens worden nauwgezet gevolgd door de mbo instelling. Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die in de nabije toekomst van invloed zijn op het register persoonsgegevens. 2. (Wettelijk vereist vanaf 25 mei 2018:) Er is een beleid om te voldoen aan het verzoek van een deelnemer op volledige wissing van zijn gegevens waarbij wordt voldaan aan alle randvoorwaarden van artikel 17 AVG. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 29 van 69

30 P.6: Verwerking t.b.v. onderzoek Toetsingskader Privacy (pluscluster 7) Cluster: Beleid en organisatie P6 WBP NIEUW; AVG 89 (5, 9, 14, 17, 21) Verwerking t.b.v. onderzoek: Persoonsgegevens mogen worden verwerkt ten behoeve van: b) archivering in het algemeen belang (Archiefwet); c) wetenschappelijk of historisch onderzoek; of d) statistische doeleinden indien passende technische en organisatorische maatregelen zijn genomen om de privacy van de betrokken deelnemers te garanderen. Onder deze maatregelen wordt in ieder geval verstaan dat er niet meer persoonsgegevens worden verwerkt dan strikt noodzakelijk is. Hierbij valt te denken aan pseudonimisering (in geval de data herleidbaar moet zijn tot individuen) of anonimisering (in geval data niet herleidbaar hoeft te zijn). Bij historische, statistische of wetenschappelijke doeleinden is verwerking alleen mogelijk op basis van strikte voorwaarden vergelijkbaar met de Gedagscode voor Onderzoek & Statistiek en de verantwoordelijke voorafgaand toestemming heeft verleend. Toelichting: Er is een beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden beschikbaar. Hierbij kan worden aangehaakt bij de gedragscode voor historisch en wetenschappelijk onderzoek. Indien er sprake is van onderzoek dan zal de onderzoekende partij deze gedragscode bespreken en toepassen. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 Er is geen beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke (Ad hoc / initieel) doeleinden. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Volwassenheidsniveau 3 (gedefinieerd proces) Er is een vastgesteld beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden. Evidence: 1. Kopie beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden; 2. Kopie verklaring van College van Bestuur waarin staat dat het beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden is vastgesteld. Er is een vastgesteld beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden dat bekend is bij alle medewerkers van de mbo instelling. Evidence in aanvulling op 2: 1. Kopie nieuwsbrief of bericht waar beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden is gecommuniceerd met alle medewerkers en deelnemers; 2. Kopie trainingsaanbod verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden aan de medewerkers die betrokken zijn bij dit beleid; 3. Kopie overzicht aanwezigheidslijst van deelnemers trainingsaanbod verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden. IBPDOC7, versie 2.0 Pagina 30 van 69

31 Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): Het vastgestelde beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden wordt jaarlijks aangepast naar aanleiding van gesignaleerde tekortkomingen of op basis van veranderende wet- en regelgeving, Evidence in aanvulling op 3: 1. Kopie overzicht bevindingen gesignaleerde tekortkomingen op het beleid; 2. Kopie aanbevelingen op basis van bevindingen tekortkomingen door de Functionaris Gegevensbescherming; 3. Kopie goedkeuring aanpassingen beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden door College van Bestuur. Toekomstige ontwikkelingen en best practices op het gebied van beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden worden nauwgezet gevolgd door de mbo instelling. Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die in de nabije toekomst van invloed zijn op het beleid voor verwerking van persoonsgegevens voor historisch, statistisch of wetenschappelijke doeleinden. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 31 van 69

32 P.7: Toetsingskader Privacy (pluscluster 7) Verwerking van bijzondere persoonsgegevens Cluster: Beleid en organisatie P7 WBP; AVG 9 Verwerking van bijzondere persoonsgegevens De instelling verwerkt geen persoonsgegevens betreffende iemands religieuze of levensbeschouwelijke overtuigingen, tenzij dit gelet op het doel van de instelling en voor de verwezenlijking van haar grondslag strikt noodzakelijk is, ras of etnische afkomst, tenzij de instelling daartoe op grond van een wet verplicht is, of alleen in met het doel om personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen om feitelijke nadelen verband houdende met de grond ras op te heffen of te verminderen, biometrische gegevens (zoals vingerafdruk of irisscan) voor zover deze gebruikt worden met het oog op de unieke identificatie van een persoon, gezondheid of iemands seksueel gedrag of seksuele gerichtheid, voor zover dat met het oog op de speciale begeleiding van deelnemers of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is, tenzij de deelnemer voor het gebruik van deze categorieën persoonsgegevens zelf toestemming heeft gegeven voor het verwerken van de hiervoor genoemde categorieën persoonsgegevens. Toelichting: Het gebruik van bijzondere persoonsgegevens is verboden, tenzij daar voor een onderwijsinstelling een aanwijsbare en wettelijke rechtvaardiging voor is. Het gebruik van deze gegevens moet strikt noodzakelijk zijn. Dat vraagt om extra aandacht als deze categorie gegevens verwerkt zal gaan worden. Onder bijzondere persoonsgegevens valt ook het gebruik van pasfoto s omdat daarvan iemand ras kan worden afgeleid. Het heeft de voorkeur dat de instelling inzichtelijk kan maken in welke gevallen deze gegevens worden verwerkt en voor welke doeleinden. Vanaf 25 mei 2018 is het niet mogelijk om zonder uitdrukkelijke voorafgaande toestemming de biometrische gegevens zoals een irisscan of vingerafdruk te gebruiken voor de unieke identificatie van een deelnemer. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 Er is geen beleid voor verwerking van bijzondere persoonsgegevens. (Ad hoc / initieel) Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Er is een vastgesteld beleid voor verwerking van bijzondere persoonsgegevens. Evidence: 1. Kopie beleid voor verwerking van bijzondere persoonsgegevens; 2. Kopie verklaring van College van Bestuur waarin staat dat het beleid voor verwerking bijzondere persoonsgegevens is vastgesteld. Volwassenheidsniveau 3 (gedefinieerd proces) Er is een vastgesteld beleid voor verwerking van bijzondere persoonsgegevens dat bekend is bij alle medewerkers van de mbo instelling. Evidence in aanvulling op 2: 1. Kopie nieuwsbrief waar beleid voor verwerking van bijzondere persoonsgegevens is gecommuniceerd met alle medewerkers en deelnemers; 2. Kopie trainingsaanbod Bijzondere persoonsgegevens aan de medewerkers die betrokken zijn bij dit beleid; 3. Kopie overzicht aanwezigheidslijst van deelnemers trainingsaanbod Bijzondere persoonsgegevens. IBPDOC7, versie 2.0 Pagina 32 van 69

33 Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): Het vastgestelde beleid voor verwerking van bijzondere persoonsgegevens wordt jaarlijks aangepast naar aanleiding van gesignaleerde tekortkomingen of op basis van veranderende wet- en regelgeving, Evidence in aanvulling op 3: 1. Kopie overzicht bevindingen gesignaleerde tekortkomingen op het beleid; 2. Kopie aanbevelingen op basis van bevindingen tekortkomingen door de Functionaris Gegevensbescherming; 3. Kopie goedkeuring aanpassingen beleid voor verwerking van bijzondere persoonsgegevens door College van Bestuur. Toekomstige ontwikkelingen en best practices op het gebied van bijzondere persoonsgegevens worden nauwgezet gevolgd door de mbo instelling. Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die in de nabije toekomst van invloed zijn op het beleid voor verwerking van bijzondere persoonsgegevens. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 33 van 69

34 P.8: Geautomatiseerde besluitvorming Toetsingskader Privacy (pluscluster 7) Cluster: Beleid en organisatie P5 NIEUW ; AVG 21, 22 Geautomatiseerde besluitvorming In geval de instelling gebruik maakt van geautomatiseerde individuele besluitvorming (geautomatiseerde besluitvorming) zal zij: geen geautomatiseerde beslissingen laten nemen over de betrokkene zonder dat bij die beslissing een natuurlijk persoon namens de instelling betrokken is, tenzij de betrokkene instemt met een geautomatiseerde beslissing zonder menselijke interventie; en er aan de betrokkene duidelijke informatie is verstrekt over de wijze van geautomatiseerde besluitvorming, en de betrokkene de mogelijkheid heeft o zijn standpunt en visie over het besluit en besluitvormingsproces te geven, en o in verweer te komen tegen een dergelijke geautomatiseerde beslissing; en bij de geautomatiseerde besluitvorming geen gebruik maken van bijzondere persoonsgegevens. Toelichting: Bij geautomatiseerde besluitvorming, vaak ook wel profilering genoemd, is er sprake van elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van die persoonsgegevens bepaalde persoonlijke aspecten van een onderwijsdeelnemer worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen. Het betreft een geautomatiseerde verwerking (en vergelijking) van verschillende soorten persoonsgegevens. Bijvoorbeeld om een betrokkene te evalueren, classificeren of een beslissing over die betrokkene te nemen. De instelling zal bij het inzetten van geautomatiseerde besluitvorming geen geautomatiseerde beslissingen laten nemen over de betrokkene, zonder dat bij die beslissing een medewerker namens de instelling zeggenschap heeft over deze besluitvorming. Aan betrokkenen moet voorafgaand aan de geautomatiseerde besluitvorming informatie zijn verstrekt over de wijze van geautomatiseerde besluitvorming, en de betrokkene de mogelijkheid heeft om tegen een dergelijke geautomatiseerde beslissing bezwaar aan te tekenen. Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6) Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 Er is geen beleid voor geautomatiseerde besluitvorming. (Ad hoc / initieel) Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Er is een vastgesteld beleid geautomatiseerde besluitvorming. Evidence: 1. Kopie beleid voor geautomatiseerde besluitvorming; 2. Kopie verklaring van College van Bestuur waarin staat dat het beleid voor geautomatiseerde besluitvorming is vastgesteld. Volwassenheidsniveau 3 (gedefinieerd proces) Er is een vastgesteld beleid voor geautomatiseerde besluitvorming dat bekend is bij alle medewerkers van de mbo instelling. Evidence in aanvulling op 2: 1. Kopie nieuwsbrief waar beleid voor geautomatiseerde besluitvorming is gecommuniceerd met alle medewerkers en deelnemers; 2. Kopie trainingsaanbod Geautomatiseerde besluitvorming aan de medewerkers die betrokken zijn bij dit beleid; 3. Kopie overzicht aanwezigheidslijst van deelnemers trainingsaanbod Geautomatiseerde besluitvorming. IBPDOC7, versie 2.0 Pagina 34 van 69

35 Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): Het vastgestelde beleid voor geautomatiseerde besluitvorming wordt jaarlijks aangepast naar aanleiding van gesignaleerde tekortkomingen of op basis van veranderende wet- en regelgeving, Evidence in aanvulling op 3: 1. Kopie overzicht bevindingen gesignaleerde tekortkomingen op het beleid; 2. Kopie aanbevelingen op basis van bevindingen tekortkomingen door de Functionaris Gegevensbescherming; 3. Kopie goedkeuring aanpassingen beleid voor geautomatiseerde besluitvorming door College van Bestuur. Toekomstige ontwikkelingen en best practices op het gebied van geautomatiseerde besluitvorming worden nauwgezet gevolgd door de mbo instelling. Evidence in aanvulling op 4: 1. Kopie toekomstige ontwikkelingen op het gebied van privacy die in de nabije toekomst van invloed zijn op het beleid voor geautomatiseerde besluitvorming. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 35 van 69

36 P.9: Informatiebeveiliging Toetsingskader Privacy (pluscluster 7) Cluster: Beleid en organisatie P9 WBP; AVG 5, 32 Informatiebeveiliging De instelling neemt passende technische of organisatorische maatregelen op een dusdanige manier dat de passende beveiliging van persoonsgegevens gewaarborgd is. De integriteit en vertrouwelijkheid van de persoonsgegevens moet gegarandeerd zijn. Verwerkte persoonsgegevens zijn beveiligd tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze beveiliging is afhankelijk van de stand van de techniek, de uitvoeringskosten, alsook de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de privacy van de onderwijsdeelnemers. Bij de beveiliging wordt aangesloten bij algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging. Toelichting: De bescherming van gegevens en privacy wordt bewerkstelligd overeenkomstig relevante wetgeving, voorschriften en (indien van toepassing) contractuele bepalingen. De persoonsgegevens worden beveiligd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Dit statement wordt gekoppeld aan het informatiebeveiligingsbeleid zoals dat ontwikkeld is door sambo-ict (MBO-Raad) en Kennisnet, op basis ISO 27001/2 als internationaal erkende informatiebeveiliging standaard. Vanaf 25 mei 2018 is het verplicht om te voorzien in een procedure om regelmatig de genomen beveiligingsmaatregelen te testen, beoordelen en te evalueren. Relevante ibp documenten: Toetsingskader ib: clusters 1 t/m 6 (IBPDOC3) en Model informatiebeveiligingsen privacy beleid voor de mbo sector (IBPDOC6) Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Er is geen beleid voor de beveiliging van persoonsgegevens. Voor sommige systemen zijn ad hoc maatregelen genomen. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Er is beleid en er zijn maatregelen beschreven en formeel vastgelegd, Er is geen baseline (minimum niveau). Evidence: 1. Kopie van het informatiebeveiligingsbeleid. 2. Kopie goedkeuring informatiebeveiligingsbeleid door het College van Bestuur.. Er is beleid vastgesteld en dit wordt nageleefd. Het volwassenheidsniveau van alle statements in het toetsingskader is tenminste niveau 2 (opzet en bestaan en beperkte werking). Evidence: 1. Kopie interne audit op basis van het toetsingskader informatiebeveiliging van het mbo waarbij aantoonbaar, op basis van evidence (evidence), tenminste op ieder statement het volwassenheidsniveau 2 wordt behaald; 2. Kopie projectplan waarbij wordt beschreven op welke manier de statements die van belang zijn voor het privacy beleid binnen 2 jaar op volwassenheidsniveau 3 worden beoordeeld tijdens een interne audit. Er is beleid vastgesteld en dit wordt nageleefd. Evidence in aanvulling op 3: 1. Kopie interne audit op basis van het toetsingskader informatiebeveiliging van het mbo waarbij aantoonbaar, op basis van evidence (evidence), tenminste op ieder statement een volwassenheidsniveau is bepaald en (wordt) gerealiseerd. IBPDOC7, versie 2.0 Pagina 36 van 69

37 Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): Het proces en het privacy beleid is ingericht conform externe best practices. Het beleid wordt periodiek geëvalueerd en zo nodig bijgesteld. Men houdt in het proces in de gaten wanneer gebruik, regels en voorschriften veranderen en past het beleid hier op aan. Het proces maakt onderdeel uit van een gestandaardiseerd en geïntegreerd extern (peer-) audit en compliance proces. Evidence in aanvulling op 4: 1. Kopie waaruit blijkt welke best-practices gehanteerd. 2. Kopie van het externe (peer-) audit en compliance proces. 3. (Vanaf 25 mei 2018:) Er is voorzien in een procedure om op vaste tijden de genomen beveiligingsmaatregelen te testen, beoordelen en te evalueren op doeltreffendheid. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 37 van 69

38 P.10: Bewerkersovereenkomsten Toetsingskader Privacy (pluscluster 7) Cluster: Beleid en organisatie P10 WBP 6.7 (ISO ); AVG 28 Bewerkersovereenkomsten Met alle leveranciers die als bewerker voor of namens de instelling persoonsgegevens (van deelnemers, medewerkers en externen) verwerken, worden bewerkersovereenkomsten gesloten waarin alle wettelijk vereiste afspraken zijn vastgesteld. Toelichting: De Wbp gaat er van uit dat een onderwijsinstelling als verantwoordelijke voor de gegevensbescherming, afspraken maakt met alle derden (bijvoorbeeld leveranciers) die beschikking krijgen over persoonsgegevens afkomstig van de onderwijsinstelling. Deze afspraken moeten worden vastgelegd in een overeenkomst: de bewerkersovereenkomst. In het mbo is er een bewerkingsovereenkomst die gebruikt kan worden. Voor het mbo is er een modelbewerkersovereenkomst opgesteld die kan worden gebruikt voor leveranciers van digitaal leermateriaal of school- en studentinformatiesystemen. Dit is Bewerkersovereenkomst mbo versie (IBPDOC28). Vanaf 25 mei 2018 dient de bewerkersovereenkomst ten minste de volgende elementen te bevatten: a) Het onderwerp van de bewerkersovereenkomst; b) de duur van de verwerking; c) aard en het doel van de verwerking; d) het soort en categorieën persoonsgegevens; e) de rechten en verplichtingen van de verantwoordelijke en bewerker; f) de instructie dat de bewerker alleen na uitdrukkelijke opdracht en instructie van de verantwoordelijke persoonsgegevens van de onderwijsinstelling zal verwerken; g) de betrokken medewerkers van bewerker verplicht zijn tot geheimhouding van de persoonsgegevens die de onderwijsinstelling met de bewerker deelt; h) de gegevens moeten beveiligd zijn; i) de contractuele bepalingen onverkort gelden voor door de bewerker ingeschakelde subbewerkers; j) de verplichting van bewerker om medewerking te verlenen indien een deelnemer zijn rechten wenst uit te oefenen; k) na afloop van de overeenkomst met bewerker worden de door verantwoordelijke persoonsgegevens teruggegeven of vernietigd (behoudens een op bewerker rustende wettelijke bewaarplicht); l) medewerking verlenen aan door de verantwoordelijke uit te voeren inspecties en audits. Relevant ibp document: Bewerkersovereenkomst mbo (IBPDOC29) Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) De diensten, rapporten en registraties die door een derde partij worden geleverd, worden niet gecontroleerd of beoordeeld en er worden geen audits uitgevoerd. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Er zijn alleen incidentele, ad hoc of niet-juridische dekkende afspraken met leveranciers die deelnemersgegevens ontvangen. De diensten, rapporten en registraties die door een derde partij worden geleverd, worden opgeslagen in een registratiesysteem en gebruikt om achteraf bij te kunnen sturen. Ze worden niet regelmatig gecontroleerd en beoordeeld. Er worden alleen ad hoc audits uitgevoerd, bv tijdens een algehele audit van het door de dienst van de derde partij ondersteunde business proces. Evidence: 1. Kopie of rapportage uit het registratiesysteem. 2. Kopie afspraken leveranciers. IBPDOC7, versie 2.0 Pagina 38 van 69

39 Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Er is een getekende bewerkersovereenkomst met alle derden (leveranciers) die van de onderwijsinstelling persoonsgegevens van deelnemers ontvangen, en de overeenkomst bevat alle vereiste onderdelen. De diensten, rapporten en registraties die door een derde partij worden geleverd, worden regelmatig gecontroleerd en beoordeeld en er worden regelmatig audits uitgevoerd. Het management realiseert zich dat de eindverantwoordelijkheid voor de informatie bij de eigen organisatie berust. Evidence in aanvulling op 2: 1. Kopie bewerkersovereenkomsten. 2. Kopie proces "contractmanagement" van de organisatie; 3. Kopie procesbeschrijving van het controleren en beoordelen van dienstverlening door een derde partij; 4. Kopie van informatie waaruit blijkt dat de organisatie het heeft gecontroleerd en beoordeeld. Te denken aan: kopie rapportage (evaluatie?) van het prestatieniveau van de dienstverlening, kopie dienstverleningsrapport die opgesteld is door derde partij, kopie auditbevindingen. De bewerkersovereenkomsten worden regelmatig op termijnen en er wordt gecontroleerd of de geleverde diensten nog conform de afspraken in het contract worden afgenomen (er worden niet meer of minder gegevens geleverd). De diensten, rapporten en registratie worden regelmatig gecontroleerd en beoordeeld en er worden regelmatig audits uitgevoerd. De dienstverleningsrapporten en auditbevindingen worden verwerkt in verbeterplannen. Evidence in aanvulling op 3: 1. Kopie analyse bewerkersovereenkomsten (bijvoorbeeld contractenregister of overzicht met aflopende bewerkersovereenkomsten). 2. Evaluatie en controle van bewerkingen die de leverancier uitvoert, ten opzichte van de in de bewerkersovereenkomst opgenomen bewerkingen; 3. Kopie verbeterplannen die door de derde partij worden geleverd. De diensten, rapporten en registraties die door de derde partij worden geleverd, worden regelmatig gecontroleerd en beoordeeld en er worden regelmatig audits uitgevoerd. De dienstverleningsrapporten en auditbevindingen worden verwerkt in verbeterplannen. De dienstverlening wordt periodiek geëvalueerd ten opzichte van het ondersteunde business proces en de dienstverleningscontracten worden zo nodig geoptimaliseerd. Evidence in aanvulling op 4: 1. Evaluatierapport. IBPDOC7, versie 2.0 Pagina 39 van 69

40 Beoordeling (aanwezigen, datum en locatie): Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 40 van 69

41 4.2 Personeel, deelnemers en gasten P.11: Transparantie privacy beleid Toetsingskader Privacy (pluscluster 7) Cluster: Personeel, deelnemers en gasten P11 AVG 5, 12 Transparantie privacy beleid De instelling informeert de (ouders van) deelnemers en medewerkers van wie persoonsgegevens worden verwerkt, beknopt, transparant, eenvoudig toegankelijk en begrijpelijk in duidelijke en eenvoudige taal over het privacy beleid en de rechten en verplichtingen van betrokkenen. Toelichting: Er is een organisatie breed beleid ontwikkeld hoe er met persoonsgegevens wordt omgegaan, wat de doelen zijn, en wat de rechten en plichten zijn. Er is ook duidelijk hoe lang de gegevens worden bewaard, en met wie de gegevens zijn/worden gedeeld. De rechten en plichten van de instelling, deelnemers en medewerkers zijn nader omschreven in een privacy reglement. Openheid en transparantie over de gegevensverwerking is uitgangspunt. Deze informatie wordt bekend gemaakt via een door het College van Bestuur vast te stellen privacy reglement (opgenomen in de studiegids of bijvoorbeeld op de website). Naast algemene informatie over het privacy beleid van de instelling, wordt iedere deelnemer van wie persoonsgegevens worden gevraagd of verzameld, gewezen op het privacy beleid van de instelling. Dit gebeurt onder meer door het opnemen van extra toelichting of uitleg bij het aanmeld- en inschrijfformulier. Dit wordt geregeld in statement P.12. Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6) Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Medewerkers en deelnemers (en hun ouders) worden niet geïnformeerd en er is daarvoor geen beleid opgesteld. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Medewerkers en deelnemers (en hun ouders) worden incidenteel of ad hoc geïnformeerd. Evidence: 1. Kopie informatieverstrekking aan medewerkers en deelnemers (en hun ouders). Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Medewerkers en deelnemers (en hun ouders) worden geïnformeerd over de gegevensverwerking door de onderwijsinstelling. Evidence in aanvulling op 2: 1. Kopie website en/of studiegids waarin medewerkers en deelnemers worden geïnformeerd over het privacy beleid. Medewerkers en deelnemers (en hun ouders) worden geïnformeerd over de gegevensverwerking door de onderwijsinstelling. Bestaande medewerkers en deelnemers worden periodiek (ten minste jaarlijks) geïnformeerd over en gewezen op het privacy beleid. Evidence in aanvulling op 3: 1. Kopie berichten (reminders) voor medewerkers en deelnemers; 2. Kopie aanbevelingen van de Functionaris Gegevensbescherming op basis van bevindingen tekortkomingen in de informatieplicht; 3. Indien van toepassing: kopie berichtgeving aanpassingen privacy beleid. IBPDOC7, versie 2.0 Pagina 41 van 69

42 Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): Medewerkers en deelnemers worden uitgebreid geïnformeerd over toekomstige ontwikkelingen op het gebied van privacy beleid. Best practices op het gebied van Informatieplicht worden nauwgezet gevolgd door de mbo instelling. Evidence in aanvulling op 4: 1. Kopie berichtgeving toekomstige ontwikkelingen op het gebied van privacy die in de nabije toekomst van invloed zijn op het beleid Informatieplicht. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 42 van 69

43 P.12: Informatieplicht verwerkingen Toetsingskader Privacy (pluscluster 7) Cluster: Personeel, deelnemers en gasten P12 NIEUW (Wbp); AVG 13 Informatieplicht verwerkingen: De instelling informeert actief, al dan niet met gebruikmaking van door leveranciers geleverde informatie, aan de (ouders van) deelnemers en medewerkers van wie persoonsgegevens worden verwerkt, welke verwerking er in welke informatiesystemen binnen de instelling plaatsvindt en welke maatregelen er zijn getroffen om de privacy van die deelnemer te kunnen waarborgen. Aan de betrokken deelnemers en docenten wordt beknopt, transparant, eenvoudig toegankelijk en begrijpelijk in duidelijke en eenvoudige taal ten minste medegedeeld: De identiteit en contactgegevens van de verantwoordelijke (CvB van de onderwijsinstelling), De contactgegevens van de FG of PO, welke (categorieën) persoonsgegevens worden verwerkt, het doel van de verwerking, of die verwerking beperkt is tot dat wat voor het gestelde doeleinde strikt noodzakelijk is, of persoonsgegevens ook voor andere doeleinden worden verwerkt, wat de bewaar- en vernietigingstermijnen zijn; of persoonsgegevens worden gedeeld met commerciële derden, of persoonsgegevens worden verkocht of verhuurd, of persoonsgegevens gecodeerd worden bewaard. Toelichting: Naast het op hoofdlijnen informeren van de medewerkers en studenten over het algemene privacy beleid en reglement (zie P.11), moeten betrokkenen ook concreet worden geïnformeerd over iedere verwerking hún gegevens. Denk hierbij aan het inschrijfformulier waar een toelichting is bijgesloten over wat er met de persoonsgegevens wordt gedaan (de doeleinden, en bijvoorbeeld met wie de gegevens binnen de instelling worden gedeeld). Het moet voor hen volstrekt helder en begrijpelijk zijn welke gegevens er over hen worden verzameld, en wat er met de gegevens gebeurt. Openheid en transparantie over de gegevensverwerking is ook hier uitgangspunt. Kernbegrippen bij deze communicatie zijn beknopt en duidelijk. De boodschap is afgestemd op de ontvanger. Medewerkers en deelnemers worden geïnformeerd over de soorten verwerkingen zoals een verwijzing naar de door de instelling gebruikte systemen en leveranciers. De bijlage bij de modelbewerkersovereenkomst (IBPDOC28) betreft de privacy bijsluiter waarin leveranciers zelf uiteenzetten welke categorieën persoonsgegevens er worden verwerkt, voor welke doelen. Verwijzing naar deze bijsluiter is dan ook zeker een optie. Voorbeeld reglement als bijlage bij BIV en PIA bekostiging (IBPDOC15). Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Medewerkers en deelnemers (en hun ouders) worden niet geïnformeerd over de verwerkingen waar hun persoonsgegevens bij betrokken zijn en er is daarvoor geen beleid opgesteld. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Volwassenheidsniveau 3 (gedefinieerd proces) Medewerkers en deelnemers (en hun ouders) worden incidenteel of ad hoc geïnformeerd over de verwerkingen waar hun persoonsgegevens bij betrokken zijn. Evidence: 2. Kopie informatieverstrekking aan medewerkers en deelnemers (en hun ouders). Medewerkers en deelnemers (en hun ouders) worden geïnformeerd over de verwerkingen waar hun persoonsgegevens bij betrokken zijn. Evidence in aanvulling op 2: 2. Kopie website en/of studiegids waarin medewerkers en deelnemers worden geïnformeerd over het privacy beleid en/of; 3. Kopie (persoonlijke) berichtgeving aan medewerkers en deelnemers. IBPDOC7, versie 2.0 Pagina 43 van 69

44 Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): Nieuwe medewerkers en deelnemers (en hun ouders) worden geïnformeerd over de verwerkingen waar hun persoonsgegevens bij betrokken zijn. Bestaande medewerkers en deelnemers worden periodiek (ten minste jaarlijks) geïnformeerd over en gewezen op de voor hen relevante verwerkingen. Evidence in aanvulling op 3: 4. Kopie aanbevelingen van de Functionaris Gegevensbescherming op basis van bevindingen tekortkomingen in de informatieplicht; 5. Indien van toepassing: kopie berichtgeving aanpassingen privacy beleid. Medewerkers en deelnemers worden uitgebreid geïnformeerd over toekomstige ontwikkelingen die van invloed zijn op de specifieke verwerkingen van hun persoonsgegevens door de instelling. Best practices op het gebied van Informatieplicht worden nauwgezet gevolgd door de mbo instelling. Evidence in aanvulling op 4: 2. Kopie berichtgeving toekomstige ontwikkelingen op het gebied van privacy die in de nabije toekomst van invloed zijn op het beleid Informatieplicht. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 44 van 69

45 P.13: Rechten betrokkene Toetsingskader Privacy (pluscluster 7) Cluster: Personeel, deelnemers en gasten P13 NIEUW (Wbp); AVG 12, 13, 15, 16, 17, 20 Respecteren rechten van betrokkene De instelling respecteert expliciet de volgende rechten: P.13. a. Deelnemers (dan wel hun ouders) en medewerkers hebben het recht een verzoek te doen ter verbetering, aanvulling, verwijdering of afscherming van hun persoonsgegevens, in het geval dat deze gegevens: feitelijk onjuist zijn, voor het gestelde doeleinde onvolledig of niet ter zake dienend zijn, de verwerking van de persoonsgegevens niet meer nodig is, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. P.13.b De verbetering, aanvulling of verwijdering wordt voor zover redelijkerwijs mogelijk doorgegeven aan alle personen en organisaties die van de onderwijsinstelling hebben ontvangen. P.13.c Deelnemers hebben het recht om geheel te worden vergeten door het verwijderen van alle persoonsgegevens, tenzij de onderwijsinstelling op grond van een wettelijke plicht, of ter vrijwaring van een rechtsvordering deze gegevens moet bewaren. Evenmin worden de gegevens verwijderd indien deze verwijdering een inbreuk op de vrijheid van meningsuiting en informatie oplevert. P.13.d In geval de verwerking van persoonsgegevens plaatsvindt op basis van toestemming of een overeenkomst, heeft de deelnemer heeft recht om de door de onderwijsinstelling verwerkte persoonsgegevens in een gestructureerde, gangbare en machine leesbare vorm te verkrijgen. P.13.e De betrokken deelnemer wordt in kennis gesteld van de door de onderwijsinstelling uitgevoerde handelingen met zijn persoonsgegevens. Toelichting: In vervolg op P.11 en P.12 wordt in het gecommuniceerde privacy beleid van de instelling verwezen naar de rechten en plichten van de deelnemers en medewerkers. Deze rechten moeten zonder belemmering kunnen worden uitgevoerd. Het gaat hierbij om: de betrokkene wordt (vooraf) in begrijpelijke taal actief en laagdrempelig geïnformeerd over de gegevensverwerking; het op verzoek van de betrokkene inzage geven welke persoonsgegevens er worden verwerkt; het op verzoek van betrokkene corrigeren van ontbrekende of verkeerd vastgelegde persoonsgegevens; het op verzoek van betrokkenen verwijderen van persoonsgegevens die niet (langer) nodig zijn om de vastgestelde doelen te behalen; het door betrokkene verzet instellen tegen een verwerking van zijn persoonsgegevens die plaats vond op grond van een gerechtvaardigd belang. Een voorbeeld hiervan is het gebruik van de persoonsgegevens door de leverancier van leermiddelen van de deelnemer, wil niet langer aanbiedingen krijgen en meldt zich af. Het terugkoppelen van eventuele verbetering, aanvulling of verwijdering aan alle personen en organisaties die de gegevens hebben ontvangen van de deelnemer. De betrokkene krijgt terugkoppeling van de door de onderwijsinstelling verrichte handelingen. Deze rechten moeten binnen een redelijke tijd worden uitgeoefend, zonder dat de betrokkene een buitensporige vergoeding hoeft te betalen. De verstrekte informatie moet gemakkelijk leesbaar en begrijpelijk zijn. Met betrekking tot het recht op wissing van alle persoonsgegevens, zal een onderwijsinstelling niet aan dat verzoek kunnen voldoen zolang er een wettelijke bewaarplicht loopt. Dat neemt niet weg dat het dossier moet worden geschoond en ontdaan van alle persoonsgegevens die niet onder een wettelijke bewaarplicht vallen. De onderwijsdeelnemer heeft ook het recht op een export of download van zijn gegevens uit de administraties van de onderwijsinstelling, in het geval de verwerking van de persoonsgegevens plaatsvindt op basis van toestemming of een onderwijsovereenkomst (OOK). Het betreft slechts gegevens uit geautomatiseerde systemen. IBPDOC7, versie 2.0 Pagina 45 van 69

46 Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Deelnemers en medewerkers worden niet (actief) gewezen op hun rechten. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Medewerkers en deelnemers (en hun ouders) worden incidenteel of ad hoc geïnformeerd over hun rechten. Evidence: 3. Kopie informatieverstrekking aan medewerkers en deelnemers (en hun ouders). Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): Medewerkers en deelnemers (en hun ouders) worden actief geïnformeerd over hun rechten. Evidence in aanvulling op 2: 4. Kopie website en/of studiegids waarin medewerkers en deelnemers worden geïnformeerd over het privacy beleid en/of; 5. Kopie (persoonlijke) berichtgeving aan medewerkers en deelnemers. Alle nieuwe medewerkers en deelnemers (en hun ouders) worden actief geïnformeerd over hun rechten. Bestaande medewerkers en deelnemers worden periodiek (ten minste jaarlijks) geïnformeerd over en gewezen op de voor hen relevante rechten. Evidence in aanvulling op 3: 6. Kopie (persoonlijke) berichtgeving aan medewerkers en deelnemers; 7. Kopie aanbevelingen van de Functionaris Gegevensbescherming op basis van bevindingen tekortkomingen in de informatieplicht; 8. Indien van toepassing: kopie berichtgeving aanpassingen privacy beleid. Medewerkers en deelnemers worden uitgebreid geïnformeerd over toekomstige ontwikkelingen die van invloed zijn op hun rechten. Best practices op het gebied van de rechten van de medewerkers en deelnemers worden nauwgezet gevolgd door de mbo instelling. Evidence in aanvulling op 4: 3. Kopie berichtgeving toekomstige ontwikkelingen op het gebied van privacy die in de nabije toekomst van invloed zijn op het beleid Informatieplicht. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 46 van 69

47 P.14: Arbeidsvoorwaarden Toetsingskader Privacy (pluscluster 7) Cluster: Personeel, deelnemers en gasten P14 AVG 2.1 (ISO 7.1.2); AVG 9, 38, 90 Arbeidsvoorwaarden In de contractuele overeenkomst met medewerkers en contractanten zijn hun (eventuele) verantwoordelijkheden voor privacy opgenomen. In deze overeenkomst is voorzien in een vertrouwelijkheids- of geheimhoudingsbeding ten aanzien van de verwerkte persoonsgegevens. Toelichting: Als onderdeel van hun contractuele verplichting behoren werknemers, ingehuurd personeel en externe gebruikers de algemene voorwaarden te aanvaarden en te ondertekenen van hun arbeidscontract, waarin hun verantwoordelijkheden en die van de organisatie ten aanzien van privacy behoren te zijn vastgelegd. (Er mag een gedragscode worden gebruikt om de verantwoordelijkheden van gebruikers te dekken ten aanzien van vertrouwelijkheid, gegevensbescherming, ethiek, passend gebruik van voorzieningen enz. Ingehuurde of gedetacheerde gebruikers zijn verbonden met een externe organisatie, die op haar beurt weer verplicht kan zijn om contracten af te sluiten namens de ingehuurde persoon). Een FG is met betrekking tot de uitvoering van zijn taken volgens wetgeving tot geheimhouding en vertrouwelijkheid gehouden. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Er zijn geen afspraken vastgelegd, werknemers handelen op eigen initiatief, het is niet duidelijk wat de verantwoordelijkheden zijn, de algemene voorwaarden zijn niet algemeen bekend. Processen en werkwijzen voor aanvaarding van eigen verantwoordelijkheden en die van de organisatie door werknemers, ingehuurd personeel en externe gebruikers ten aanzien van privacy worden op adhoc basis benaderd. Er is geen sprake van een vastomlijnd proces of beleid. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Volwassenheidsniveau 3 (gedefinieerd proces) Er zijn bepaalde afspraken vastgelegd maar nog niet opgenomen in de arbeidsvoorwaarden. Er verschijnen gelijksoortige en gemeenschappelijke processen voor aanvaarding van eigen verantwoordelijkheden en die van de organisatie door werknemers, ingehuurd personeel en externe gebruikers ten aanzien van privacy, maar deze zijn grotendeels intuïtief vanwege het individuele karakter van de expertise. Bepaalde aspecten van het proces zijn reproduceerbaar vanwege die individuele expertise, en er kan sprake zijn van enige documentatie en een zeker begrip van beleid en procedures. Evidence: 1. Kopie van mogelijk beschikbaar beleid en procedures; 2. Kopie van gedragscode(s) in het kader van privacy. Er zijn organisatie breed afspraken die door medewerkers moeten worden ondertekend. Langzaamaan worden steeds vaker best practices toegepast voor aanvaarding van eigen verantwoordelijkheden en die van de organisatie door werknemers, ingehuurd personeel en externe gebruikers ten aanzien van privacy. Voor alle belangrijke activiteiten worden proces, beleid en procedures gedefinieerd en gedocumenteerd. Evidence in aanvulling op 2: 1. Kopie cao, regelingen personeel, beleid, procesbeschrijving waarin de organisatie brede afspraken zijn opgenomen; 2. Kopie werkinstructies/ gedragscode; 3. Kopie (geanonimiseerd) arbeidscontract indien de algemene voorwaarden m.b.t. privacy daarin zijn vastgelegd. IBPDOC7, versie 2.0 Pagina 47 van 69

48 Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): Langzaamaan worden steeds vaker best practices toegepast voor aanvaarding van eigen verantwoordelijkheden en die van de organisatie door werknemers, ingehuurd personeel en externe gebruikers ten aanzien van privacy. Voor alle belangrijke activiteiten worden proces, beleid en procedures gedefinieerd en gedocumenteerd. Periodiek vindt evaluatie plaats (PDCA). Evidence in aanvulling op 3: 1. Informatie over periodieke evaluatie en herziening van proces en procedures. Er worden externe best practices en normen toegepast voor aanvaarding van eigen verantwoordelijkheden en die van de organisatie ten aanzien van privacy. De procesdocumentatie is geëvolueerd tot een stelsel van geautomatiseerde work flows. Processen, beleid en procedures zijn gestandaardiseerd en geïntegreerd, ten behoeve van een effectief beheer en verbeteringen in alle stadia. Evidence in aanvulling op 4: 1. Kopie beleid waaruit blijkt dat externe best practices zijn opgenomen; 2. Kopie beschrijving workflow proces(sen); 3. Kopie procesgegevens workflow. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 48 van 69

49 P.15: Bewustzijn, opleiding en training ten aanzien van privacy Cluster: Personeel, deelnemers en gasten P15 AVG 2.2 (ISO 7.2.2); AVG 39 Bewustzijn, opleiding en training ten aanzien van privacy Alle interne en externe medewerkers van de organisatie behoren een passende bewustzijnsopleiding en - training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. De FG is hierbij betrokken. Toelichting: Alle werknemers, ingehuurd personeel en externe gebruikers moeten bewust worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, en over de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen. Zij behoren geschikte training en regelmatige bijscholing te krijgen met betrekking tot beleid en procedures van de organisatie, voor zover relevant voor hun functie. Bewustmakingstrainingen, bijv. een introductieprogramma waarin de verwachtingen van de organisatie worden behandeld voordat toegang wordt verleend tot informatie of diensten, behoort tot de mogelijkheden. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Het is niet duidelijk welke procedures gelden en voor wie dit relevant is. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Voor kritieke terreinen zijn minimale eisen t.a.v. vaardigheden vastgesteld. Training wordt pas aangeboden als daar behoefte aan blijkt te bestaan en niet op basis van een overeengekomen plan; de opleiding bestaat deels uit informele praktijktraining. Evidence: 1. Kopie van vaardigheidseisen die gesteld worden aan functies voor informatiebeveiliging; 2. Kopie van (informele) praktijktrainingen voor privacy. Op alle terreinen zijn de benodigde vaardigheden bekend en benoemd. Er is een formeel opleidingsplan opgesteld, de formele training gaat echter nog uit van afzonderlijke initiatieven. Evidence in aanvulling op 2: 1. Kopie recente opleidingsplan; 2. Kopie lijst met opgestelde cursussen en bijscholingen; 3. Kopie documentatie (nieuwsbrief, flyers of aankondigingen) m.b.t. het aanmelden van de cursussen; 4. Kopie enkele materialen van recente cursussen. Voor alle terreinen worden de vaardigheidsvereisten stelselmatig bijgehouden; op alle kritieke gebieden is de deskundigheidsbevordering gewaarborgd en certificering wordt aangemoedigd. Er worden volwaardige trainingstechnieken toegepast. Evidence: in aanvulling op niveau 3: 1. trainingstechnieken worden toegepast conform het opleidingsplan, en kennisdeling wordt bevorderd (recente training). Alle personen met specifieke kennis worden hierbij betrokken en de effectiviteit van het opleidingsplan wordt beoordeeld. (evaluatie training) IBPDOC7, versie 2.0 Pagina 49 van 69

50 Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): De organisatie hanteert een formeel proces voor het stimuleren van voortdurende vaardigheidsverbetering, gebaseerd op heldere persoonlijke en organisatie brede doelstellingen. Training en opleiding ondersteunen externe best practices en het gebruik van geavanceerde concepten en technieken. Kennisdeling is onderdeel van de bedrijfscultuur en vervat in geïntegreerde bedrijfssystemen. Advies wordt ingewonnen van externe deskundigen en vooraanstaande sectorgenoten. Evidence in aanvulling op 4: 1. Cursussen en trainingen voldoen aan externe best practices en het gebruik van geavanceerde concepten en technieken m.b.t. informatiebeveiliging; 2. Kopie adviezen van externe deskundigen m.b.t. informatiebeveiliging. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 50 van 69

51 4.3 Ruimte en apparatuur P.16: Verwijderen van persoonsgegevens Cluster: Ruimte en apparatuur P16 ; AVG 5 Verwijderen van persoonsgegevens: van apparatuur die niet langer wordt gebruikt, worden de op het apparaat aanwezige persoonsgegevens op een betrouwbare en veilige wijze vernietigd. Vernietiging is mogelijk door vernietiging van de gegevensdrager zelf. In geval van vernietiging door een derde, geeft deze een verklaring af aangaande de vernietiging. Toelichting: In het informatiebeveiligingsbeleid zijn statemens en procedures opgenomen over vernietiging van niet-langer in gebruik zijnde apparatuur. In aanvulling hierop gelden er aparte regels als er op gegevensdragers persoonsgegevens staan. Van de vernietiging dient bewijs te zijn dat de gegevens vernietigd zijn als dit door een extern bedrijf geschiedt. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 Naar eigen inzicht, op individueel niveau. (Ad hoc / initieel) Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Voor specifieke gegevens dragers zijn afspraken gemaakt bij vernietiging van apparatuur en gegevensdragers, maar nog niet voor alle gegevensdragers. Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) De vernietiging van de apparatuur geschiedt gestructureerd waarbij de vernietiging altijd gedocumenteerd wordt. Ook in geval van vernietiging door de instelling zelf, wordt deze vernietiging gedocumenteerd. Bij vernietiging door een derde, wordt de vernietiging actief gevolgd en wordt voor opvolging gezorgd indien de benodigde verklaring niet wordt afgegeven. Evidence: 1. Kopie procedurebeschrijving voor verwijderen van apparatuur; 2. Kopie van informatie waaruit blijkt dat de organisatie conform het procedurebeschrijving heeft uitgevoerd. Te denken aan: kopie contractovereenkomst met een goedgekeurde verwijderbedrijf; kopie checklist bij het verwijderen van apparatuur; kopie getekende verklaring van vernietiging door (interne) medewerker; kopie van een registerlijst met alle verwijderde apparatuur met verwijzing van het gebruik (welk type gegevens aanwezig was op de apparatuur). Evidence in aanvulling op 3: 1. Er is een gedegen en volledig proces, PDCA belegd, en er worden interne best practices toegepast. Alle aspecten van het proces zijn gedocumenteerd en reproduceerbaar. Beleidsvoorschriften zijn goedgekeurd en bekrachtigd door het management. Er vinden regelmatige controles plaats op de effectiviteit van de beveiligingsmaatregelen. Evidence in aanvulling op 4: 1. Er worden externe best practices en normen toegepast. De procesdocumentatie is geëvolueerd tot een stelsel van geautomatiseerde work flows. Processen, beleid en procedures zijn gestandaardiseerd en geïntegreerd, ten behoeve van een effectief beheer en verbeteringen in alle stadia. IBPDOC7, versie 2.0 Pagina 51 van 69

52 Beoordeling (aanwezigen, datum en locatie): Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 52 van 69

53 4.4 Vertrouwelijkheid en integriteit P.17: Datakwaliteit Toetsingskader Privacy (pluscluster 7) Cluster: Continuïteit P17 WBP NIEUW ; AVG 5, 32 Datakwaliteit De verantwoordelijke gaat zorgvuldig om met de verwerkte persoonsgegevens en waarborgt het behoud en bescherming van de juistheid en de consistentie van die gegevens. Toelichting: Datakwaliteit is een uitvloeisel van informatiebeveiligings- en privacy beleid. Met de introductie van de AVG (die per 25 mei 2018 in werking treedt), is een grotere nadruk komen te liggen op integriteit van data. Dataintegriteit maakt daarom onderdeel uit van de vijf (herziene) vuistregels voor privacy (zie statement P.3). De datakwaliteit wordt allereerst bepaald door de medewerkers maar zeker ook door de gebruikte applicaties. De onderwijsinstelling moet er voor zorgen dat de gegevens juist zijn en zo nodig worden geactualiseerd. Alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren. Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6) Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Er is geen beleid voor het waarborgen van de datakwaliteit. Voor sommige systemen zijn ad hoc maatregelen genomen. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) De datakwaliteit (integriteit) wordt incidenteel getoetst op juistheid, volledigheid en tijdigheid. Er is geen algemeen beleid. De datakwaliteit wordt alleen gegarandeerd in het kader van de bekostiging. Evidence: 1. Kopie waaruit blijkt dat de bekostigingsgegevens door de externe accountant zijn voorzien van een goedkeurende verklaring. Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): De datakwaliteit (integriteit) wordt instelling breed getoetst op juistheid, volledigheid en tijdigheid. Er is een algemeen beleid. De integriteit wordt nagestreefd voor alle data. Evidence in aanvulling op 2: 1. Kopie interne audit op datakwaliteit van alle bestanden plus aanbevelingen. De datakwaliteit (integriteit) wordt instelling breed getoetst op juistheid, volledigheid en tijdigheid. Er is een algemeen beleid. De integriteit wordt gegarandeerd voor alle data. Evidence in aanvulling op 3: 1. Kopie interne audit op datakwaliteit van alle bestanden. 2. Kopie aanbevelingen voor aanpassing applicaties zodat integriteit gewaarborgd blijft. 3. Kopie goedkeuring College van Bestuur voor nieuw beleid in het kader van Datakwaliteit. Externe best practices worden bestudeerd en meegenomen in toekomstig beleid. Evidence in aanvulling op 4: 1. Kopie toekomstig beleid op het gebied van datakwaliteit. Bevindingen: Documenten: Interviews: IBPDOC7, versie 2.0 Pagina 53 van 69

54 Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 54 van 69

55 P.18: Datalek Toetsingskader Privacy (pluscluster 7) Cluster: Continuïteit P18 WBP 1.20 (ISO ) Emergency Response team; AVG 33 Datalek In geval van een inbreuk in verband met de (beveiliging van) persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens, En die inbreuk houdt een risico in voor de rechten en vrijheden van betrokkenen, dan meldt de verantwoordelijke de inbreuk bij de AP zo snel mogelijk, doch uiterlijk binnen 72 uur nadat de inbreuk bekend is geworden. Deze inbreuk wordt aan getroffen betrokkenen gemeld indien de inbreuk een waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. De getroffen deelnemers en medewerkers worden geïnformeerd over de aard van de inbreuk, en de gevolgen van de inbreuk op hun privacy. Toelichting: Een inbreuk in verband met persoonsgegevens, is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Er is een beleid voor datalekken (calamiteiten). De AP heeft een meldingsprocedure in een richtlijn opgenomen die moet worden gevolgd. Aangezien de gestelde termijnen kort zijn, en ook in geval van vakanties onverkort gelden, is het belangrijk dat de procedures bij datalekken goed zijn ingeregeld en optimaal werken. Indien de instelling al aan incident management doet dan moet expliciet rekening gehouden worden met datalekken. De tekst van het statement is aangepast aan de AVG. IBPDOC15 Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Er is geen beleid voor bescherming van persoonsgegevens. Voor sommige systemen zijn ad hoc maatregelen genomen. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Er zijn afspraken over maatregelen maar die zijn niet formeel vastgelegd. Ze zijn specifiek ingericht op afdelingsniveau of in een bepaald bedrijfsproces en zijn intuïtief, gebaseerd op individuele kennis en expertise. Evidence (indien beschikbaar): 1. Inrichtings- of procesdocumenten waaruit blijkt dat er specifieke maatregelen genomen zijn. Volwassenheidsniveau 3 (gedefinieerd proces) Er is beleid vastgesteld en dit wordt nageleefd. Evidence: 1. Kopie goedgekeurde beleid voor bescherming van persoonsgegevens; 2. Kopie van informatie waaruit blijkt dat het beleid met de medewerkers zijn gecommuniceerd (te denken aan flyers, presentaties); 3. Kopie (/referentie naar) nationale wet- en regelgeving zodat aantoonbaar is dat de organisatie de wet heeft gehanteerd (cross reference tussen registratie en regelgeving). IBPDOC7, versie 2.0 Pagina 55 van 69

56 Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): Er is een proces ingericht wat de toepassing van het beleid waarborgt. Daarin wordt onder andere zorg gedragen voor actualisatie van: welk CvB lid eindverantwoordelijk is; bij welke functionaris de rol/functie van Functionaris voor de Gegevensbescherming (FG) is belegd; wie de gegevensverwerkers zijn; hoe betrokkenen in staat zijn invloed uit te oefenen op wat er met hun persoonsgegevens gebeurt en hoe daarop wordt toegezien. Evidence in aanvulling op 3: 1. Kopie van een actueel overzicht van de procesonderwerpen. Het proces en het privacy beleid is ingericht conform externe best practices. Het beleid wordt periodiek geëvalueerd en zo nodig bijgesteld. Men houdt in het proces in de gaten wanneer gebruik, regels en voorschriften veranderen en past het beleid hier op aan. Het proces maakt onderdeel uit van een gestandaardiseerd en geïntegreerd intern audit en compliance proces. Evidence in aanvulling op 4: 1. Kopie waaruit blijkt welke best-practices gehanteerd worden (bv. richtsnoer informatiebeveiliging van het CBP, aangevuld met branche specifieke afspraken.); 2. Kopie van het interne audit en compliance proces. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 56 van 69

57 P.19: Toegang tot bijzondere persoonsgegevens Toetsingskader Privacy (pluscluster 7) Cluster: Vertrouwelijkheid en integriteit P19 WBP 5.5 (ISO 9.2.3), 5.6 (ISO 9.2.4), 5.7 (ISO 9.3.1) en 5.8 (ISO 9.4.1); AVG 9, 22, 32 Bijzondere persoonsgegevens Bij verwerking van bijzondere persoonsgegevens neemt de instelling (extra) passende, consequente en specifieke maatregelen om de veiligheid van de gegevens te garanderen. Het gebruik van deze bijzondere gegevens blijft beperkt tot alleen die gevallen dat de informatie strikt noodzakelijk en evenredig is. Toelichting: Bij het gebruik van bijzondere persoonsgegevens wordt expliciet gemotiveerd waarom deze noodzakelijk zijn. Het gebruik van deze gegevens, en de toegang daartoe, vraagt om aparte beveiligingsmaatregelen. Dit betreft de volgende statements uit het toetsingskader IB mbo: 5.5 Beheren van speciale toegangsrechten: Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst. 5.6 Beheer van geheime authenticatie-informatie van gebruikers: Het toewijzen van geheime authenticatieinformatie behoort te worden beheerst via een formeel beheersproces. 5.7 Geheime authenticatie-informatie gebruiken: Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie informatie houden aan de praktijk van de organisatie. 5.8 Beperking toegang tot informatie: Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 Er is geen beleid voor bescherming van persoonsgegevens. Voor sommige systemen zijn ad hoc maatregelen (Ad hoc / initieel) genomen. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) De statements 5.5, 5.6, 5.7 en 5.8 uit het toetsingskader Informatiebeveiliging worden op het volwassenheidsniveau 1 of 2 beoordeeld. Evidence (indien beschikbaar): 1. Kopie van de interne audit waarbij op basis van bewijzen (evidence) het volwassenheidsniveau 1 of 2 wordt aangetoond. De statements 5.5, 5.6, 5.7 en 5.8 uit het toetsingskader Informatiebeveiliging worden op het volwassenheidsniveau 2 beoordeeld. Bovendien is er een plan van aanpak beschikbaar met het doel om binnen twee jaar het volwassenheidsniveau 3 te realiseren. Evidence: 1. Kopie van de interne audit waarbij op basis van bewijzen (evidence) het volwassenheidsniveau 2 wordt aangetoond. 2. Kopie plan van aanpak waarbij de doelstelling geformuleerd wordt om binnen 2 jaar het volwassenheidsniveau 3 te bereiken. De statements 5.5, 5.6, 5.7 en 5.8 uit het toetsingskader Informatiebeveiliging worden op het volwassenheidsniveau 3 beoordeeld. Evidence in aanvulling op 3: 1. Kopie van de interne audit waarbij op basis van bewijzen (evidence) het volwassenheidsniveau 3 wordt aangetoond. Tenminste 2 van de statements 5.5, 5.6, 5.7 en 5.8 uit het toetsingskader Informatiebeveiliging worden op het volwassenheidsniveau 4 beoordeeld. Evidence in aanvulling op 4: 1. Kopie van de interne audit waarbij op basis van bewijzen (evidence) tenminste voor 2 statements het volwassenheidsniveau 4 wordt aangetoond. IBPDOC7, versie 2.0 Pagina 57 van 69

58 Beoordeling (aanwezigen, datum en locatie): Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 58 van 69

59 4.5 Controle en Logging P.20: Privacy in informatiesystemen Cluster: Controle en Logging P20 WBP 1.5 (ISO 6.1.5); AVG 25 Privacy in informatiesystemen Bij het gebruiken en/of ontwerpen van informatiesystemen die persoonsgegevens van deelnemers en medewerkers verwerken, worden privacy regels zoals privacy by design en privacy by default in die systemen aangehouden en zo mogelijk ingebouwd: Gegevensminimalisatie af te dwingen (zo min mogelijk vrije velden). Transparantie over gebruik van gegevens Afschermen van de identiteit (pseudonimisering) Gebruik sticky policies Data tracking (waaronder logging). Toelichting: Gegevensbescherming door ontwerp (privacy by design) en gegevensbescherming door standaardinstellingen (privacy by default) zorgen er voor dat privacy bescherming uitgangspunt is in de onderwijsinstelling. Privacy behoort daarom te worden geïntegreerd in de projectbeheermethode(n) van de organisatie om ervoor te zorgen dat informatiebeveiligingsrisico s worden geïdentificeerd en aangepakt als deel van een project. Dit geldt in het algemeen voor elk project ongeacht het karakter, bijv. een project voor een proces voor kernactiviteiten, IT, facility management en andere ondersteunende processen. Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Aandacht voor privacy is niet geborgd in projectmethodiek. Aandacht vindt plaats uit persoonlijk initiatief of indien het projecten betreft rond beveiligingsmaatregelen. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Privacy blijkt - uit notulen of tekstfragmenten in projectdocumenten zichtbaar aandacht te besteden aan informatiebeveiliging en privacy aspecten. Formeel geregeld is het nog niet. Evidence: 1. Kopie van documenten waaruit blijkt dat aandacht is besteed aan privacy aspecten. De projectmethodiek beschrijft in proces en producten op welke wijze tijdens projecten met privacy beleid wordt omgegaan. Templates bevatten privacy paragrafen en op verschillende momenten in het project zoals Go / No Go momenten en projectevaluatie wordt de kwaliteit van informatiebeveiliging meegewogen. Evidence: 2. Projecttemplates bevatten privacy paragraaf; 3. Methodiek beschrijft vereiste aandacht voor privacy; 4. Functionaris Gegevensbescherming heeft adviesfunctie binnen projecten; 5. Risico analyse en Gegevensbeschermingseffectbeoordeling zijn verplichte componenten in ieder project. Projecten hebben zichtbaar aandacht besteed aan privacy. Kwaliteit van Risico analyse en Gegevensbeschermingseffectbeoordeling zijn geëvalueerd, in evaluaties is betrokkenheid van de informatiebeveiligingsfunctie mede beoordeeld. Evidence in aanvulling op 3: 1. Risico analyse en Gegevensbeschermingseffectbeoordeling zijn in meerdere projecten uitgevoerd; 2. Advies Functionaris Gegevensbescherming is in dossier aanwezig; 3. In projectevaluaties is aandacht voor privacy zichtbaar. IBPDOC7, versie 2.0 Pagina 59 van 69

60 Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): Privacy heeft in ten minste vijf projecten zichtbaar aandacht gekregen. Leerpunten zijn getrokken en hebben inmiddels tot het bijstellen van de projectaanpak geleid. Evidence in aanvulling op 4: 1. Verbeterpunten zijn geformuleerd; 2. Vernieuwde versie projectmethodiek aanwezig; 3. Meerdere projectdeelnemers hebben inmiddels in meerdere projecten zichtbaar aandacht besteed aan informatiebeveiliging. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 60 van 69

61 P.21: Gegevensbeschermingseffectbeoordeling Toetsingskader Privacy (pluscluster 7) Cluster: Controle en Logging P20 AVG 1.5 (ISO 6.1.5); AVG 5, 24, 35, 39 Gegevensbeschermingseffectbeoordeling (GBEB, voorheen PIA) De instelling voert een (tweejaarlijks terugkerende) evaluatie uit van de mogelijke effecten van de verschillende gegevensverwerking op de rechten en vrijheden van de betrokkenen. Deze evaluatie vindt eveneens plaats in geval van een wijziging in de verwerking van persoonsgegevens die specifiek de risico s wijzigt voor de privacy van de betrokken deelnemers en medewerkers. De instelling voert naar aanleiding van de evaluatie een volledige GBEB uit in geval de verwerking van de persoonsgegevens: in geval van een systematische en uitgebreide beoordeling van persoonlijke aspecten van betrokkenen, die is gebaseerd op geautomatiseerde verwerking, waaronder geautomatiseerde besluitvorming, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen; Bijzondere persoonsgegevens (ras, gezondheid) worden verwerkt; Geautomatiseerde bewaking van publiek toegankelijke ruimtes. De beoordeling heeft betrekking op de gehele levenscyclus van persoonsgegevens van verzameling van verwerking tot verwijdering. In geval van herziening van of nieuwe verwerkingen van grote hoeveelheden persoonsgegevens, wordt vooraf bepaald wat de impact is van deze (gewijzigde) verwerking op de privacy van de deelnemers. Bij de GBEB is altijd de FG betrokken. Toelichting: Informatiebeveiliging behoort te worden geïntegreerd in de projectbeheermethode(n) van de organisatie om ervoor te zorgen dat informatiebeveiligingsrisico s worden geïdentificeerd en aangepakt als deel van een project. Dit geldt in het algemeen voor elk project ongeacht het karakter, bijv. een project voor een proces voor kernactiviteiten, IT, facility management en andere ondersteunende processen. Een GBEB is een toets waarmee op een gestructureerde en heldere manier in beeld brengen privacy risico s in beeld kunnen worden gebracht. Het daarbij om te onderzoeken wat impact is van het gebruik van persoonsgegevens op de privacy van de betrokkenen, wat de risico s zijn voor de organisatie en of er alternatieven zijn die minder impact hebben. Een GBEB is vanaf 25 mei 2018 in ieder geval verplicht in geval van: Geautomatiseerde besluitvorming: als ict-systemen automatisch beslissingen nemen op basis van een profiel dat over een betrokkene is samengesteld. Als er op grote schaal bijzondere persoonsgegevens worden gebruikt (zoals gezondheid, religie). Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. Een GBEB bevat ten minste de volgende onderdelen: 1. Een systematische beschrijving van de beoogde gebruik van de persoonsgegevens, en het beoogd doel daarvan; 2. Een beoordeling van de noodzaak en de evenredigheid van het gebruik in relatie tot het doel; 3. Een beoordeling van de risico s voor de privacy van de betrokkenen; 4. Een beoordeling van de te nemen maatregelen om de risico s te beperken (zoals veiligheidsmaatregelen, dataminimalisatie, privacy-enhancing-technologies zoals pseudonimisering). Als er binnen de instelling een FG is aangesteld, is deze betrokken bij de PIA of gbeb. Indien uit een GBEB blijkt dat de gegevensverwerking een hoog risico zou opleveren, dan moeten er maatregelen worden genomen om dat risico te mitigeren. Indien dat niet mogelijk is, is vanaf mei 2018 voorafgaand overleg met de AP noodzakelijk. Documenten: Model beleid informatiebeveiligings- en privacy beleid (IBPDOC6) Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Aandacht voor privacy is niet geborgd in projectmethodiek. Aandacht vindt plaats uit persoonlijk initiatief of indien het projecten betreft rond beveiligingsmaatregelen. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Privacy blijkt - uit notulen of tekstfragmenten in projectdocumenten zichtbaar aandacht te besteden aan informatiebeveiliging en privacy aspecten. Formeel geregeld is het nog niet. IBPDOC7, versie 2.0 Pagina 61 van 69

62 Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): Evidence: 1. Kopie van documenten waaruit blijkt dat aandacht is besteed aan privacy aspecten. Periodiek voert de instelling een evaluatie uit van de mogelijke effecten van de verschillende gegevensverwerkingen op de rechten en vrijheden van de betrokkenen. Ook bij wijzigingen in bestaande diensten, projecten of software, wordt een (nieuwe) evaluatie uitgevoerd. Evidence: 2. Projecttemplates bevatten privacy paragraaf; 3. Methodiek beschrijft vereiste aandacht voor privacy; 4. Functionaris Gegevensbescherming heeft adviesfunctie binnen projecten; 5. Aantoonbare periodieke evaluaties van de bestaande gegevensverwerkingen; 6. Risico analyse en GEB (BIA/PIA) zijn verplichte componenten in ieder project. Periodiek voert de instelling een evaluatie uit van de mogelijke effecten van de verschillende gegevensverwerkingen op de rechten en vrijheden van de betrokkenen. De kwaliteit van Risico analyse en Gegevensbeschermingseffectbeoordeling zijn geëvalueerd, in evaluaties is betrokkenheid van de informatiebeveiligingsfunctie mede beoordeeld. Evidence in aanvulling op 3: 1. Risico analyse en Gegevensbeschermingseffectbeoordeling zijn in meerdere projecten uitgevoerd; 2. Advies Functionaris Gegevensbescherming s is in dossier aanwezig; 3. In projectevaluaties is aandacht voor privacy zichtbaar. Privacy heeft in ten minste vijf projecten zichtbaar aandacht gekregen. Leerpunten zijn getrokken en hebben inmiddels tot het bijstellen van de projectaanpak geleid. Evidence in aanvulling op 4: 1. Verbeterpunten zijn geformuleerd; 2. Vernieuwde versie projectmethodiek aanwezig; 3. Meerdere projectdeelnemers hebben inmiddels in meerdere projecten zichtbaar aandacht besteed aan informatiebeveiliging. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 62 van 69

63 P.22: Naleving van privacy beleid en normen Toetsingskader Privacy (pluscluster 7) Cluster: Controle en Logging P22 AVG 6.9 (ISO ); AVG 5, 24, 32, 35, 39 Naleving van privacy beleid en normen De instelling controleert (laat controleren) regelmatig de naleving van de privacy regels en informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging. De FG ziet toe op de (dagelijkse) naleving van het beleid. Toelichting: Managers behoren te bewerkstelligen dat alle privacy procedures die binnen hun verantwoordelijkheid vallen correct worden uitgevoerd om naleving te bereiken van privacy beleid en -normen. (Implementatierichtlijnen uit ISO 27002: Managers behoren regelmatig te beoordelen of de informatieverwerking binnen hun verantwoordelijkheidsgebied voldoet aan het geldende beveiligingsbeleid, normen en andere privacy eisen.) Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Er is geen periodieke controle op naleving van privacy beleid en -normen. In voorkomende gevallen (bv bij incidenten of specifieke vragen) wordt ad hoc op naleving getoetst en nemen medewerkers op eigen initiatief en op reactieve wijze verantwoordelijkheid voor kwesties. Men neemt verantwoordelijkheid voor kwesties en wordt ook ter verantwoording geroepen, zelfs als dit niet formeel is geregeld. Bij problemen is echter vaak onduidelijk wie er verantwoordelijk is en men is geneigd de schuld door te schuiven. (Een risico is dat privacy daarmee ook wel wordt gebruikt als reden om zaken niet te doen ("is niet toegestaan vanwege privacy") zonder dat op het juiste niveau deze beslissing genomen/getoetst is. Tenminste alle managers van de concernsystemen en de belangrijkste business processen stellen periodiek vast dat alle beveiligingsprocedures die binnen hun verantwoordelijkheid vallen correct worden uitgevoerd om naleving te bereiken van privacy beleid en -normen. Evidence: 1. Kopie privacy beleid en normen; 2. Overzicht systemen, processen, eigenaren, gebruikers en rollen (RACI); 3. Kopie twee meest recente rapportages waaruit blijkt dat managers periodiek beoordelen of de privacy binnen hun verantwoordelijkheidsgebied voldoet aan het geldende beveiligingsbeleid, normen en andere beveiligingseisen (versienummer + datum), dat kan bv zijn: compliance verklaring; periodieke (her)classificatie van data of systemen en checklist bijbehorende maatregelen (baseline en aanvullend). Er is een binnen de hele instelling aanvaarde structuur voor verantwoordelijkheid en verantwoording en de betreffende personen kunnen zich van hun verantwoordelijkheden kwijten. Deze verantwoordelijkheden zijn ingebed in functiebeschrijvingen, evaluatiegesprekken, overdrachtsdocumenten etc. Positieve actie wordt stelselmatig beloond om de betrokkenen te motiveren. Evidence in aanvulling op 3: 1. Kopie (beveiligings-)organisatiestructuur (kan ingebed zijn in beveiligingsbeleid document); 2. Kopie agenda jaargesprek; 3. Kopie standaard overdrachtsdocument. IBPDOC7, versie 2.0 Pagina 63 van 69

64 Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): De verantwoordelijken hebben de vrijheid om besluiten en maatregelen te nemen. De verantwoordelijkheidsstructuur is tot op het laagste niveau ingebed in de organisatie. Deze verantwoordlijkheden zijn opgenomen in een mandatenregeling c.q. expliciet benoemd in procesbeschrijvingen of werkinstructies. Evidence in aanvulling op 4: 1. Kopie mandatenregeling; 2. Voorbeeld van procesbeschrijving of werkinstructie. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 64 van 69

65 P.23: Rapportage van privacy gebeurtenissen Toetsingskader Privacy (pluscluster 7) Cluster: Controle en Logging P23 (ISO ); AVG 28, 33, 38, 39 Rapportage van privacy gebeurtenissen Privacy- en informatiebeveiligingsincidenten behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd aan de FG en verantwoordelijke. Toelichting: Van alle werknemers, ingehuurd personeel en externe gebruikers van informatiesystemen en -diensten behoort te worden geëist dat zij alle waargenomen of verdachte zwakke plekken in systemen of diensten registreren en rapporteren. Gebruikers zijn geïnformeerd dat zelf testen op zwakke plekken uitgelegd kan worden als potentieel misbruik. Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6) Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Medewerkers (c.s.) weten niet welke incidenten ze moeten melden en hoe dat dan moet. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Medewerkers weten dat zij incidenten moeten melden maar de meeste weten niet hoe dat moet en wanneer dat moet. Men realiseert zich dat er iets gedaan moet worden. Het management communiceert over de algemene kwesties. Evidence: 1. Kopie van notulen/notitie waarin de noodzaak wordt vastgesteld dat personen alle waargenomen of verdachte zwakke plekken in systemen of diensten dienen te registreren en rapporteren; 2. Kopie van (voorbeeld)meldingen. Volwassenheidsniveau 3 (gedefinieerd proces) Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Medewerkers weten dat zij incidenten moeten melden en het is bekend waar zij dat moeten doen. Men begrijpt dat ingrijpen noodzakelijk is. De communicatie door het management kent een meer formele, vaste structuur. Evidence in aanvulling op 2: 1. Kopie overzicht welke meldpunten er aanwezig zijn; 2. Kopie nieuwsbrief, , waaruit blijkt dat het is gecommuniceerd met alle werknemers, ingehuurd personeel en externe gebruikers en laat zien dat de organisatie awareness bevordert; 3. Kopie van de laatste 2 meldingen. Medewerkers worden er regelmatig op gewezen dat zij incidenten moeten melden en krijgen ook terugkoppeling van gemelde incidenten. Men heeft een goed beeld van wat er nodig is. Er worden volwaardige communicatietechnieken en standaard communicatietools ingezet. Evidence in aanvulling op 3: 1. Kopie opvolgingsacties; 2. Het incidentproces en de communicatie daarover wordt periodiek geëvalueerd (PDCA). Medewerkers melden incidenten op een afgesproken manier en geven ook feedback over de werking van het proces. Men heeft diepgaand inzicht in zowel actuele als toekomstige behoeften. Er wordt proactief gecommuniceerd over kwesties op basis van trends. Volwaardige communicatietechnieken worden ingezet, alsmede geïntegreerd communicatietools. Best practices worden toegepast. Evidence in aanvulling op 4: 1. Toegepaste best practices. IBPDOC7, versie 2.0 Pagina 65 van 69

66 Beoordeling (aanwezigen, datum en locatie): Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 66 van 69

67 P.24: Gebeurtenissen registeren Toetsingskader Privacy (pluscluster 7) Cluster: Controle en Logging P24 AVG ; AVG 5, 32 Gebeurtenissen registreren: Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzoneringen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig beoordeeld. Toelichting: De instelling moet de deelnemer kunnen uitleggen en verantwoorden wie op welk moment toegang heeft gehad tot welke gegevens. Daarvoor is nodig dat niet alleen incidenten worden geregistreerd (zie P.23) maar ook op hoofdlijnen reguliere verwerkingen. Deze registratie van gebeurtenissen maakt het mogelijk dat ook misbruik en fouten kunnen worden opgespoord. Activiteiten van gebruikers, betrokkenen, uitzonderingen en privacy gebeurtenissen behoren te worden vastgelegd in logbestanden. Deze logbestanden behoren gedurende een overeengekomen periode te worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. Logbestanden ten behoeve van controle worden gemaakt van onder meer de volgende gegevens: gebruikers-id's, data, tijdstippen en details van in- en uitloggen, identiteit device/locatie, geslaagde/geweigerde pogingen om toegang te krijgen, gebruik van speciale bevoegdheden en dergelijke. Waar mogelijk behoren systeembeheerders geen toestemming te hebben om logbestanden van hun eigen activiteiten te wissen of deactiveren, met inachtneming van relevante bewaartermijnen. Relevant ibp document: Model informatiebeveiligings- en privacy beleid voor de mbo sector (IBPDOC6) Niveaus Beheersmaatregel (plus evidence) Audit Volwassenheidsniveau 1 (Ad hoc / initieel) Er zijn wellicht logbestanden beschikbaar op diverse systemen. Deze zullen doorgaans ontstaan zijn vanuit een informatiebeveiligingsoogpunt of vanuit een default instelling tijdens installatie. Er zijn geen afspraken over de inhoud van de logging of over bewaartermijnen. Volwassenheidsniveau 2 (herhaalbaar maar intuïtief) Volwassenheidsniveau 3 (gedefinieerd proces) Er zijn logbestanden beschikbaar op de relevante systemen. De log-levels zullen op soortgelijke systemen ook vergelijkbaar zijn ingesteld op basis van individuele expertises en er zijn mogelijk extra tools zoals een centrale syslog-server. Er is echter geen vastgesteld beleid over bewaartermijnen, inhoud van de logging of centrale opslag. Evidence: 1. Kopie van systeemconfiguratie voor zover beschikbaar (deze kunnen de basis vormen voor verbeterstappen); 2. Kopie van (een deel van) een logbestand. Activiteiten van gebruikers, betrokkenen, uitzonderingen en privacy gebeurtenissen zijn vastgelegd in logbestanden. Deze logbestanden worden gedurende een overeengekomen periode bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. Evidence in aanvulling op 2: 1. Kopie beleid en procedurebeschrijving voor het aanmaken van audit-logbestanden; 2. Kopie van informatie waaruit blijkt dat de organisatie conform het beleid of procedure heeft uitgevoerd. Te denken aan: a. kopie uit systeem waaruit blijkt dat alle gebruikers een unieke gebruikers-id hebben; b. kopie uit systeem waaruit blijkt dat registratie plaats vindt bij geslaagde en geweigerde pogingen om toegang te krijgen tot het systeem; c. kopie uit systeem waaruit blijkt dat men gebruik maakt van speciale bevoegdheden (redflag envelop).) IBPDOC7, versie 2.0 Pagina 67 van 69

68 Volwassenheidsniveau 4 (Beheerst en meetbaar) Volwassenheidsniveau 5 (Geoptimaliseerd) Beoordeling (aanwezigen, datum en locatie): Activiteiten van gebruikers, betrokkenen, uitzonderingen en privacy gebeurtenissen worden op een gestandaardiseerde methode vastgelegd in logbestanden. In ieder geval de logbestanden van de concernsystemen worden, zoveel mogelijk real-time, op een separate (SYSLOG) server opgeslagen, waarbij de bronbestanden niet gemuteerd kunnen worden door de systeembeheerders. Deze logbestanden worden gedurende een overeengekomen periode bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. Privacygevoelige informatie wordt adequaat afgeschermd en wordt na een afgesproken periode vernietigd, dan wel geanonimiseerd, met encryptie of geaggregeerd opgeslagen. Er zijn tools beschikbaar om logbestanden te analyseren, het procesbeheer te automatiseren en kritieke activiteiten en controlemechanismen te bewaken. Evidence in aanvulling op 3: 1. Kopie van de inrichtingsdocumenten van de centrale logserver(s); 2. Beschrijving van de beschikbare tooling en het beoogd en toegestane gebruik; 3. Kopie (bewakings-) rapportage over events (kritieke activiteiten, werking controle mechanismen). Alle logbestanden van alle systemen worden op een gestandaardiseerde wijze verzameld en opgeslagen en er is een standaard tool set beschikbaar voor beheer en analyse. De datasets zijn uniform ingericht en de tools zijn volledig geïntegreerd, zodat processen van begin tot eind worden ondersteund en analyses over de datasets heen mogelijk zijn. Er worden analyse en rapportage tools ingezet ter ondersteuning van procesverbeteringen en automatische detectie van afwijkingen. Evidence in aanvulling op 4: 1. Kopie van de (trend)rapportage. Bevindingen: Documenten: Interviews: Waarneming ter plaatse: Aanbevelingen: IBPDOC7, versie 2.0 Pagina 68 van 69

69 Bijlage 1: Framework informatiebeveiliging en privacy in het mbo IBPDOC7, versie 2.0 Pagina 69 van 69