Veel gestelde vragen vanuit het netwerk IBP
Implementatie
De wet vraagt aan elke organisatie die persoonsgegevens verwerkt om “passende technische en organisatorische maatregelen” te treffen.
Het is aan de organisatie om invulling te geven aan wat “passend” is. “Passend” verwijst naar een relatie tussen de beveiliging en hetgeen wordt beveiligd. Door te inventariseren welke gegevens en systemen gebruikt worden en aan welke bedreigingen deze worden blootgesteld (een zogenaamde risicoanalyse) kan een organisatie deze relatie expliciet maken.
Concreet betekent dit dat een instelling die gebruik maakt van het framework IBP in het mbo als uitgangspunt hanteert dat niveau twee van alle maatregelen de basis is. De instelling moet zelf, op basis van bijvoorbeeld een risicoanalyse of incidenten, regelmatig evalueren of niveau twee afdoende is. Het kan heel goed zijn, bijvoorbeeld bij het verwerken van bijzondere persoonsgegevens, dat een instelling niveau drie of hoger ambieert.
“Passend” heeft in de praktijk ook een relatie met de tijd. Je kan niet van de ene op de andere dag alle maatregelen hebben geïmplementeerd. Dus je moet keuzes maken. Ook dit kun je doen op basis van de risicoanalyse: de maatregelen die gekoppeld zijn aan de grootste risico’s implementeer je eerst.
Het framework IBP in het mbo ondersteunt dit met een continu verbeterproces. In 2017 implementeer je een aantal maatregelen die dan het meest belangrijk zijn. In 2018 kies je weer een nieuwe set aan maatregelen die daarna de focus verdienen. Kijk niet één keer per jaar naar de lijst met te implementeren maatregelen. Zorg ervoor dat nieuwe ontwikkelingen, incidenten en inzichten maatregelen kunnen toevoegen of wijzigen. Op die manier zorg je dat je op elk gegeven moment “passend” bezig bent.
Wat nu als leveranciers niet mee willen werken?
Als instelling ben je niet alleen zelf met persoonsgegevens bezig, maar je hebt ook leveranciers van systemen waarin persoonsgegevens staan of zelfs externe partijen wiens taak het is om voor jou persoonsgegevens te verwerken zoals de salarisadministratie. De wet schrijft voor dat je dan als verantwoordelijke moet zorgen dat ook zij “passende technische en organisatorische maatregelen” treffen.
Dit kan bijvoorbeeld door het afsluiten van een verwerkersovereenkomst waarin je dit duidelijk afspreekt. Uiteindelijk zal je dus met al deze partijen, die voor jou persoonsgegevens verwerken, verwerkersovereenkomsten moeten afsluiten. Ook dat zal je niet in één dag lukken. Dus daar geldt eigenlijk hetgeen hierboven al staat: maak een geprioriteerde lijst van al je leveranciers en werk deze stelselmatig af. Hiermee toon je aan dat je het voor jouw instelling inzichtelijk en onder controle hebt en dat je binnen een redelijke termijn alles hebt geregeld.
We houden voorlopig vast aan de opgestelde documenten uit het framework. Voor bestuurders is er een Hoe?Zo!-publicatie gemaakt, die in Jip- en Janneke-taal vertelt wat beleid t.a.v. informatiebeveiliging inhoudt. Ook moedigen we deze community aan elkaar tips te geven over ‘hoe vertel ik het IBP-verhaal?’.
Ook is een nieuwe Aanpak ibp in het mbo ontwikkeld, een wikiwijs arrangement dat je laagdrempelig meeneemt door het hele Framework heen. Dat moet helpen.
kijk op https://maken.wikiwijs.nl/104332/AANPAK_IBP_IN_HET_MBO
Een vraag die velen bezighoudt, het gaat immers om bijzondere persoonsgegevens. En daar moeten we als school zeer nauwkeurig mee omgaan. In principe mag je geen bijzondere persoonsgegevens verwerken tenzij daar een uitzondering voor is. Dat speelt bij onderwijsinstellingen. In bijgaande notitie is uitvoerig deze vraag uitgewerkt. Het juridische kader wordt beschreven rond grondslag en dataminmalisatie. En er wordt in uitgewerkt hoe dit dan in de praktijk uitwerkt, wat te doen bij de intake, met wie kun je de gegevens delen. En tot slot ook nog aandacht voor de informatiebeveiliging en de bewaartermijnen. Kortom, een vraag waar geen kort antwoord op is maar met deze notitie kan je verder.