Veel schoolbesturen zijn aan de slag gegaan met het Normenkader IBP. Misschien wel het belangrijkste om mee te beginnen is het inrichten van je organisatie. Als het gaat om IBP, dan kan de bescherming van de organisaties langs drie verdedigingslijnen worden ingericht. Wat zijn deze verdedigingslijnen? En wie is waar verantwoordelijk voor?
Lijn 1 – De Proceseigenaren
De eerste verdedigingslijn bestaat uit de proceseigenaren (leidinggevenden) die verantwoordelijk zijn voor processen die worden uitgevoerd en de gegevens die daarin worden verwerkt. Zij zijn verantwoordelijk voor de kwaliteit van de processen dus ook de risico’s en maatregelen om deze cyberweerbaar te maken. Dit gaat om alle processen, dus niet alleen de primaire processen binnen een organisatie. Denk hierbij aan de volgende rollen die binnen jouw organisatie wellicht anders genoemd worden.
- Hoofd HR en personeels- en salarisadministratie
- Hoofd Inkoop
- Hoofd Facilitair
- Hoofd Leerlingadministratie
- Hoofd Leerlingzorg
- Hoofd Strategie en beleid (College van Bestuur)
Lijn 2 – De ondersteuners en uitvoerders
De eerste lijn wordt ondersteund door een tweede lijn binnen het schoolbestuur, ook wel het ondersteunend personeel genoemd op het gebied van IBP, ICT, Communicatie, etc. Dit is de laag die niet verantwoordelijk is voor het beleid, maar wel kan helpen voor de totstandkoming en het communiceren hiervan. Hierbij moet je denken aan de volgende rollen.
- Bovenschools ICT-er of ICT-manager en -medewerker(s) (denk aan applicatiebeheerders)
- Security Officer (SO)
- Privacy Officer (PO)
- Communicatiemedewerker
Lijn 3 – De specialisten
De derde lijn bestaat uit experts of specialisten buiten de organisatie. Dit zijn de externe IBP-adviseurs op het gebied van informatiebeveiliging of de Functionaris voor gegevensbescherming. Zij geven de eerste en tweede lijn advies en controleren de naleving van beleid door bijvoorbeeld audits.
Uiteindelijk kan het per organisatie verschillen hoe de lijnverantwoordelijkheid precies is belegd en hoe de leidinggevenden precies genoemd worden. De leidinggevende is en blijft eindverantwoordelijk voor het proces.
Tot slot
Wij raden schoolbesturen aan om eerst het gesprek te voeren over de inrichting van je organisatie voordat je met het normenkader begint. Niet alle domeinen in het Normenkader IBP zijn namelijk de verantwoordelijkheid van de ICT-er of Privacy Officer. Als je een succesvolle implementatie wilt bereiken van het normenkader begin dan met het gesprek te voeren met de proceseigenaren.
Kijk voor meer info op:
Informatiebijeenkomst: op weg naar het normenkader IBP – APS IT-diensten (apsitdiensten.nl)
Audit schoolbesturen – Privacy op School
normenkaderibp.kennisnet.nl/privacy/