INFORMATIEVEILIGHEIDS- EN PRIVACYBELEID

1         Inleiding

Informatie en ICT zijn noodzakelijk in de ondersteuning van de CLB-werking. Denk bijvoorbeeld aan het Leerlingen Activiteiten en Registratie Systeem (LARS), testverwerkingssystemen, een elektronisch personeelsadministratiesysteem (bijvoorbeeld Plato) … Daarbij wordt niet enkel informatie geregistreerd, maar soms ook overgedragen aan andere diensten (bv. Departement Onderwijs). Vaak verwerken deze geautomatiseerde systemen persoonsgegevens (van leerlingen, ouders, personeelsleden …) en zodoende is de privacywetgeving (AVG) hierop van toepassing.

Deze informatieverwerking en het gebruik van ICT brengen risico’s met zich mee. Denk bijvoorbeeld aan een cyberaanval waarbij de gegevens versleuteld worden, een vergissing waardoor gegevens onherroepelijk gewist zijn, de natuur (bijv. overstroming of brand) et cetera. Het niet beschikbaar zijn van ICT, incorrecte administraties en het uitlekken van gegevens kan leiden tot inbreuken op het geven van CLB-begeleiding en op het vertrouwen in ons CLB.

Deze bedreigingen maken het noodzakelijk om adequate maatregelen te nemen op het gebied van informatieveiligheid en privacy (IVP) om de risico’s die gepaard gaan met deze bedreigingen tot een aanvaardbaar niveau te reduceren. Leerlingen, ouders, personeelsleden en andere betrokkenen hebben recht op een veilige omgeving waarbinnen hun gegevens zorgvuldig en correct worden verwerkt. Bovendien verplicht de regelgeving elke organisatie die persoonsgegevens verwerkt, aandacht te besteden aan een veilige omgang met deze gegevens.

Om dit structureel aan te pakken, is het noodzakelijk dat we een duidelijk beleid opstellen waarin we duidelijk maken waar het om gaat, een doel stellen en de manier(en) vastleggen waarop we dit doel willen bereiken.

1.1      Toelichting informatieveiligheid

Onder informatieveiligheid wordt verstaan: het nemen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten van de informatie en ICT zo maximaal mogelijk te garanderen.

Deze kwaliteitsaspecten zijn:

  • Beschikbaarheid: de mate waarin gegevens en/of functionaliteiten beschikbaar zijn op de juiste momenten;
  • Integriteit: de mate waarin gegevens en/of functionaliteiten juist, volledig en actueel zijn;
  • Vertrouwelijkheid: de mate waarin de toegang tot gegevens en/of functionaliteiten beperkt is tot degenen die daartoe bevoegd zijn;
  • Controleerbaarheid: de mate waarin het mogelijk is om achteraf parameters die van belang zijn voor beschikbaarheid, integriteit of vertrouwelijkheid te verifiëren.

Onvoldoende informatieveiligheid kan leiden tot onacceptabele risico’s bij de uitvoering van het CLB-werk en bij de dagelijkse werking van het CLB. Incidenten en inbreuken op de opgelegde maatregelen kunnen leiden tot verlies van vertrouwen in het CLB, financiële schade, imagoverlies.

1.2      Toelichting privacy

Privacy gaat over de verwerking van persoonsgegevens. Persoonsgegevens dienen beschermd te worden conform de huidige wet- en regelgeving. De bescherming van de privacy regelt onder andere de voorwaarden waaronder persoonsgegevens gebruikt mogen worden.

Persoonsgegevens zijn hierbij alle gegevens van een geïdentificeerd of identificeerbaar individu. Onder verwerking wordt verstaan elke handeling met betrekking tot persoonsgegevens. Denken we maar aan het verzamelen, raadplegen, bijwerken, verspreiden, wissen … van deze gegevens.

1.3      Vervlechting informatieveiligheid en privacy

Informatieveiligheid is noodzakelijk om privacy te waarborgen. Beide begrippen zijn met elkaar verbonden. Het onderwerp informatieveiligheid en privacy wordt afgekort tot IVP. Deze beleidstekst ligt ten grondslag aan de aanpak van informatieveiligheid en privacy binnen Vrij CLB Zuid-Oost-Vlaanderen.

 2         Doel en reikwijdte

2.1      Doel

Dit beleid heeft als doelen:

  • het waarborgen van de continuïteit van het CLB-werk en de dagelijkse werking van Vrij CLB Zuid-Oost-Vlaanderen;
  • het garanderen van de privacy van leerlingen, ouders, personeelsleden en andere betrokkenen, waardoor beveiligings- en privacyincidenten zo veel mogelijk worden voorkomen.

Dit beleid is erop gericht om de kwaliteit van de verwerking van informatie en de beveiliging van persoonsgegevens te optimaliseren, waarbij er een goede balans moet zijn tussen privacy, functionaliteit, veiligheid en middelen. Uitgangspunt is dat de persoonlijke levenssfeer van de betrokkene, met name van medewerkers, leerlingen en ouders wordt gerespecteerd en dat Vrij CLB Zuid-Oost-Vlaanderen voldoet aan relevante wet- en regelgeving.

2.2      Reikwijdte
  • Het beleid heeft betrekking op het verwerken van alle persoonsgegevens van alle betrokkenen binnen Vrij CLB Zuid-Oost-Vlaanderen, waaronder in ieder geval: alle leerlingen, ouders, personeelsleden en andere betrokkenen waarvan Vrij CLB Zuid-Oost-Vlaanderen persoonsgegevens verwerkt.
  • Dit beleid is van toepassing op elke verwerking van persoonsgegevens, zowel de digitale als de niet-digitale (bv papieren verwerking).
  • Het IVP-beleid geldt voor alle personeelsleden en andere betrokkenen die uit hoofde van hun taak, op het CLB of op verplaatsing, in opdracht van het CLB persoonsgegevens verwerken.
  • Het beleid heeft betrekking op gecontroleerde informatie die door het CLB is gegenereerd en wordt beheerd.
  • Het IVP-beleid binnen Vrij CLB Zuid-Oost-Vlaanderen heeft raakvlakken met:
  • het algemeen veiligheids- en toegangsbeveiligingsbeleid, met als aandachtspunten fysieke toegang en beveiliging, huisvesting en ongevallen;
  • personeels- en organisatiebeleid, met als aandachtspunten in- en uitstroom van personeelsleden, functiewisselingen, functiescheiding en vertrouwensfuncties;
  • IT-beleid, met als aandachtspunten de aanschaf, het beheer, het gebruik en/of het uit dienst stellen van hardware, software, services en (digitale) leermiddelen;
  • participatie van personeelsleden.

 3         Uitgangspunten

3.1      Algemene beleidsuitgangspunten

De belangrijkste beleidsuitgangspunten bij Vrij CLB Zuid-Oost-Vlaanderen zijn:

  • Het IVP-beleid dient te voldoen aan alle relevante wet- en regelgeving, in het bijzonder aan de Algemene Verordening Gegevensbescherming (AVG). De verwerking van persoonsgegevens is steeds gebaseerd op een van de in deze verordening vastgelegde grondslagen. Hierbij willen we een goede balans zoeken tussen het belang en de verplichting van Vrij CLB Zuid-Oost-Vlaanderen om persoonsgegevens te verwerken enerzijds, en het belang van de betrokkene om in een vrije omgeving eigen keuzes te maken met betrekking tot zijn/haar persoonsgegevens anderzijds.
  • Het CLB-bestuur, VZW Jeugd en Onderwijs, is als rechtspersoon de verwerkingsverantwoordelijke voor alle persoonsgegevens die in opdracht van Vrij CLB Zuid-Oost-Vlaanderen verwerkt worden.
  • Vrij CLB Zuid-Oost-Vlaanderen beheert ook informatie waarvan de intellectuele eigendom (het auteursrecht) toebehoort aan derden. Medewerkers en leerlingen moeten dus goed geïnformeerd worden over de regelgeving rond het gebruik van dit soort
  • Vrij CLB Zuid-Oost-Vlaanderen sluit met alle ondernemingen die persoonsgegevens voor Vrij CLB Zuid-Oost-Vlaanderen verwerken verwerkersovereenkomsten af.
  • Binnen Vrij CLB Zuid-Oost-Vlaanderen is het veilig en betrouwbaar omgaan met informatie de verantwoordelijkheid van iedereen. Hierbij hoort niet alleen het actief bijdragen aan de veiligheid van geautomatiseerde systemen en de daarin opgeslagen informatie, maar ook van fysieke documenten.
  • Er wordt van alle medewerkers en betrokkenen die uit hoofde van hun taak, op het CLB of op verplaatsing, in opdracht van Vrij CLB Zuid-Oost-Vlaanderen persoonsgegevens verwerken, verwacht dat zij zich verantwoordelijk gedragen . Het is niet acceptabel dat door al dan niet opzettelijk gedrag onveilige situaties ontstaan die leiden tot verlies van het vertrouwen in CLB, financiële schade of imagoverlies. In het arbeidsreglement wordt hiernaar verwezen.
  • Bij wijzigingen in de infrastructuur, de aanschaf en de uitdienstneming van (informatie)systemen, wordt bij Vrij CLB Zuid-Oost-Vlaanderen steeds rekening gehouden met IVP.
  • IVP is bij Vrij CLB Zuid-Oost-Vlaanderen een continu proces, waarbij regelmatig (minimaal tweejaarlijks) wordt geëvalueerd en wordt gekeken of aanpassing gewenst is.
 3.2      Uitgangspunten privacy

De zes vuistregels met betrekking tot de omgang van persoonsgegevens bij Vrij CLB Zuid-Oost-Vlaanderen zijn:

  1. Doelbepaling en doelbinding: persoonsgegevens worden alleen gebruikt voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Deze doeleinden zijn concreet en voorafgaand aan de verwerking vastgesteld. Persoonsgegevens worden niet verwerkt op een wijze die onverenigbaar is met de doelen waarvoor ze zijn verkregen.
  2. Grondslag: verwerking van persoonsgegevens is gebaseerd op een van de wettelijke grondslagen: toestemming, overeenkomst, wettelijke verplichting, openbaar belang, vitaal belang van de betrokkene of gerechtvaardigd belang.
  3. Dataminimalisatie: bij de verwerking van persoonsgegevens blijft de hoeveelheid en het soort gegevens zo veel als mogelijk beperkt: enkel relevante persoonsgegevens worden verwerkt en het type persoonsgegeven moet redelijkerwijs nodig zijn om het doel te bereiken. Ze staan in verhouding tot het doel (= proportioneel). Het doel kan niet met minder, alternatieve of andere gegevens worden bereikt.
  4. Transparantie: VCLB Zuid-Oost-Vlaanderen legt aan betrokkenen (leerlingen, ouders, personeelsleden, en andere mogelijk betrokkenen) op transparante wijze verantwoording af over het gebruik van hun persoonsgegevens, alsmede over het gevoerde IVP-beleid. Deze informatievoorziening vindt spontaan vooraf ongevraagd plaats. Daarnaast hebben deze betrokkenen, overeenkomstig de van toepassing zijnde wettelijke bepalingen, recht op inzage, verbetering, aanvulling, verwijdering of afscherming van hun persoonsgegevens, en kunnen zij zich verzetten tegen het gebruik van hun gegevens.
  5. Opslagbeperking: persoonsgegevens worden niet langer bewaard dan noodzakelijk. De verwerking wordt door het IVP-beleid beperkt in de tijd.
  6. Dataintegriteit en vertrouwelijkheid: er zijn maatregelen getroffen om te waarborgen dat de te verwerken persoonsgegevens juist en actueel zijn, en dat zij voldoende beschikbaar zijn om de verwerking ervan te waarborgen. Persoonsgegevens moeten adequaat worden beveiligd volgens algemeen en breed geaccepteerde beveiligingsnormen zodat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Bij alle verwerkingen op basis van toestemming, zal Vrij CLB Zuid-Oost-Vlaanderen een eenduidige procedure hanteren die een actieve en aantoonbare handeling vereist

4         Wet- en regelgeving

Vrij CLB Zuid-Oost-Vlaanderen voldoet aan alle van toepassing zijnde relevante wet- en regelgeving, waaronder:

  • De Algemene Verordening Gegevensbescherming (AVG), voluit de Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
  • De Wet Patiëntenrechten, voluit de Wet betreffende de rechten van de patiënt dd. 22 augustus 2002.
  • Het Decreet betreffende de leerlingenbegeleiding in het basisonderwijs, het secundair onderwijs en de centra voor leerlingenbegeleiding dd. 18 april 2018, en haar uitvoeringsbesluiten.
  • Het Decreet Rechtspositie Minderjarigen, voluit het Decreet betreffende de rechtspositie van de minderjarige in de integrale jeugdhulp dd. 07/05/2004.
  • De Camerawet
  • De Auteurswet
  • Regelgeving i.v.m. het beroepsgeheim, o.m. de artikelen 458, 458bis en 358 ter van het Strafwetboek.
  • De Deontologische code voor de CLB-medewerker, goedgekeurd door de Internettensamenwerkingscel, de meest recente versie dateert van 26 mei 2016.

5         Organisatie

De organisatie van IVP gaat over processen, gewoontes, beleid, wetten en regels die van betekenis zijn voor de manier waarop mensen een organisatie besturen, beheren en controleren. Hierbij spelen de relaties tussen de verschillende betrokkenen en de doelen van de organisatie een rol. Dit hoofdstuk beschrijft hoe IVP in Vrij CLB Zuid-Oost-Vlaanderen is georganiseerd. Er wordt daarbij onderscheid gemaakt tussen drie niveaus:

  • richtinggevend (strategisch)
  • sturend (tactisch)
  • uitvoerend (operationeel)

Voor elk niveau worden de verschillende rollen opgesomd en wordt beschreven welke verantwoordelijkheden en taken de verschillende rollen met zich meebrengen.

5.1      Rollen (functies) rondom IVP

Om IVP gestructureerd en gecoördineerd aan te pakken worden bij Vrij CLB Zuid-Oost-Vlaanderen een aantal rollen aan medewerkers in de bestaande organisatie toegewezen.

5.2      Richtinggevend

Verwerkingsverantwoordelijke

Het CLB-bestuur is eindverantwoordelijke voor IVP en stelt het beleid en de basismaatregelen op het gebied van IVP vast.

De toepassing en werking van het IVP-beleid worden regelmatig geëvalueerd.

Zie bijlage 1 voor een schematische weergave van de rol- en taakverdelingen aangaande IVP op VCLB Zuid-Oost-Vlaanderen en binnen VZW Jeugd&Onderwijs.

5.3      Sturend

Data Protection Officer (DPO) van de netwerkorganisatie, Vrij CLB Netwerk

Vanuit het Vrij CLB Netwerk wordt een Data Protection Officer aangesteld voor het hele Vrij CLB Netwerk. Deze DPO zal, vanop het centrale niveau van de netwerkorganisatie, binnen het CLB-bestuur of CLB het Aanspreekpunt Informatieveiligheid (AIV) aansturen.

De taak van de Data Protection Officer bestaat uit:

  • CLB-besturen informeren en adviseren over hun verplichtingen vanuit de AVG en vanuit andere gegevensbeschermingsbepalingen;
  • AIV’s opleiden en hulpmiddelen (richtlijnen, nota’s, tools …) verstrekken zodanig dat ze binnen hun CLB het IVP-beleid kunnen ondersteunen, o.m. via het ter beschikking stellen van nota’s met specifieke richtlijnen;
  • desgevraagd advies verstrekken over de gegevensbeschermingseffectbeoordeling;
  • met de toezichthoudende autoriteit samenwerken en optreden als aanspreekpunt voor deze autoriteit.

De Netoverschrijdende werkgroep Informatieveiligheid CLB
Er is een Netoverschrijdende Werkgroep Informatieveiligheid voor de CLB’s (NWG IV CLB), die zeer regelmatig samenkomt, waarin de CLB-informatieveiligheidsconsulenten netoverstijgend overleggen met als doel efficiëntiewinst en gelijkgerichtheid te bekomen bij het opmaken van policies  en procedures nodig n.a.v. het gebruik van privacygevoelige gegevens.

Deze werkgroep heeft volgende taken:

  • Ontwikkelen: policies, procedures en tools uitwerken die voor alle centra van toepassing zijn.
  • Valideren: valideren van bestaande policies opgemaakt door de centra.
  • Begeleiden: vragen vanuit de centra opvangen Vorming en awareness: informeren van de centra en hun aanspreekpunten informatieveiligheid over actuele topics die relevant zijn.
  • Verbindend optreden tussen de aanspreekpunten informatieveiligheid van de centra en netoverschrijdend een lerend netwerk onderhouden.
  • Opvolgen nieuwe ontwikkelingen in het domein van informatieveiligheid.
  • Gelijkgerichtheid tussen de centra in het kader van bovenstaande onderwerpen bevorderen.
  • Onderzoek naar methoden van veilige communicatie ….

Aanspreekpunt Informatieveiligheid (AIV)

Het AIV is een rol op sturend niveau. Hij/zij geeft terugkoppeling en advies aan de eindverantwoordelijke (directie van het CLB, raad van bestuur van het CLB-bestuur) en staat de mensen op uitvoerend niveau bij.

De taak van het AIV bestaat uit:

  • het beleid vertalen naar richtlijnen, procedures, maatregelen en documenten voor Vrij CLB Zuid-Oost-Vlaanderen;
  • de uniformiteit van IVP-beleidbewaken binnen Vrij CLB Zuid-Oost-Vlaanderen;
  • meewerken aan de bewustmaking en opleiding van het personeel van Vrij CLB Zuid-Oost-Vlaanderen inzake IVP;
  • het aanspreekpunt zijn binnen Vrij CLB Zuid-Oost-Vlaanderen voor incidenten op het gebied van IVP;
  • de verdere afhandeling van incidenten binnen Vrij CLB Zuid-Oost-Vlaanderen coördineren;
  • deelnemen aan activiteiten die voor de AIV’s worden georganiseerd door de DPO.
5.4      Uitvoerend

Leidinggevende

Naleving van het beleid inzake informatieveiligheid en privacy is onderdeel van de integrale bedrijfsvoering. Iedere leidinggevende heeft op uitvoerend niveau de taak om:

  • ervoor te zorgen dat zijn medewerkers op de hoogte zijn van het IVP-beleid;
  • toe te zien op de naleving van het IVP-beleid door de medewerkers, waarbij hij/zij zelf een voorbeeldfunctie heeft;
  • periodiek het onderwerp IVP onder de aandacht te brengen in werkoverleg, beoordelingen, personeelsvergaderingen etc.;
  • als aanspreekpunt beschikbaar te zijn voor alle personeelsgerelateerde IVP-onderwerpen.

De leidinggevende kan in zijn taak ondersteund worden door het AIV.

ICT-verantwoordelijke

De ICT-verantwoordelijke vormt een technisch aanspreekpunt inzake informatieveiligheid voor het CLB-bestuur, CLB- directie en de medewerkers, en zorgt in de praktijk voor de implementatie van toegangsrechten en de rapportage aangaande digitale informatieveiligheid.

Personeelsleden

Alle personeelsleden hebben een verantwoordelijkheid met betrekking tot informatieveiligheid in hun dagelijkse werkzaamheden. Deze verantwoordelijkheden zijn beschreven in o.a. het privacyreglement en eraan toegevoegde nota’s en visieteksten aangaande IVP op Vrij CLB Zuid-Oost-Vlaanderen. Daarnaast worden medewerkers in hun dagelijkse werkzaamheden, waar nodig, ondersteund met checklists, formulieren en praktische tools.

Medewerkers wordt gevraagd om actief betrokken te zijn bij informatieveiligheid. Dit kan door meldingen te maken van veiligheidsincidenten, het doen van voorstellen ter verbetering van IVP en het uitoefenen van invloed op het beleid (individueel of via de ervoor voorziene overlegorganen en/of via het aanspreekpunt). Zelf hebben zij ook een voorbeeldfunctie naar andere medewerkers, en eventuele betrokken externen toe.

Bovendien is elke CLB-medewerker gebonden aan het beroepsgeheim.

6         Controle en rapportage

Dit IVP-beleid en alle bijhorende richtlijnen, nota’s en tools, worden minimaal elke twee jaar getoetst en bijgesteld door het CLB-bestuur. Op die manier wordt de inhoud en effectiviteit van het IVP-beleid getoetst.  Hierbij wordt rekening gehouden met:

  • de status van de informatieveiligheid als geheel (beleid, organisatie, risico’s);
  • de effectiviteit van de genomen maatregelen en aantoonbare werking daarvan.

De DPO kan op elk moment documenten m.b.t. IVP opvragen aan de CLB’s.

Voor alle overlegmomenten geldt dat deze zo veel mogelijk ingepast worden in bestaande overlegvormen met hetzelfde karakter (geldt niet voor operationeel niveau, cfr infra) waarbij op:

  • strategisch niveau (richtinggevend) wordt gesproken over organisatie, alsmede over doelen, bereik en ambitie op het gebied van IVP;
  • tactisch niveau (sturend) de strategie wordt vertaald naar plannen, te hanteren normen, evaluatiemethoden, e.d. Deze plannen en instrumenten zijn sturend voor de uitvoering;
  • operationeel niveau (uitvoerend) de onderwerpen worden besproken die de dagelijkse uitvoering aangaan. Deze overlegvorm wordt niet centraal georganiseerd, en indien nodig in elk organisatieonderdeel van Vrij CLB Zuid-Oost-Vlaanderen afzonderlijk.
6.1      Voorlichting en bewustzijn

Beleid en maatregelen zijn niet voldoende om risico’s op het terrein van informatieveiligheid en privacy uit te sluiten. In de praktijk blijkt de mens meestal de belangrijkste speler. Daarom wordt bij Vrij CLB Zuid-Oost-Vlaanderen het bewustzijn van de individuele medewerkers voortdurend aangescherpt, zodat de kennis van risico’s wordt verhoogd en veilig en verantwoord gedrag wordt aangemoedigd. Onderdeel van het beleid zijn onder andere de regelmatig terugkerende bewustwordingscampagnes voor iedereen binnen het CLB. Verhoging van het beveiligingsbewustzijn is een verantwoordelijkheid van het AIV en leidinggevende(n), met de raad van bestuur van VZW Jeugd en Onderwijs als eindverantwoordelijke.

6.2      Risicoanalyse

Alle gegevens waarop dit beleid van toepassing is, werden in kaart gebracht. De risicoanalyse zal het niveau van de beveiligingsmaatregelen bepalen rekening houdend met dit in kaart brengen van de gegevens. Daarbij zijn beschikbaarheid, integriteit en vertrouwelijkheid de kwaliteitsaspecten die van belang zijn voor de informatievoorziening.

6.3      Incidenten en datalekken

Doel is alle incidenten die zich voordoen op vlak van informatieveiligheid, te bundelen in een register, incl. allerhande feiten die met het incident te maken hebben, de gevolgen daarvan en de genomen maatregelen. Het documenteren van alle inbreuken in verband met persoonsgegevens is trouwens een wettelijke verplichting, opgelegd door de AVG. Het register is een belangrijk instrument bij incidentbehandeling en biedt input bij o.m. de planning van bewustwordingsacties en de revisie van het beleid.

Een model van incidentenregister is ter beschikking gesteld door de Netoverstijgende Werkgroep Informatieveiligheid CLB.

Bij Vrij CLB Zuid-Oost-Vlaanderen is het melden van beveiligingsincidenten en datalekken vastgelegd in een protocol. Een model van procedure incidentenmelding is ter beschikking gesteld door de Netoverstijgende Werkgroep Informatieveiligheid CLB

6.4      Gebruik van logboek

Het CLB moet, als verwerkingsverantwoordelijke, kunnen aantonen dat ze bij het verwerken van persoonsgegevens, de Algemene Verordening Gegevensbescherming (AVG) naleeft. Doel van het logboek is aan te tonen dat het CLB acties onderneemt rond de implementatie van de Algemene Verordening Gegevensbescherming (AVG) en het informatieveiligheidsbeleid. Het CLB noteert zodoende alle activiteiten die ze onderneemt: bv. bewustwording op een personeelsvergadering of op een teamoverleg, uitvoeren van de nul- meting, overleg van de informatieveiligheidscel .. Het logboek is een belangrijk instrument i.k.v. aantoonbaarheid.
Een model van logboek is ter beschikking gesteld door de Netoverstijgende Werkgroep Informatieveiligheid CLB

6.5 Controle, naleving en sancties

De controle op de naleving bestaat uit algemeen toezicht op de dagelijkse praktijk van het IVP-proces. Van belang hierbij is dat leidinggevenden hun verantwoordelijkheid nemen en hun medewerkers aanspreken in geval van tekortkomingen. Bij Vrij CLB Zuid-Oost-Vlaanderen wordt actief aandacht besteed aan IVP bij de aanstelling, tijdens functioneringsgesprekken, tijdens personeelsvergaderingen, met periodieke bewustwordingscampagnes, et cetera.

Mocht de naleving ernstig tekort schieten, dan kan VZW Jeugd en Onderwijs de betrokken verantwoordelijke medewerkers een sanctie opleggen, binnen de kaders van de CAO en de wettelijke mogelijkheden. Voor de bevordering van de naleving van de AVG heeft het AIV een belangrijke rol.

 Bijlage 1: Tabel IVP-rollen en taken

Wie

Rollen

Hoe

Verantwoordelijkheid / taken

Wat

Realiseren / vastleggen

Clb-bestuur

 

 

 

·         Verwerkingsverantwoordelijke
·         Eindverantwoordelijke IVP
·         IVP-beleidsvorming, -vastlegging en het uitdragen ervan
·         Verantwoordelijk voor het zorgvuldig en rechtmatig verwerken van persoonsgegevens
·         Evalueren toepassing en werking IVP-beleid op basis van rapportages en bijsturen van dit beleid indien nodig
·         Organisatie IVP inrichten
·         Informatieveiligheids- en privacybeleid opstellen en goedkeuren en communiceren
·         Aanspreekpunt informatieveiligheid aanstellen (AC Katia Moerman)
·         Oprichten informatieveiligheidscel (ICT-medewerker, directiesecretaris, LOC-secretaris, kwaliteitscoördinator, AIV – AC)

Functionaris gegevensbescherming Vrij CLB Netwerk

(DPO)

·         Clb-besturen informeren en adviseren over hun verplichtingen krachtens de AVG en regelgeving;
·         Richtlijnen, procedures, modeldocumenten en tools opstellen en aanbevelingen doen m.b.t. informatieveiligheid en privacy
·         Aanspreekpunten IVP opleiden en hen de nodige tools en hulpmiddelen verstrekken
·         desgevraagd advies verstrekken over de gegevensbeschermingseffectbeoordeling
·         samenwerken met de toezichthoudende autoriteit en optreden als aanspreekpunt voor deze autoriteit
·         Brugfiguur naar externe partijen toe
·         Lerend netwerk ontwikkelen en aansturen
·         Opstellen van algemene procedures, richtlijnen, modeldocumenten en tools  IVP
·         Nascholingstraject organiseren
·         Overleg met informatieveiligheidsconsulenten en functionarissen gegevensbescherming (DPO’s) andere CLB- en onderwijsnetten
·         Overleg met externe partijen
Netoverschrijdende werkgroep Informatieveiligheid CLB

·         Ontwikkelen van materialen voor alle centra
·         Valideren van bestaande policies, opgemaakt door de centra
·         Vragen vanuit de centra opvangen in de WG
·         Informeren van de centra en aanspreekpunten over actuele topics die relevant zijn
·         Verbindend optreden tussen de aanspreekpunten informatieveiligheid van de centra en netoverschrijdend een lerend netwerk onderhouden
·         Opvolgen nieuwe ontwikkelingen in het domein van informatieveiligheid
·         Gelijkgerichtheid tussen de centra in het kader van bovenstaande onderwerpen bevorderen
·         Onderzoek naar methoden van veilige communicatie ….

 

·         Ontwikkelen: policies, procedures, modeldocumenten en tools uitwerken die voor alle centra van toepassing zijn
·         Valideren: valideren van bestaande policies, opgemaakt door de centra
·         Begeleiden: vragen vanuit de centra opvangen in de WG
·         Vorming en awareness: informeren van de centra en aanspreekpunten over actuele topics die relevant zijn
·         Verbindend optreden tussen de aanspreekpunten informatieveiligheid van de centra en netoverschrijdend een lerend netwerk onderhouden
·         Opvolgen nieuwe ontwikkelingen in het domein van informatieveiligheid
·         Gelijkgerichtheid tussen de centra in het kader van bovenstaande onderwerpen bevorderen
·         Onderzoek naar methoden van veilige communicatie ….

 

Aanspreekpunt informatieveiligheid

 

·         Informeert en adviseert directie/bestuur en personeel over IVP
·         Rapporteert naar directie/bestuur
·         Informeert de functionaris gegevensbescherming van Vrij CLB Netwerk
·         Neemt deel aan activiteiten georganiseerd door de functionaris gegevensbescherming
·         Werkt mee aan de uitwerking van een specifiek IVP-beleid op basis van het algemeen IVP-beleid
·         Doet voorstellen tot aanpassingen van centraal aangeboden procedures, richtlijnen en modeldocumenten om de uitvoering van het IVP-beleid te ondersteunen binnen het CLB
·         Werkt mee aan:
o    risicoanalyse
o    security awareness activiteiten
·         Aanspreekpunt voor IVP-incidenten
·         Incidentafhandeling (registreren en evalueren).
·         Invullen register verwerkingsactiviteiten
·         Invullen logboek

Voorstellen van aanpassingen aan de centraal uitgewerkte formulieren van procedures, richtlijnen en modeldocumenten rond IVP, bijvoorbeeld:

·         Security awareness activiteiten
·         Authenticatie en autorisatie-beleid
·         Gedragscodes (ICT en internetgebruik, sociale media, privacybeleid …) naar medewerkers toe
·         Verwerkersovereenkomsten regelen
·         Communicatieplan naar medewerkers
·         Afhandeling procedure IVP-incident
·         Inrichten meldpunt datalekken
·         Melden datalekken aan DPO
·         Invullen register verwerkingsactiviteiten
·         Invullen logboek

Leidinggevende (directie + coördinatoren)

 

·         Toezien op de naleving van het IVP-beleid en privacywetgeving en de daarbij behorende processen, richtlijnen en procedures door de medewerkers.
·         Communicatie naar alle betrokkenen; ervoor zorgen dat alle medewerkers op de hoogte zijn van het IVP-beleid en de consequenties ervan.
·         Voorbeeldfunctie met positieve en actieve houding t.a.v. IVP-beleid.
·         Rapporteren voortgang m.b.t. doelstellingen IVP-beleid aan bestuur
·         Periodiek het onderwerp informatiebeveiliging onder de aandacht brengen in werkoverleg, beoordelingen, personeelsvergaderingen, …
·         Implementeren IVP-maatregelen.
·         Aanspreekpunt voor alle personeel gerelateerde IVP-onderwerpen

Communiceren, informeren en toezien op naleving van o.a.:

·         IVP in het algemeen
·         Hoe omgaan met de multidisciplinaire dossiers van leerlingen?
·         Wie mag wat zien?
·         Beveiliging van ruimtes
·         Preventieve maatregelen (o.a. brand en waterschade aan servers …)
·         …

 

Ict-verantwoordelijke ·         Technisch aanspreekpunt inzake IVP
·         Implementatie van toegangsrechten
·         Rapportage m.b.t. digitale IVP
·         Implementatie van toegangsrechten inzake IVP
·         Rapportage m.b.t. digitale IVP

Cel Informatieveiligheid (CIV) CLB

 

 

 

 

 

·         Opstellen en actualiseren van het informatieveiligheidsbeleid voor het CLB, vertrekkend vanuit een beschrijving van de huidige situatie
·         Opstellen en bijhouden van register van de verwerkingsactiviteiten
·         Verzamelen en registreren van informatie over de aanwezige beveiligingsmaatregelen
·         Uitvoeren van risicoanalyse inzake informatieveiligheidsbeleid
·         Voorstellen beheersmaatregelen
·         Uitwerken van veiligheidsplan
·         Stimuleren van veiligheidsbewustzijn: verzorgen en coördineren van voorlichting en interne opleiding van personeel op gebied van informatiebeveiliging
·         Toezicht houden op de implementatie en naleving van het informatieveiligheidsbeleid
·         Registreren van veiligheidsincidenten en de remediëring
·         Rapporteren aan de directie/inrichtend bestuur/informatieveiligheidsconsulent
·         Onderhouden van interne en externe contacten binnen dit kader
·         Op de hoogte blijven van nieuwe ontwikkelingen en wetgeving op gebied van informatiebeveiliging
·         Classificatie van informatie
·         IVP-risicoanalyse uitvoeren
·         Prioriteiten voorstellen
·         Toegangsbeleid zowel fysiek als digitaal vaststellen en laten bekrachtigen door bestuur
·         De toegangsrechten van gebruikers regelmatig beoordelen en controleren.
·         Evalueren IVP-beleid en voorstellen van verbetermaatregelen
·         Bespreking veiligheidsincidenten en voorstellen formuleren voor te nemen maatregelen
·         Aanpassen gegevensbeschermings-effectbeoordeling aan eigen situatie

Inventariseren waar persoonsgegevens van het CLB terechtkomen (leverancierslijst)

·         Classificatie van informatiebronnen en persoonsgegevens
·         Risicoanalyse uitvoeren en documenteren

Diverse aanvullende beleidsstukken, richtlijnen, procedures en protocollen, waaronder:

·         Toegangsmatrix diverse informatiesystemen en netwerk

 

 

Alle personeelsleden ·         Uitvoeren taken conform gegeven richtlijnen en procedures mbt IVP
·         Verantwoordelijk omgaan met IVP bij de dagelijkse werkzaamheden
·         Richtlijnen en procedures m.b.t. IVP volgen
·         Melden incidenten aan aanspreekpunt informatieveiligheid