Zijn de bedrijfsgegevens van je instelling voldoende beschermd en is de privacy van studenten en medewerkers goed geregeld? Hoe staan ketenpartners ervoor? Met SURFaudit toets je op welk niveau de informatiebeveiliging en privacybescherming van jouw instelling zich bevindt en kun je dit vergelijken dat met de hele sector onderwijs en onderzoek.
SURFaudit Toetsingskader: beoordeel je privacybescherming
Weet wat belangrijk is voor je informatiebeveiliging en wat je minimaal geregeld moet hebben. En ook wat risicogebieden zijn voor jouw sector. Het SURFaudit Toetsingskader Informatiebeveiliging helpt je de veiligheid en continuïteit van je bedrijfsgegevens te beschermen en verbeteren.
Toetsingskader om het niveau te bepalen
Voor de beoordeling van de bescherming van persoonsgegevens bij instellingen voor onderwijs en onderzoek gebruiken we het SURFaudit Toetsingskader Privacy. Dit beschrijft wat de vereisten zijn om aan een bepaald volwassenheidsniveau te voldoen. We hebben het toetsingskader in nauwe samenwerking met een aantal functionarissen gegevensbescherming en andere privacyexperts van onderwijsinstellingen opgesteld. Dit toetsingskader is afgeleid van het AVG Borgingsproduct van de Vereniging Nederlandse Gemeenten (VNG) en is nog in ontwikkeling. De laatste versie (2.0) is gebaseerd op het AVG Borgingsproduct 2.0 van VNG.
In het voorjaar van 2023 verschijnt een versie 3.0.
Volwassenheidsniveaus
Bij een self-assesment of audit bepaal je voor iedere maatregel het volwassenheidsniveau. In het SURFaudit- toetsingskader privacy is ervoor gekozen om aan te sluiten bij de vijf privacy volwassenheidsniveaus van het ‘Privacy maturity model’ van de International Association of Privacy Professionals (IAPP). De criteria zijn als volgt:
| 1 | Initieel De beheersingsmaatregel is (gedeeltelijk) gedefinieerd maar wordt op inconsistente wijze uitgevoerd. Er is een grote afhankelijkheid van individuen bij de uitvoering van de beheersingsmaatregel. |
• Geen of onduidelijke privacyrollen en -verantwoordelijkheden • Geen of nauwelijks beheersmaatregelen aanwezig • Reactief en sturing n.a.v. incidenten • Grote afhankelijkheid van één of enkele privacyfunctionarissen • Onbewust onbekwaam |
| 2 | Herhaalbaar maar informeel De beheersingsmaatregel is aanwezig en wordt op consistente en gestructureerde, maar op informele wijze uitgevoerd. |
• Privacyrollen en -verantwoordelijkheden toegewezen • Beheersmaatregelen zijn aanwezig, maar worden op informele wijze uitgevoerd • Standaarden en formats aanwezig: juist en in duidelijke taal • Bewust onbekwaam |
| 3 | Gedefinieerd De opzet van de beheersingsmaatregel is gedocumenteerd en wordt op gestructureerde en geformaliseerde wijze uitgevoerd. De vereiste effectiviteit van de beheersingsmaatregel is aantoonbaar en wordt getoetst.ad hoc |
• (Privacy)medewerkers tonen eigenaarschap, d.w.z. dat de rollen en verantwoordelijkheden actief worden opgepakt • Beheersmaatregelen worden consistent en gestructureerd uitgevoerd en zijn gedocumenteerd • Er wordt aantoonbaar aan verplichtingen voldaan • Verwerkingsverantwoordelijke bestuursorganen nemen beslissingen mede op grond van risicoanalyses zoals een DPIA. • Er is een duidelijke samenhang met informatiebeveiliging • Bewust bekwaam |
| 4 | Beheerst en meetbaar De effectiviteit van de beheersingsmaatregel wordt periodiek geëvalueerd. Daar waar nodig wordt de beheersingsmaatregel verbeterd of vervangen door andere beheersingsmaatregel(en). De evaluatie wordt vastgelegd. |
• De effectiviteit van beheersmaatregelen wordt periodiek geëvalueerd in een PDCA-cyclus • Er wordt proactief geïnformeerd door de proceseigenaar over de realisering van de geconstateerde benodigde verbeteringen in een PDCA-cyclus • In een jaarlijkse evaluatie blijkt een correcte PDCA-cyclus • Bewust bekwaam |
| 5 | Continu verbeteren De beheersingsmaatregelen zijn verankerd in het integrale risicomanagement raamwerk, waarbij continu gezocht wordt naar verbetering van de effectiviteit van de maatregelen. Hierbij wordt gebruik gemaakt van externe data en benchmarking. Medewerkers zijn pro-actief betrokken bij de verbetering van de beheersingsmaatregelen. |
• Toekomstgericht • Proactieve houding van het college en het bestuur • Het verantwoordelijk management verzoekt aan de FG om hun verantwoording van een oordeel te voorzien. • Privacy wordt gezien als een vanzelfsprekendheid • Er wordt continue gezocht naar verbetering, zoals in de vorm van (interne of externe) tooling • Privacy wordt gezien als een kans of unique selling point (USP) • Er wordt verbinding gezocht met andere concerndisciplines • Kennis en ervaringen worden actief gedeeld met andere instellingen, SURF en andere relevante organisaties waardoor best practices in de sector ontstaan • Onbewust bekwaam |
Inzicht in de risico’s met de SURFaudit-benchmark
Tijdens onze jaarlijkse SURFaudit-benchmark analyseren we de resultaten van alle deelnemende instellingen. Per domein bekijken we wat de stand van zaken is ten opzichte van het door SCIPR aanbevolen volwassenheidsniveau.
Meer informatie
- Wil je meer informatie, stuur dan een e-mail naar surfaudit@surf.nl
- Om deel te nemen aan de SURFaudit benchmark, stuur een email naar surfaudit@surf.nl (zie https://edu.nl/surfaudit voor details).