- Uitleg
- |
- Informatiemanagement
- |
- po
- vo
Informatiemanagement en het belang van informatiebeveiliging en privacy
Veiligheid op een school kan over veel dingen gaan: fysieke veiligheid, sociale veiligheid en ook over informatieveiligheid. Over dat laatste gaat dit artikel in de reeks Informatiemanagement op school, waarin we uitleggen wat informatiebeveiliging precies is en hoe het zich verhoudt tot ict-beveiliging.
Door Okko Huising
Om meteen met die vraag te beginnen: wat is informatiebeveiliging en hoe verhoudt het zich tot ict-beveiliging? We zullen zien dat ze een nauwe relatie hebben. Informatiebeveiliging heeft betrekking op de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit. Daarnaast gaat informatiebeveiliging over de maatregelen die nodig zijn om die betrouwbaarheid te waarborgen en het onderhouden en controleren van die maatregelen.
Wie heeft toegang tot welke informatie
Een informatiemanager ontwerpt de processen die ten grondslag liggen aan informatiebeveiliging. Hiervoor is het belangrijk dat bekend is welke taken, verantwoordelijkheden, bevoegdheden en rollen hierbij komen kijken. Want wanneer duidelijk is wie wat mag vanuit welke rol, is dit in te regelen in een veilig werkproces. De financiële administratie kan dan bijvoorbeeld niet bij de leerlinggegevens. En een ouder of verzorger kan alleen bij de resultaten van het eigen kind en niet bij die van andere leerlingen.
Ict-beveiliging betreft dus de beveiliging van de ict-middelen die worden ingezet. Ict-beveiliging heeft betrekking op identiteiten en de toegang die deze identiteiten hebben.
Voorbeeld: zoekgeraakte laptop
De laptop van een leerling is zoekgeraakt. Ict kan op afstand deze laptop wissen. Of ervoor zorgen dat de laptop geen toegang meer heeft tot systemen en informatie van de school. En als het om een Chromebook gaat, die zo is geconfigureerd dat alle data in de cloud wordt opgeslagen en niet op het apparaat zelf, dan is er ook geen gevaar dat gegevens bij verlies van het apparaat in verkeerde handen vallen.
Iedereen is verantwoordelijk voor goede informatiebeveiliging
In het artikel Taken en verantwoordelijkheden bij informatiemanagement gaven we al aan dat het belangrijk is dat functionarissen met diverse rollen nauw met elkaar samenwerken en doorlopend zaken met elkaar afstemmen. In het kader van veiligheid is dit misschien nog wel belangrijker.
Het gaat hierbij specifiek over de rollen van informatiemanagement, gegevensbescherming en ict, maar eigenlijk geldt het voor iedereen die werkzaam of actief is binnen de school. Elke persoon is op een eigen manier betrokken bij informatiebeveiliging en het waarborgen van privacy, en levert hier een grote of kleine bijdrage aan.
Geef het juiste voorbeeld
Dat leidt ons naar een van de grootste uitdagingen bij het realiseren van goede informatiebeveiliging en privacy. Dat is niet alleen de juiste inzet en gebruik van technologie, maar vooral het gedrag van anderen waar je geen controle over hebt. Maar gedrag is wel te beïnvloeden door het continu geven van het juiste voorbeeld, het verstrekken van relevante informatie en het aanspreken van mensen op gewenste en ongewenste handelswijzen. Zorg er dus altijd voor dat de processen op orde zijn en de rollen duidelijk. Zonder die basis is het bijna onmogelijk om ‘veilig’ en ‘betrouwbaar’ te zijn.
Informatiebeveiliging en privacy: waar begin je?
Het waarborgen van informatiebeveiliging en privacy is beslist geen sinecure. De complexiteit ervan en de kennis die nodig is, maakt deze onderwerpen voor veel scholen zo overweldigend, dat ze er niet eens aan beginnen. Of het er ‘een beetje bijdoen’. Maar de impact als het fout gaat en de belangen die er spelen, zijn daarvoor echt te groot.
Maar zoals we hierboven al zagen, is informatiebeveiliging inherent aan het inrichten van de processen. Die processen volgen uit de doelen van de school en worden ingericht op basis van de activiteiten die daaruit volgen. Bij het uitwerken van de informatiebehoeftes, -stromen en andere informatievoorzieningen nemen medewerkers met een informatiemanagementrol bij de basis ‘veiligheid’ al mee als uitgangspunt, zodat deze verankerd is in de processen. Is informatieveiligheid toch in het geding, dan zijn er back-upscenario’s voorzien om hier adequaat op te kunnen reageren. Ook ict-functionarissen kijken bij alle activiteiten en in te zetten middelen naar het aspect veiligheid.
FORA biedt houvast voor de praktijk
In de FORA (Funderend Onderwijs Referentie Architectuur) vind je uitgebreide modellen waarmee je processen binnen je school op een gestructureerde manier in kaart kunt brengen. De FORA richt zich op zeven gebieden. De FORA-wiki biedt informatie in detail, maar ook overzichten en schema’s die bruikbaar zijn in de gesprekken tussen de informatiemanager en het bestuur. Zie bijvoorbeeld het overzicht van de FORA-modellen (pdf).
Het proces om leerlinginformatie op orde te krijgen is een goed voorbeeld van hoe het goed inrichten van processen implicaties heeft voor de informatiebeveiliging. Onderstaande procesplaat geeft inzicht in hoe zo’n proces eruit kan zien.
Ga naar de FORA-wiki:
Tips voor het waarborgen van informatiebeveiliging en privacy
Iedereen binnen de school is op een manier betrokken bij informatiebeveiliging en het waarborgen van privacy, en levert hier een eigen grote of kleine bijdrage aan. Geef het juiste voorbeeld, verstrek relevante informatie en spreek mensen aan op gewenste en ongewenste handelswijzen.
Ook, of misschien juist wel vooral, bij informatiebeveiliging is het van wezenlijk belang dat diverse rollenspelers nauw met elkaar samenwerken en doorlopend met elkaar afstemmen. Zorg voor het goed beleggen van rollen, taken, verantwoordelijkheden en bevoegdheden.
Lees verder over informatiemanagement en het belang van informatiebeveiliging en privacy
Lees verder over informatiemanagement op school
Netwerk Informatiemanagement po/vo
Het Netwerk Informatiemanagement po/vo is een netwerk voor ict-verantwoordelijken in het primair en voortgezet onderwijs. In het netwerk deel je kennis en ervaring met collega’s van andere scholen en werk je aan je eigen professionalisering.
Meer informatie en aanmelden