• Uitleg
• |
• Informatiemanagement
• |
• po
• vo

Informatiemanagement en het belang van informatiebeveiliging en privacy

Veiligheid op een school kan over veel dingen gaan: fysieke veiligheid, sociale veiligheid en ook over informatieveiligheid. Over dat laatste gaat dit artikel in de reeks Informatiemanagement op school, waarin we uitleggen wat informatiebeveiliging precies is en hoe het zich verhoudt tot ict-beveiliging.

Door Okko Huising

25 november 2022

5 minuten lezen

Om meteen met die vraag te beginnen: wat is informatiebeveiliging en hoe verhoudt het zich tot ict-beveiliging? We zullen zien dat ze een nauwe relatie hebben. Informatiebeveiliging heeft betrekking op de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit. Daarnaast gaat informatiebeveiliging over de maatregelen die nodig zijn om die betrouwbaarheid te waarborgen en het onderhouden en controleren van die maatregelen.

Wie heeft toegang tot welke informatie

Een informatiemanager ontwerpt de processen die ten grondslag liggen aan informatiebeveiliging. Hiervoor is het belangrijk dat bekend is welke taken, verantwoordelijkheden, bevoegdheden en rollen hierbij komen kijken. Want wanneer duidelijk is wie wat mag vanuit welke rol, is dit in te regelen in een veilig werkproces. De financiële administratie kan dan bijvoorbeeld niet bij de leerlinggegevens. En een ouder of verzorger kan alleen bij de resultaten van het eigen kind en niet bij die van andere leerlingen.

Ict-beveiliging betreft dus de beveiliging van de ict-middelen die worden ingezet. Ict-beveiliging heeft betrekking op identiteiten en de toegang die deze identiteiten hebben.

Iedereen is verantwoordelijk voor goede informatiebeveiliging

In het artikel Taken en verantwoordelijkheden bij informatiemanagement gaven we al aan dat het belangrijk is dat functionarissen met diverse rollen nauw met elkaar samenwerken en doorlopend zaken met elkaar afstemmen. In het kader van veiligheid is dit misschien nog wel belangrijker.

Het gaat hierbij specifiek over de rollen van informatiemanagement, gegevensbescherming en ict, maar eigenlijk geldt het voor iedereen die werkzaam of actief is binnen de school. Elke persoon is op een eigen manier betrokken bij informatiebeveiliging en het waarborgen van privacy, en levert hier een grote of kleine bijdrage aan.

Geef het juiste voorbeeld

Dat leidt ons naar een van de grootste uitdagingen bij het realiseren van goede informatiebeveiliging en privacy. Dat is niet alleen de juiste inzet en gebruik van technologie, maar vooral het gedrag van anderen waar je geen controle over hebt. Maar gedrag is wel te beïnvloeden door het continu geven van het juiste voorbeeld, het verstrekken van relevante informatie en het aanspreken van mensen op gewenste en ongewenste handelswijzen. Zorg er dus altijd voor dat de processen op orde zijn en de rollen duidelijk. Zonder die basis is het bijna onmogelijk om ‘veilig’ en ‘betrouwbaar’ te zijn.

Informatiebeveiliging en privacy: waar begin je?

Het waarborgen van informatiebeveiliging en privacy is beslist geen sinecure. De complexiteit ervan en de kennis die nodig is, maakt deze onderwerpen voor veel scholen zo overweldigend, dat ze er niet eens aan beginnen. Of het er ‘een beetje bijdoen’. Maar de impact als het fout gaat en de belangen die er spelen, zijn daarvoor echt te groot.

Maar zoals we hierboven al zagen, is informatiebeveiliging inherent aan het inrichten van de processen. Die processen volgen uit de doelen van de school en worden ingericht op basis van de activiteiten die daaruit volgen. Bij het uitwerken van de informatiebehoeftes, -stromen en andere informatievoorzieningen nemen medewerkers met een informatiemanagementrol bij de basis ‘veiligheid’ al mee als uitgangspunt, zodat deze verankerd is in de processen. Is informatieveiligheid toch in het geding, dan zijn er back-upscenario’s voorzien om hier adequaat op te kunnen reageren. Ook ict-functionarissen kijken bij alle activiteiten en in te zetten middelen naar het aspect veiligheid.

FORA biedt houvast voor de praktijk

In de FORA (Funderend Onderwijs Referentie Architectuur) vind je uitgebreide modellen waarmee je processen binnen je school op een gestructureerde manier in kaart kunt brengen. De FORA richt zich op zeven gebieden. De FORA-wiki biedt informatie in detail, maar ook overzichten en schema’s die bruikbaar zijn in de gesprekken tussen de informatiemanager en het bestuur. Zie bijvoorbeeld het overzicht van de FORA-modellen (pdf).

Het proces om leerlinginformatie op orde te krijgen is een goed voorbeeld van hoe het goed inrichten van processen implicaties heeft voor de informatiebeveiliging. Onderstaande procesplaat geeft inzicht in hoe zo’n proces eruit kan zien.

Tips voor het waarborgen van informatiebeveiliging en privacy

Iedereen binnen de school is op een manier betrokken bij informatiebeveiliging en het waarborgen van privacy, en levert hier een eigen grote of kleine bijdrage aan. Geef het juiste voorbeeld, verstrek relevante informatie en spreek mensen aan op gewenste en ongewenste handelswijzen.

Ook, of misschien juist wel vooral, bij informatiebeveiliging is het van wezenlijk belang dat diverse rollenspelers nauw met elkaar samenwerken en doorlopend met elkaar afstemmen. Zorg voor het goed beleggen van rollen, taken, verantwoordelijkheden en bevoegdheden.