IBP-tooling: 10 aandachtspunten
IBP-tooling, AVG-tooling, Privacy Suite, Privacy Tooling en allerlei andere AVG-tools schieten als paddenstoelen uit de grond. Deze toolings worden aangeboden door leveranciers die zich richten op de ‘groeimarkt’ informatiebeveiliging en privacy. Dit is natuurlijk een goede zaak, maar scholen willen meer informatie over deze privacy tools. Zorgen deze toolings inderdaad voor meer veiligheid? We krijgen veel vragen hierover en hebben daarom besloten om dit artikel te gaan schrijven. Hieronder 10 aandachtspunten, zodat scholen weten waarop ze moeten letten bij een IBP-tooling of AVG-tooling.
1 – Voorbereiding
U zult gemerkt hebben dat bij veel leveranciers de mogelijkheden eindeloos zijn. Hoe interessant al die mogelijkheden ook klinken, het is verstandig om na te gaan of de tooling beheersbaar is. Het succes van een nieuwe tooling hangt ook af van hoe gemakkelijk die te implementeren en te gebruiken is. Sommige toolings bieden zoveel functionaliteiten en wizards, dat men door de bomen het bos niet meer kan zien. Verlies het doel niet uit het oog en stel kritische vragen. Heeft uw school een IBP-tooling nodig? Waarvoor heeft uw school een IBP-tooling nodig? Is het een beheersbaar pakket of moet er juist veel tijd ingestoken worden?
2 – Inhoud
De bruikbaarheid van een IBP-tooling is cruciaal. Voldoet de tooling aan moderne best practices? Kunnen gebruikers snel en gemakkelijk navigeren? Waarin onderscheidt de tooling zich ten opzichte van de tools en documenten van Kennisnet bijvoorbeeld. Kennisnet heeft de volgende tools en voorbeelddocumenten ontwikkeld voor het onderwijs en ze zijn gratis:
Tool: Modelreglement cameratoezicht
Tool: modelreglement sociale media voor leerlingen en medewerkers
Tool: Modelovereenkomst van het privacyconvenant
Tool: Model privacyreglement po en vo
Tool: geheimhoudingsverklaring
Tool: Voorbeeldgedragscode ict leerlingen en medewerkers
Tool: Template IBP-beleidsplan
Tool: Voorbeeld toestemmingsformulier
Tool: Modelregeling taken en verantwoordelijkheden FG
Digitale tool voor passend onderwijs en privacy
Kijk kritisch naar de inhoud van de toolings die door verschillende leveranciers worden aangeboden. Het moet niet zo zijn dat scholen gaan betalen voor (gratis) producten van Kennisnet die in een nieuw jasje zijn gestoken door commerciële partijen. De inhoud moet meerwaarde hebben en toepasbaar zijn.
3 – Kosten
Houd rekening met ‘verborgen kosten’ en lees de kleine letters goed. Moet er betaald worden voor wijzigingen? U kunt best ook rekening houden met implementatiekosten en de investering voor trainingen van de mensen die met de privacy-tooling of IBP-tooling moeten werken. Denk ook aan de kosten van de hosting en inrichtingskosten. Bij sommige aanbieders loopt dit al gauw in de duizenden euro’s.
4 – Back-ups
Vraag aan de leveranciers van de IBP-toolings/ AVG-toolings hoe vaak er back-ups worden gemaakt. Zijn de back-ups versleuteld en of ze op een fysiek andere plaats worden opgeslagen. Ook is het belangrijk om te weten hoe snel de back-up teruggezet kan worden als dat nodig is. Het gaat uiteindelijk om gegevens van uw school en die wilt u goed beschermen.
5 – Storingen
Hoe snel kunnen storingen worden gedetecteerd? Welke specifieke afspraken kunnen er gemaakt worden?
6 – Bescherming
Zijn er voldoende maatregelen getroffen om uw gegevens te beschermen? Welke oplossing is hiervoor ingezet?
7 – Toegang
Op welke manier en aan wie wordt er toegang verleend voor beheerswerkzaamheden? Wordt er gebruik gemaakt van een autorisatiematrix? Op welke wijze worden wachtwoorden en persoonlijke sleutels verstrekt? Als er fouten zijn gemaakt, bestaat er dan een audit trail om te achterhalen wat er is misgegaan?
8 – Updates
Hoe wordt er omgegaan met de installatie van periodieke updates. Hoe vaak en hoe snel wordt die geïnstalleerd?
9 – Juridisch
Het is belangrijk om te weten onder welk (internationaal) recht uw data valt. Wordt u data in Nederlandse of buitenlandse datacenters opgeslagen? Vraag ook naar de subverwerkers die betrokken zijn. Lees de overeenkomsten en algemene voorwaarden goed.
10 – Na de implementatie
Heel vaak zie je dat bepaalde opties slechts voor een bepaalde periode worden aangeboden. Over een jaar moet er voor dezelfde opties extra betaald worden. Let ook hierop. Ook is het belangrijk om te bespreken hoe het gaat met configuraties?
De vraag die scholen moeten stellen is of een IBP-tooling voor een betere inrichting van de AVG gaat zorgen. De AVG-tooling is slechts een aanvulling op de professionals die met de inrichting van de AVG bezig zijn. Daarom is het belangrijk om niet alleen de kosten van de tooling in kaart te brengen, maar ook rekening te houden met de tijd en resources die vrijgemaakt moeten worden om medewerkers met de nieuwe tooling te laten werken.
Er zijn genoeg voorbeelden van scholen die dure toolings hebben aangeschaft om operationele processen opnieuw in te richten. Echter was er vooraf niet goed nagedacht hoe er gewerkt moest worden met de tooling en hoe de tooling de processen precies zou ondersteunen. Elke tooling vereist veel inhoudelijke expertise om ermee te kunnen werken. Toolings kunnen soms een probleem worden in plaats van een oplossing.
Overwegingen:
- Heb je tooling nodig om de AVG te implementeren?
- Kun je met de tooling de AVG borgen?
- Is naast het beleid en protocollen ook gedacht aan het operationele proces? Met andere woorden, kun je met de tooling ook aan de dagelijkse processen bijhouden?
- Is de tooling beheersbaar en werkbaar of is het juist een overkill aan documenten?
- Veel scholen klagen over de enorme lange wizards in de IBP-toolings en dat ze door de bomen het bos niet meer zien. Vraag naar ervaringen van andere scholen, want dat levert altijd de juiste informatie op.
- Een privacy tooling is slechts een hulpmiddel en geen borgingsproduct.
- Een tooling is alleen interessant als de organisatie er rijp voor is.
Heeft u nog vragen over de AVG? Neem dan vrijblijvend contact met ons op.