Inrichten IBP-maatregelen
Deze pagina toont de conceptuitwerking voor het informatievoorzieningsdomein IBP (Informatiebeveiliging en Privacy). De scope van dit IV-domein is Informatiebeveiliging en privacy van ict-toepassingen (of 'diensten'). IBP is in de basis breder, en omvat bijvoorbeeld ook zaken als fysieke beveiliging en awareness die buiten scope van dit IV-domein vallen.
Merk op dat, conform de scope van ROSA, IBP hier beschouwd wordt vanuit de keten. Organisaties binnen de keten moeten als organisatie zelf ook hun informatiebeveiliging en privacybescherming op orde hebben. Die - organisatiespecifieke - invulling is gestoeld op een interne plan-do-check-act-cyclus van risicoanalyse, beheersmaatregelen en controles. Zo'n managementinstrument wordt ook wel een ISMS (information security management system) genoemd - waarbij 'systeem' overigens niet staat voor een softwaresysteem maar voor een manier van werken gericht op sturing en beheersing.
In de uitwerking wordt ook de relatie gelegd met rollen Verwerker, Verwerkingsverantwoordelijke en Betrokkene die in de AVG zijn benoemd, en van toepassing zijn indien er sprake is van verwerking van persoonsgegevens. De invulling van die rollen, en de precieze correspondentie tussen de AVG en de algemenere IBP-rollen Aanbieder, Afnemer en Gebruiker, kan per situatie anders zijn ingevuld. De rol van 'Verantwoordelijke' kan bijvoorbeeld worden ingevuld door een Onderwijsinstelling, een Leverancier die rechtstreeks aanbiedt, een overheidspartij, etc. De relaties in het model drukken dit als volgt uit:
- Een Aanbieder van een Ict-toepassing kan een Verwerker zijn (indien de verwerking van persoonsgegevens in opdracht / onder verantwoordelijkheid van een andere partij plaats vindt) en/of een Verwerkingsverantwoordelijke (indien de aanbieder zelf het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt).
- Een Afnemer van een Ict-toepassing die persoonsgegevens verwerkt kan, indien de afnemer het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, Verwerkingsverantwoordelijke zijn in de zin van de AVG.
- Een Gebruiker van een Ict-toepassing zal in de regel ook één van de Betrokkenen zijn in de zin van de AVG, omdat bij het gebruik van een Ict-toepassing vaak sprake is van persoonsgegevens (namelijk gebruiksgegevens aan de hand waarvan de gebruiker direct of indirect kan worden geïdentificeerd). Merk op dat een betrokkene zelf geen gebruiker van de toepassing hoeft te zijn - denk bijvoorbeeld aan de registratie van informatie over een Onderwijsdeelnemer in een administratiesysteem.