Risicoanalyse … waarom?

Slides:



Advertisements
Verwante presentaties
Wilt u meer weten over Regelhulp.nl? Kijk op of stuur een naar
Advertisements

Regelhulp Regelhulp.nl is een digitale wegwijzer van de overheid voor iedereen die zoekt naar zorg of ondersteuning. Het webportaal bevat actuele informatie.
Vervolgbijeenkomst 2 Procesfasering bij Leren Leren.
Kennis maken met Opbrengstgericht werken
Beheer van gebruikers en groepen lancering DSH Leuven 2-feb-2009 Jan Vangrinsven.
Risico’s en gevaren van techniek
Het opzetten van een kwaliteitssysteem
SAMEN AAN ZET Workshop voor leidinggevenden én docenten.
Peter Schwartz The art of the long view stappenplan
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
Samen aan zet Workshop voor bestuurders
PoRaad Herman Bijsterbosch 1 maart 2013.
Edukoppeling certificering
Programmeren met If This Then That (IFTTT)
OFC28 mediawijsheid les 7 leren door te maken
Zorgstructuur op basisschool Pius X
SURF Juridisch normenkader cloudservices
Keuzes in regionale samenwerking Eerste verkennende regiobijeenkomst declaratieprocessen.
LOOPBAANSCAN MEDEWERKERS SECTOR WATERSCHAPPEN. JOUW LOOPBAAN De nieuwe cao sector waterschappen biedt kansen om jezelf verder te ontwikkelen in je loopbaan!
H6 Risicomanagement. Risicpmanagement stap 1 Factoren inventariseren die projectresultaat beïnvloeden Gevolg bedrijfsresultaat (externe projecten): –Financieel.
Informatiebeveiliging in het onderwijs. Doel 1.Informeren over de rol van Edustandaard ten aanzien van informatiebeveiliging 2.Doorspreken over de rol.
BBM workshop Educatie & Jeugdbeleid 20 april 2015 Tilburg.
Certificeringsschema
Informatiebeveiliging in het onderwijs. Doel Bespreken van…. Wat moet de rol van Edustandaard zijn ten aanzien van informatiebeveiliging binnen het onderwijs?
Pgb processen CZ zorgkantoren Midas van den Berk.
Management en Organisatie een nieuw vak in de tweede fase.
De (groei)indicatoren 8.2 en 2.1 en wat vraagt de Inspectie van het Onderwijs.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
De Gelderse Gezondheidswijzer
MAAK HET ONDERNEMERS MAKKELIJK! MET EEN REGELHULP IN 7 STAPPEN.
Werkdruk en de mr Annemieke Schoemaker Trainer/adviseur.
Spel Politiek Nederland
Passend onderwijs.
Risicoanalyse .
Grip op veiligheid en risico’s op de werkplek en het voorkomen van verzuim Hoe zorg ik voor een goed beleid om (financiële) risico’s van veiligheid zoveel.
Privacy… ook voor jou? Informatiebeveiliging en privacy in het mbo
Een vergadering organiseren
Informatiebeveiliging en privacy….
Format Presentatie CISO aan gemeentebestuur
Privacy binnen de Drechtsteden
Bescherming Persoonsgegevens
Privacy binnen de Drechtsteden
Nadere uitleg gewenst()
Bedrijfseconomie (en die andere 2) komt als vak niet voor in de onderbouw. In deze presentatie willen wij je een idee geven over:
Bedrijfseconomie (en die andere 2) komt als vak niet voor in de onderbouw. In deze presentatie willen wij je een idee geven over:
INFORMATIEBEVEILIGING EN pRIVACY Borgesiusstichting
Process Mining.
De Kwaliteit Verbetercyclus
PGS 15 in de praktijk gelijkwaardige situaties
IBP-beleid en AVG mei 2018.
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
De Wiekslag werkt samen aan veiligheid
Vergadering Personeelsdienst
Risicoanalyse … waarom?
IBP-beleid en AVG mei 2018.
Rapportage van voortgang of status
Privacy en Leerplicht/RMC
Prioriteiten stellen.
Risicoanalyse … waarom?
Presentatie Peer-review rapportage
Cursus Interne auditor
Leerwerkplan EM2X Daphne Keller.
Handleiding Prodas-app
Privacy en bescherming persoonsgegevens 2018
Workshop – Opdracht, speelveld en verwachtingen
Algemene verordening Gegevensbescherming AVG
Stap drie bij projecten
Taallab 3.0 Online geletterdheid
IBP en AVG, wat moet wij er op school mee?
Transcript van de presentatie:

Risicoanalyse … waarom? Het doel van de jaarlijkse risicoanalyse is om instelling breed te bepalen wat de grootste risico’s zijn op het gebied van informatiebeveiliging en privacy. Het geeft inzicht en overzicht. Een risicoworkshop laat je nadenken. Jaarlijks…? Ja, om de effectiviteit van de maatregelen te beoordelen en nieuwe ontwikkelingen te beoordelen. De uitkomst is een prioriteitenlijst, de basis voor het nemen van maatregelen. Je weet dan waarin je als eerste moet investeren.

Risicoanalyse … hoe begin je? Risicoanalyse in de vorm van een workshop werkt prettig. Verzamel mensen met verschillende rollen en taken; max. 6 personen. Wat zijn de risico’s Deze hebben de hoogste prioriteit Kijk vervolgens naar: de situatie op school; wat je allemaal ’hebt’; waar zitten de risico’s; het beeld dat iedereen heeft van de gevolgen.

Situatie op school, wat heb je allemaal…

Waar zitten de risico’s? Risico’s en maatregelen met betrekking tot Informatiebeveiliging en privacy raken elke organisatie op veel gebieden, zowel intern als extern. Door deze gebieden te groeperen in zes clusters* zijn de risico's en maatregelen overzichtelijker te maken. Verwijzing naar MBO normenkader en toetsingskader De Aanpak is gebaseerd op de wetteksten van AVG en Wbp, daarnaast bevat het een groot aantal punten uit de ISO-normen. Ook zijn de maatregelen gebaseerd op het framework IBP voor het mbo, dat weer is gebaseerd op het normenkader informatiebeveiliging zoals dat in het hoger onderwijs wordt toegepast. * Uit de complete set van 114 normen van de versie 2013 van het ISO 27002 normenkader is een selectie gemaakt van 79 normen, door-vertaald naar 85 statements. De statements zijn in een zestal voor het onderwijs relevante clusters verdeeld:

Heeft iedereen hetzelfde beeld? Reputatieschade: imagoschade door o.a. examenfraude, wachtwoorden op straat, gestolen toetsen/examens. Financiële schade: onjuiste data kan bekostiging van leerlingen in gevaar brengen; ook claims of boetes hebben financiële consequenties. Continuïteit het onderwijs: Cybercrime en DDos-aanvallen kunnen het onderwijs enorm verstoren. Wet en regelgeving: er moet o.a. aantoonbaar voldaan worden aan de AVG. Cloudrisico’s: toepassingen in de cloud leveren specifieke aandachtspunten op zoals eigenaarschap, toegang en privacy, continuïteit van de dienstverlening van externe partijen, etc. Kennisniveau te laag: ontwikkelingen gaan snel. Onvoldoende kennis kan leiden tot onjuiste beslissingen ten aanzien van IBP.

Maar wat is een risico? Een risico is: <Een gebeurtenis> Leidt tot <een gevolg> Door <een oorzaak> Kans: Impact: Bijvoorbeeld: Een openstaande voordeur Leidt tot diefstal van verschillende laptops Door dat de laptops niet goed waren opgeborgen De kans dat dit gebeurt is klein. De impact hiervan is gemiddeld.

Wat is klein en wat is groot? De inschatting van kans en impact is altijd subjectief. Maak hier afspraken over. Kans: kans op optreden van een risico Klein (1) zal minder dan jaarlijks voorkomen Middel (2) kan meerdere keren per jaar voorkomen Groot (3) kan dagelijks voorkomen Impact: effect wanneer het risico optreed Klein (1) verstoring van het niet-primaire proces, alleen intern merkbaar Middel (2) verstoring van het primaire proces, extern merkbaar, snel opgelost Groot (3) verstoring van het primaire proces, reputatieschade, langdurig Het risico wordt weergegeven door kans x impact. Dus is de kans gemiddeld en de impact groot, dan scoort het risico een 6

Tips om risico’s te inventariseren Tip 1: Vragen kunnen helpen om een risico te benoemen. Zoek samen naar antwoorden op de volgende vragen: Aan welke oplossingen/maatregelen heb ik al eerder gedacht? Welke apparaten gebruik ik elke dag? Wanneer of waarover krijgen we veel telefoontjes van ouders? Waar hebben we eigenlijk geen zicht op?

Tip 2: Ga uit van een voorbeeld Ga uit van een voorbeeld om gevoel te krijgen bij risico’s. V.b. 1: Toegang tot (persoons)gegevens; Wie mogen/kunnen welke (persoons)gegevens inzien en waarom? Denk bij toegang ook aan wachtwoorden, fysieke toegang, beveiliging smartphone en tablet, autorisatiematrix, vergrendelen beeldscherm enz. Bedenk minimaal 2 risico’s rondom het thema toegang tot gegevens. Bespreek hierbij ook de kans en de impact.

Werk toegang tot gegevens uit Een gebeurtenis …… Leidt tot (effect) …… Door(oorzaak) …… Cluster: Opmerkingen:

V.b. 2: persoonsgegevens uitwisselen Hoe zit het met het uitwisselen van persoonsgegevens bij ons? Denk daarbij aan de online apps, waarvoor leerlingen moeten inloggen met hun e-mail adres. De gegevens die worden uitgewisseld met GGD, andere scholen, gemeente, schoolmaatschappelijk werk enz.? Bedenk minimaal 2 risico’s rondom het thema (persoons)gegevens uitwisselen. Bespreek hierbij ook de kans en de impact.

Werk persoonsgegevens uitwisselen uit Een gebeurtenis …… Leidt tot (effect) …… Door(oorzaak) …… Cluster: Opmerkingen:

Risico’s vragen om maatregelen De volgende stap is het bepalen van de maatregelen die moeten worden genomen om de risico’s te beperken. Veel maatregelen zijn terug te vinden in de Aanpak IBP in de vorm van templates, adviezen en hulpmiddelen. https://aanpakibp.kennisnet.nl/ Is de ‘startpagina’ om IBP goed geregeld te krijgen. Zorg ervoor dat je school voldoet aan de eisen van de AVG