Onderwijsstichting
Net zoals de zorg en de sociale woningbouw beschikt het onderwijs over een door de sector zelf opgestelde referentieprocesarchitectuur (normenkader IBP).
Situatie
Bij de naleving van de AVG, in het bijzonder bij het opstellen van het register van verwerkingen, lijkt onvoldoende gebruik te zijn gemaakt van een synchronisatie met IBP. Het gevolg: het register van verwerkingen loopt niet in de pas met de realiteit op de werkvloer.
Aanpak
We starten met een op het normenkaderIBP gebaseerd register van verwerkingen. Gevolgd door het uitvoeren van de negen sprints:
-
Sprint 1 -
Intake & Governance
We bepalen de scope, rollen en governance voor een solide compliance-fundament. -
Sprint 2 -
Processen & Datastromen
We brengen alle relevante processen en datastromen in kaart en valideren ze. -
Sprint 3 -
Leveranciers & Ketenpartners
We beoordelen alle externe partijen op contracten, beveiliging en compliance-eisen. -
Sprint 4 -
Rechten & Incidenten
We richten uniforme workflows in voor rechtenverzoeken, klachten en incidentmeldingen. -
Sprint 5 -
Bewijs & Beleid
We automatiseren - nu reeds 60% - daar waar mogelijk de aanmaak van bewijsmiddelen. -
Sprint 6 -
Assets & Maatregelen
We koppelen kritieke assets aan risico’s en passende organisatorische en technische maatregelen. -
Sprint 7 -
Impactanalyse & Risico’s
We voeren verplichte impactanalyses uit en borgen een consistente risicobeoordeling. -
Sprint 8 -
Centrale Actielijst
We bundelen alle bevindingen in één actielijst met duidelijke prioriteiten en eigenaren. -
Sprint 9 -
Overdracht & PDCA
We dragen de gereviewde omgeving over inclusief een op PDCA-basis.
Resultaat
- Eén met IBP gesynchroniseerde bron van waarheid
- Minder ruis; korter overleg met auditoren/bestuur
- AVG en ISO27001/2 aantoonbaar compliant
- Voorspelbare audits
Wat we hebben geleerd
Gebruikmaken van de IBP architectuur zorgt voor eenvormigheid en transparantie.