Certificeringsschema informatiebeveiliging en privacy ROSA

Beheerstatus: In beheer - mei 2017
Gebruiksadvies: Verplicht
Werkingsgebied: po vo bve ho

Versie: Certificeringsschema informatiebeveiliging en privacy ROSA 1.1 – 2015 - februari 2015
Versiestatus: Vervallen
Let op: Er is een vastgestelde versie beschikbaar: Certificeringsschema informatiebeveiliging en privacy ROSA v3.0

Beschrijving

In 2016 zijn grote verbeteringen aan het certificeringsschema gemaakt. Deze hebben geleid tot een nieuwe versie. Maakt u nog geen gebruik van het certificeringsschema, dan raden wij u aan om hiervan gebruik te maken: certificeringsschema 2017.

Het Samenwerkingsplatform Informatie Onderwijs (SION) is een samenwerkingsverband van de zes onderwijsraden (PO-Raad, VO-raad, MBO Raad, AOC Raad, Vereniging Hoge scholen en VSNU) die zich bezighouden met het verbeteren van de informatiehuishouding voor wat betreft de gemeenschappelijke vraagstukken die de verschillende deelsectoren in het onderwijs overstijgen. Een van de vraagstukken behelst een veilige en uniforme manier van gegevensuitwisseling binnen de administratieve keten in het onderwijsdomein. Alle ketenpartijen moeten erop kunnen vertrouwen dat gegevens die aan elkaar worden geleverd vialeveranciers van clouddiensten op de juiste manier worden verwerkt. De cloudleverancier zal, via bijvoorbeeld het uitvoeren van onafhankelijke audits, aan alle ketenpartijen moeten kunnen aantonen dat dat vertrouwen gerechtvaardigd is.

Samenhang

Binnen het Samenwerkingsplatform wordt gewerkt aan een ROSA katern privacy en beveiliging, waarin kaders (principes) opgenomen worden waar ketenpartijen, dus ook scholen, (op termijn) aan dienen te voldoen. Voor het hoger onderwijs zijn door SURF juridische normenkaders ontwikkeld voor zowel leveranciers van clouddiensten. Vanuit de ROSA wordt gewerkt aan afstemming en samenhang tussen het schema en andere initiatieven binnen en buiten het onderwijs. Doordat leveranciers inzichtelijk maken dat ze aantoonbare maatregelen genomen hebben, kunnen partijen binnen de keten elkaar nog beter vertrouwen. Toezicht op naleving van de maatregelen zorgt voor een veiliger keten waarin vertrouwelijke gegevens worden uitgewisseld.

Het certificeringsproces valt uiteen in twee onderdelen:

  • Het vaststellen van de betrouwbaarheid van de geboden dienstverlening ten aanzien van de vastgestelde normen. Dit betreft de basisset van normen die door de markt als toonaangevend worden beschouwd, aangevuld met specifieke aanvullingen of interpretaties voor Edukoppeling
  • Een beschrijving van de wijze waarop wordt vastgesteld dat de dienstverlening daadwerkelijk voldoet aan de gestelde normen. In deze versie van het schema is gekozen voor de systematiek van een zogenaamde ‘zelfverklaring’, waarbij de leverancier zelf vaststelt en verklaart dat zijn product of dienst aan de normen voldoet (en in welke mate).

Meerwaarde

Met het Certificeringsschema kunnen binnen het onderwijsdomein clouddiensten en -leveranciers worden getoetst op basis van een gezamenlijk opgesteld ‘normenkader’.

Ontwikkelingen

Het Certificeringsschema ROSA is oorspronkelijk ontwikkeld en aangemeld bij Edustandaard onder de naam Certificeringsschema Edukoppeling. Hierdoor wordt het certificeringsschema vaak verward met de Edukoppeling Transactiestandaard. Hoewel beide afspraken veel met elkaar te maken hebben is het bereik van het certificeringsschema breder dan alleen de gegevensuitwisseling sec. Het Certificeringsschema ROSA gaat ook over andere aspecten van gegevensverwerking. De documentatie die u hier aantreft bevat nog de oude benaming.

Bijeenkomsten

Er zijn geen bijeenkomsten gepland.
Documentatie van eerdere bijeenkomsten is terug te vinden in het overzicht bijeenkomsten.