Certificeringsschema informatiebeveiliging en privacy ROSA

Versie: Certificeringsschema informatiebeveiliging en privacy ROSA v3.0
Status: Definitief - mei 2022
Sector: PO VO MBO HO

Beschrijving

In deze standaard worden afspraken gemaakt over het (basis)niveau van informatiebeveiliging en privacy voor toepassingen die worden gebruikt binnen in het onderwijs (PO, VO, MBO en HO). Het bepaalt het niveau voor Betrouwbaarheid, Integriteit en Vertrouwelijkheid van een toepassing en schrijft op basis daarvan de benodigde maatregelen voor (zie Toetsingskader). Daarnaast geeft deze standaard invulling aan de wijze waarop dit bewerkstelligd kan worden (zie Proces). En hoe dit getoetst kan worden (zie Toezicht). Onderwijsinstellingen moeten er namelijk vanuit kunnen nagaan dat persoonsgegevens op een veilige manier worden verwerkt door onderwijstoepassingen binnen het onderwijs.

Het certificeringsschema bestaat uit een set van documenten. Welke versies van deze documenten zijn vastgesteld en de meest recente versies, staan in onderstaande tabel:

Document Type Vastgesteld Meest recente versie
Algemene beschrijving Tekstdocument 3.0
Proces Tekstdocument 3.0
Toetsingskader* Spreadsheet 3.0
Toezicht Tekstdocument 3.0

* Classificatie is hier onderdeel van.

In deze versie (2022) is het Toetsingskader grondig herzien en is het functioneel uitgebreid. Qua vorm zijn de vragen voor classificatie nu onderdeel van het Toetsingskader, zodat op basis daarvan direct de juiste maatregelen worden getoond. Ook wordt de rapportagevorm automatisch opgemaakt. Qua inhoud zijn de vragen en maatregelen verduidelijkt. De maatregelen zijn in sommige gevallen ook aangescherpt. Onder andere om a) aan te sluiten bij de huidige stand van techniek en het huidige dreigingsbeeld, zoals voor de back-upinrichting en minimaal 2FA voor beheertoegang; en b) om preciezer te zijn in verantwoordelijkheden van de leverancier (de verwerker). Op basis van het nieuwe Toetsingskader zijn de begeleidende teksten zoals de ‘Algemene beschrijving’, ‘Proces’ en ‘Toezicht’ bijgewerkt.

Samenhang

Het certificeringsschema wordt gebruikt om informatiebeveiligingseisen te specificeren voor toepassingen die middels Edukoppeling zijn aangesloten. Edukoppeling is de standaard voor veilige gegevensuitwisseling tussen toepassingen binnen het onderwijs.

Ook hangt het samen met de algemene normenkaders voor IBP, die door het PO, VO, MBO en HO worden gebruikt. Deze normenkaders geven richting aan de invulling van Informatiebeveiliging en Privacy d.m.v. volwassenheidsniveau. Het Certificeringschema sluit daarop aan; het geeft daar een nadere invulling op basis van het BIV-niveau, per onderwijstoepassing. Ofwel, het is complementair aan elkaar.

Verder wordt in een aantal maatregelen van het certificeringsschema doorverwezen naar andere standaarden, zoals die van Uniforme Beveiligingsvoorschriften. Die op hun beurt ook weer gebruikmaken van het classificatiemodel binnen het Toetsingskader om maatregelen aan te wijzen op basis van het BIV-niveau.

Daarnaast wordt het certificeringsschema standaard gebruikt binnen het Convenant digitale onderwijsmiddelen en privacy, om overeen te komen (middels de verwerkersovereenkomst) dat de juiste maatregelen worden genomen. De deelnemers van dit convenant – de verwerkers – dienen namelijk in het beginsel de rapportagevorm te gebruiken van dit certificeringsschema. De deelnemers maken daarvoor gebruik van het Toetsingskader om de juiste BIV-niveau te bepalen en te toetsen of de juiste maatregelen zijn getroffen. De rapportage wordt toegevoegd aan de beveiligingsbijlage van de verwerkersovereenkomst.

Meerwaarde

Met het Certificeringsschema kunnen organisaties die ict-toepassingen leveren in het onderwijs, getoetst worden op basis van een gezamenlijk opgesteld ‘normenkader’ dat wordt beheerd binnen Edustandaard. Organisaties worden daarom niet meermalen getoetst op verschillende normenkaders en kunnen eenvoudig aantonen dat ze informatiebeveiliging en privacy op orde hebben.

Onderwijsinstellingen kunnen eenvoudig nagaan of een organisatie voldoet aan de gestelde maatregelen.

Gebruik

De licentie op het certificeringsschema is CC BY 4.0 (Attribution 4.0 International). Dit betekent in eenvoudige termen dat u vrij bent om het werk te delen en te bewerken, mits u bronvermelding toepast. Let wel op dat het certificeringsschema specifiek is ontworpen voor de educatieve keten.

Heeft u vragen of ideeën over het certificeringsschema? Suggesties, aanvullende maatregelen of beter formuleringen zijn van harte welkom. Mail naar info(Replace this parenthesis with the @ sign)edustandaard.nl, met “Certificeringsschema” in het onderwerp. Uw ervaringen helpen ons ook met vaststellen of het certificeringsschema goed te gebruiken is en zijn doelen bereikt.

Wilt u meewerken aan het certificeringsschema? Dan kunt u zich aanmelden voor de werkgroep IBP.

Implementatie

Om het Certificeringsschema als organisatie toe te passen wordt de volgende werkwijze aangeraden:

  1. Download de meest recente versies in bovenstaande tabel
  2. Lees de algemene beschrijving
  3. Ga aan de slag met het Toetsingskader en volg daar de stappen

In het toetsingskader worden alle benodigde stappen toegelicht, wat leidt tot een rapportage van de huidige situatie. De inspanning hiervoor bedraagt 40-60 uur verdeeld over verschillende personen en staat in meer detail beschreven in het procesdocument.

Ontwikkelingen

Deze standaard is onderdeel van de Referentie Onderwijs Sector Architectuur (ROSA ) en wordt binnen Edustandaard beheerd door de werkgroep IBP. Deze werkgroep bestaat uit IBP-specialisten uit de onderwijsketen en vertegenwoordigt zowel onderwijs als leveranciers. Via deze werkgroep kunnen alle partijen in de onderwijsketen invloed uitoefenen op de inhoud van deze standaard.

Bijeenkomsten

Er zijn geen bijeenkomsten gepland.
Documentatie van eerdere bijeenkomsten is terug te vinden in het overzicht bijeenkomsten.