| Nr
|
9
|
| Principe
|
Er wordt zorgvuldig omgegaan met de informatie zodat deze niet in handen komt van onbevoegden. Vertrouwelijkheid van (privacygevoelige) gegevens wordt bewaakt en passende beveiligingsmaatregelen worden getroffen.
|
| Rationale
|
Als onderwijsinstelling moet je voldoen aan wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming (AVG). Dat betekent dat van een onderwijsinstelling wordt verwacht dat zorgvuldig met gegevens wordt omgegaan, en ze niet in handen van onbevoegden komen.
Daarnaast nemen de risico’s toe doordat organisatiegrenzen vervagen en gebruikers tijd- en plaats-onafhankelijk kunnen werken. Maar ook door de toegenomen dreiging van cybercriminaliteit.
|
| Implicaties
|
- Informatiebeveiliging en bescherming van privacy wordt integraal meegenomen bij het ontwerp en de inrichting van digitale diensten en infrastructuur (Ook wel privacy by design en security by design genoemd)
- Alle gegevens en digitale diensten hebben een eigenaar en de toegang wordt expliciet geauthentiseerd en geautoriseerd, tenzij het openbaar toegankelijk is.
- Informatieobjecten zijn voorzien van een BIV-classificatie die aangeeft wat het gewenste niveau van Beschikbaarheid, Integriteit en Vertrouwelijkheid is en wat de daarbij passende maatregelen zijn
- Voor elk informatieobject is er een eenduidige gegevens-definitie en zijn bewaar- en vernietigingstermijnen vastgelegd
- Alle toegang tot gevoelige informatie wordt gelogd en regelmatig beoordeeld.
- Gegevens worden alleen gebruikt voor het doel waarvoor ze verzameld zijn. Voor elk gegeven wordt vastgelegd voor welk doel het verzameld is (ook wel doelbinding genoemd).
- Vertrouwelijke gegevens worden versleuteld als zij zelfstandig, los van een applicatie, beschikbaar worden gesteld.
|
Terug naar het overzicht van de MORA principes