Schoolbestuur
Het schoolbestuur als verwerkingsverantwoordelijke voorziet de nodige tijd en middelen voor de evaluatie van de genomen maatregelen op basis van de periodiciteit vastgelegd in het IVP-beleid. Indien nodig actualiseert het schoolbestuur de maatregelen.

Aanspreekpunt informatieveiligheid
​​​​​​​Het aanspreekpunt informatieveiligheid (AIV) plant de evaluatie van de maatregelen op basis van de periodiciteit vastgelegd in het IVP-beleid. Het AIV kan de evaluaties ook uitvoeren. Het aanspreekpunt rapporteert aan het schoolbestuur.

Data Protection Officer
​​​​​​​De Data Protection Officer (DPO) of functionaris voor gegevensbescherming adviseert en informeert het aanspreekpunt informatieveiligheid en het schoolbestuur bij het plannen van de evaluaties.

ICT-coördinator
​​​​​​​De ICT-coördinator helpt mee bij de uitvoering van de evaluaties en indien nodig bij het actualiseren van de maatregelen.

Verwerker
De verwerker dient, afhankelijk van de aard van de verwerking, aan de uitvoerder van de evaluatie bijstand te verlenen.

Personeelslid
​​​​​​​Personeelsleden kun je betrekken bij het evalueren van de maatregelen.

Soms wordt een onderwijsinstelling met de neus op fouten gedrukt. Bijvoorbeeld wanneer er een klacht van een betrokkene binnenkomt, een server is besmet met ransomware (gijzelsoftware) of er een gegevenslek is geweest. Beveiligingsincidenten zijn een aanleiding om het IVP-beleid en de implementatie ervan bij te sturen.

De wetgeving, procedures, technologie … allemaal zijn ze voortdurend aan verandering onderhevig. Hetzelfde geldt voor een onderwijsinstelling, of het nu gaat om verandering in het opleidingsaanbod, een wijziging in het personeel of een update van gegevensverwerkende processen. De verwerkingsverantwoordelijke zal daarom op geregelde tijdstippen moeten kijken of de genomen maatregelen nog wel geschikt zijn. Een manier om dit te doen is de Plan-Do-Check-Act (PDCA) verbetermethode (de kwaliteitscirkel van Deming). De PDCA-methode is bedoeld als verbeterproces en kun je gebruiken voor het bijwerken van alles dat te maken heeft met het IVP-beleid.

• Plan: in de plan-fase analyseer je het probleem. Je bedenkt wat er nodig is om het doel te bereiken en ontwikkelt een plan om het probleem op te lossen.
• Do: vervolgens voer je het plan op kleine schaal uit. In deze fase verzamel je de gegevens die nodig zijn om te meten of het plan gelukt is.
• Check: in de check-fase analyseer je de gegevens uit de do-fase en beoordeel je of het plan goed is uitgevoerd. Als het doel niet bereikt wordt, begin dan de PDCA-cyclus opnieuw.
• Act: in de laatste fase pas je het plan op basis van de beoordeling op brede schaal toe.

Door te observeren, gesprekken te voeren, bevragingen te doen, simulaties uit te voeren … kun je achterhalen of de gegevensverwerkingen worden uitgevoerd conform de GDPR/AVG. De uitvoerder rapporteert aan de verwerkingsverantwoordelijke en het aanspreekpunt informatieveiligheid. Op basis van het resultaat worden de maatregelen aangepast.