Het verwerken van persoonsgegevens maakt het noodzakelijk om adequate maatregelen te nemen op het gebied van informatieveiligheid en privacy (IVP).
Elke verwerkingsverantwoordelijke moet de GDPR-verordening naleven en moet dit kunnen aantonen (art. 5(2) GDPR). De GDPR-verordening bepaalt onder welke voorwaarden persoonsgegevens verwerkt mogen worden en legt ook een aantal beveiligingsmaatregelen op.
Het school-, internaat- of centrumbestuur moet dit beleid opmaken.
Het hebben van een IVP-beleid op papier is niet voldoende. Het bestuur moet het IVP-beleid ook uitdragen, implementeren, opvolgen, en bijsturen.
De koepelorganisatie biedt sjablonen aan waarop de besturen zich kunnen baseren om een IVP-beleid te maken.
De DPO (Data Protection Officer) van de koepelorganisatie biedt professionalisering en hulpmiddelen aan zodat het aanspreekpunt informatieveiligheid het IVP-beleid kan ondersteunen.
Het aanspreekpunt Informatieveiligheid (AIV) informeert en adviseert de leidinggevenden en het bestuur. Het AIV werkt ook mee bij het uitvoeren van het IVP-beleid.
De leidinggevende brengt de personeelsleden op de hoogte van het IVP-beleid en ziet toe op de naleving ervan.
De ICT-coördinator zorgt voor de implementatie van de technische beveiligingsmaatregelen beschreven in het IVP-beleid.
Alle personeelsleden werken mee bij de uitvoer van het IVP-beleid. Ze hebben een verantwoordelijkheid met betrekking tot informatieveiligheid en privacy in hun dagelijkse werkzaamheden. Deze verantwoordelijkheden zijn beschreven in het IVP-beleid.
