Dit is het hoogste niveau. In juridische termen (volgens de AVG/GDPR) is het schoolbestuur de verwerkingsverantwoordelijke. Zij dragen de eindverantwoordelijkheid.
 

• Rol: zij zetten de lijnen uit en zorgen voor de middelen (tijd en geld).
• Belangrijkste taken:
• Het I&P-beleid en de beleidsverklaring goedkeuren (handtekening zetten).
• Een Data Protection Officer (DPO) aanstellen.
• Middelen (budget en uren) vrijmaken voor opleidingen en beveiliging.
• Eindverantwoordelijkheid dragen bij datalekken.

De DPO (of Functionaris Gegevensbescherming) is de onafhankelijke ‘waakhond’ en adviseur. Deze persoon werkt vaak voor de hele scholengroep of het bestuur, en niet alleen voor één school.
 

• Rol: toezicht houden, adviseren en controleren. Let op: De DPO mag niet zelf de regels bepalen of uitvoeren (zoals de ICT-coördinator), om onafhankelijk te blijven.
• Belangrijkste taken:
• Adviseren bij het opstellen van het beleid en privacyverklaringen.
• Toezicht houden op de naleving van de AVG.
• Contactpunt zijn voor de toezichthoudende overheid (VTC) en betrokkenen (ouders/leerlingen).
• Adviseren bij datalekken.

De directeur is de kapitein op het schip van de school zelf. Zij zijn de operationeel verantwoordelijke.
 

• Rol: zorgen dat het beleid van het schoolbestuur dagelijks wordt uitgevoerd op de werkvloer.
• Belangrijkste taken:
• Het I&P-team oprichten en voorzitten.
• Communiceren naar personeel, leerlingen en ouders over afspraken (bijv. wachtwoordbeleid).
• Het jaaractieplan en jaarverslag opstellen (samen met de coördinatoren).
• Toezien op naleving van regels door het personeel.

Dit is vaak de "spin in het web" voor het GRIP-traject op schoolniveau. Hoewel deze functie nog vrij nieuw is op veel scholen, leunt ze sterk aan bij die van het Aanspreekpunt Informatieveiligheid.
 

• Rol: de trekker van het project. Deze persoon coördineert de implementatie van de maatregelen.
• Belangrijkste taken:
• De GRIP-maatregelen opvolgen en documenteren.
• Inventarissen bijhouden (samen met ICT).
• Incidenten registreren en analyseren.
• Opleidingen en bewustwording organiseren voor collega's.

Dit is de technische expert. Waar de I&P-coördinator zich op het proces en de regels richt, zorgt de ICT-coördinator voor de technische knoppen.
 

• Rol: uitvoeren van technische beveiligingsmaatregelen.
• Belangrijkste taken:
• Beheren van accounts en toegangsrechten (MFA instellen, rechten toekennen).
• Updates en patches uitvoeren op alle toestellen.
• Het netwerk en de wifi beveiligen.
• Installeren van antivirussoftware.

Het Aanspreekpunt Informatieveiligheid & Privacy (I&P-coördinator) staat er niet alleen voor. Het is sterk aanbevolen om een (klein) team te vormen dat periodiek samenkomt.
 

• Rol: overlegorgaan en klankbord.
• Samenstelling: vaak de directie, I&P-coördinator, ICT-coördinator en eventueel een preventieadviseur.
• Belangrijkste taken:
• Analyseren van incidenten (wat ging er mis en hoe voorkomen we dit?).
• Bespreken van de voortgang van het actieplan.

Uiteindelijk is informatieveiligheid een taak van iedereen.
 

• Rol: de "First Line of Defense".
• Belangrijkste taken:
• Melden van incidenten (zoals een verloren laptop of een vreemde e-mail).
• Volgen van opleidingen en trainingen.
• Naleven van de afspraken (bijv. scherm vergrendelen, sterke wachtwoorden).