Classificatie

Classificatie van persoonsgegevens

Alle persoonsgegevens hebben een waarde, maar hoe groot is die waarde? Tot op welke hoogte moeten we de gegevens beveiligen. Door een classificatie van persoonsgegevens te maken kan men op een gestructureerde manier de beveiliging van deze gegevens vormgeven. De classificatie gebeurt op basis van drie aspecten: beschikbaarheid, integriteit en vertrouwelijkheid. Op basis van de uitgewerkte classificatie en risicoanalyse bepaalt ment de nodig organisatorische en technische maatregelen om de beschikbaarheid, integriteit en vertrouwelijkheid te waarborgen.

De methodiek die de onderwijsinstelling (het schoolbestuur) hanteert, wordt vastgelegd in de (publiek toegankelijke) IVP-beleidstekst. De eigenlijke classificatie is een interne oefening en wordt derhalve in de CIV bepaalt en opgevolgd, maar niet publiek ter beschikking gesteld. Het schoolbestuur kan, op basis van conclusies of adviezen vanuit de CIV, desgevallend middelen vrijmaken om organisatorische of technische maatregelen te nemen die rekening houden met het classificatieniveau van de gegevens in kwestie.

Toegangsmatrices

Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt (art. 5, lid 1, f – AVG). De verwerkingsverantwoordelijke (het schoolbestuur) zorgt ervoor dat er toegangsmatrices opgesteld worden. De toegangsmatrix vermeldt welke personeelsgroep toegang tot welke gegevens nodig heeft. Op basis van de toegangsmatrix worden er technische en organisatorische maatregelen genomen.

Documentatie

  • IVPB-sjabloon: classificatie (MS Word-bestand)
  • IVPB-sjabloon: classificatie fiche (pdf-bestand)
  • IVPB-sjabloon: toegangsmatrices (MS Word-bestand)
  • Oplossingen uit de syllabus bij de IVPB-sjablonen (pdf-bestand)
    • Classificatie oefening 1: website van de school
    • Classificatie oefening 2: puntenboeken