Informatiebeveiliging en privacy (IBP)

We zien dat onze sector nog steeds last heeft van cybercriminelen die uit zijn op onze gegevens en die van onze studenten. Dit heeft onze voortdurende aandacht en daarom voeren wij regelmatig testen uit om te monitoren hoe het met onze informatiebeveiliging is gesteld.

In het afgelopen jaar hebben we een verhoogd aantal phishing aanvallen gezien. Door een verplichte reset van de wachtwoorden en herinstallatie van de laptops is de impact beperkt gebleven. Er is geen misbruik geconstateerd of gemeld. Om medewerkers extra alert te maken, zijn we meldingen gaan plaatsen in mails die medewerkers van buiten de organisatie ontvangen.

Net zoals andere mbo-instellingen nemen ook wij elk jaar een self-assessment (zelfevaluatie) af op basis van het NBA Toetsingskader Informatiebeveiliging en het SURF Privacy Toetsingskader.
Voor het eerst is het self-assessment getoetst via de securityaudit van Deloitte. De uitkomst: wij hebben een realistisch zelfbeeld.
We hebben een regieteam IBP om door te ontwikkelen naar niveau 3 van het NBA toetsingskader. We zijn hiermee op de goede weg.

Datalekken
In 2024 hebben we 8 datalekken behandeld (2023: 11 datalekken). Niet alle datalekken vielen onder de meldplicht aan de Autoriteit Persoonsgegevens, bijvoorbeeld omdat het risico op schade voor betrokkenen te klein was. Volgens de wettelijke vereisten hebben we in 2024 één datalek gemeld (2023: 1 melding) bij de Autoriteit Persoonsgegevens. Betrokkenen zijn ook geïnformeerd.