Governance, Risk & Compliance (GRC)

GRC-software geeft organisaties grip op risico’s en beheersmaatregelen. GRC-software brengt informatie uit diverse disciplines over beleid, risico’s en wetgeving samen tot (visuele) rapportages en verantwoording. GRC-software biedt mogelijk ondersteuning bij de documenten die scholen in het kader van de Aanpak IBP nodig hebben.  

In 2022 maken we een shortlist van gangbare GRC-softwaresystemen met de voor- en nadelen daarvan. Deze shortlist dient als opmaat voor een eventuele dienstverlening (inkoop) rondom Governance, Risk & Compliance. Verder onderzoeken we of het mogelijk is om een multi-tenant GRC-tooling in te richten voor scholen. 

Makkelijker kunnen we het wél maken, met GRC-tooling  

De Algemene verordening gegevensbescherming (AVG) legt de verantwoordelijkheid bij schoolbesturen om aan te tonen dat u aan de privacyregels voldoet. Deze verantwoordingsplicht houdt in dat u moet kunnen aantonen dat uw verwerkingen aan de regels van de AVG voldoen. De AVG-regels dwingen u om goed na te denken over hoe uw schoolbestuur persoonsgegevens verwerkt en beschermt.  

Mocht de situatie zich voordoen, dan bent u verplicht verantwoording af te leggen over uw gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens (AP) daarom vraagt. Kennisnet heeft de Aanpak IBP po/vo ontwikkeld om scholen te helpen te voldoen aan de verplichtingen van de AVG. Een groot aantal modellen en (praktijk)voorbeelden zijn beschikbaar via Kennisnet. Daarmee kunt u voldoen aan uw verantwoordingsplicht. 

Vaak wordt er gewerkt met omvangrijke documenten en complexe spreadsheets om de verantwoording vast te leggen. Vooral voor grotere onderwijsbesturen kan dit een veelheid aan documenten, afspraken en ingewikkelde procedures opleveren.  

Om scholen te helpen de IBP-documentatie inzichtelijk en actueel te houden, kan gebruik worden gemaakt van software (clouddiensten) van leveranciers. Deze leveranciers helpen u op een overzichtelijke manier om aan de verantwoordingplicht te voldoen. Dit zijn de zogenaamde Governance Risk en Compliance tools, ofwel GRC-tooling. Deze tools loodsen u met een stappenplan door het hele AVG-proces en geven u de mogelijkheid om op één plek alle stukken en verantwoording vast te leggen. Tevens kunnen deze tools de voortgang op AVG-taken monitoren volgens de PDCA-cyclus. Zeker voor grotere schoolbesturen levert deze tooling voordelen op bij het vergemakkelijken van werkprocessen en het beleggen van taken bij contactpersonen op de verschillende scholen.  

De tools helpen u bijvoorbeeld met het aanleggen van een register van verwerkingen, het opvolgen van verzoeken van betrokkenen en het registreren van datalekken. Samenwerking tussen verschillende functionarissen binnen een organisatie wordt mogelijk gemaakt, inclusief rapporteren over en signaleren op de voortgang.  

Het gebruik van GRC-tooling kan het organiseren van AVG compliance binnen uw organisatie makkelijker maken.  

SIVON heeft een marktverkenning gedaan om schoolbesturen een overzicht te bieden wat het aanbod is aan GRC-tooling. De uitnodiging om mee te doen aan de marktverkenning is verstuurd naar een tiental leveranciers van GRC-tooling met ervaring in het onderwijs. Vijf leveranciers hebben ons van informatie voorzien. Deze informatie en antwoorden van de leveranciers is terug te vinden in onderstaand overzicht.  

Media Security Networks BV – YourSafetynet IBP

Yoursafetynet.com

YourSafetynet IBP biedt schoolorganisaties de nodige praktische  handreikingen en ondersteuning rondom Informatiebeveiliging & privacy.  
Sinds onze oprichting in 2005, leunen honderden schoolorganisaties op onze  expertise ten aanzien van privacybeleid. De documenten in onze IBP-tooling  zijn compatibel met de documenten en het 5-stappenplan van Kennisnet. 

Duiding vanuit SIVON over deze dienst naar aanleiding van het gesprek met Media Security Networks.

Your Safetynet IBP onderscheidt zich door het vrij letterlijk volgen van de aanpak IBP van Kennisnet. Dat helpt scholen met de herkenbaarheid van de te nemen stappen. Verwerkersovereenkomsten van bekende leveranciers uit het privacy convenant staan ingevuld klaar in de bibliotheek. De prijs is gebaseerd op het aantal leerlingen vallend onder het schoolbestuur.  

Privacy Zeker – Privacy Zeker

Privacyzeker.nl

Privacy Zeker is als marktleider de grootste AVG en Privacy dienstverlener van Nederland en helpt stichtingen, Instellingen, zzp’ers en MKB-ondernemers om te kunnen voldoen aan de AVG privacywetgeving.

Duiding vanuit SIVON over deze dienst naar aanleiding van het gesprek met Privacy Zeker

Privacy Zeker onderscheidt zich door de combinatie van diensten. De tooling kan afgenomen worden als onderdeel van een totaalpakket (abonnement) aan diensten. Meest opvallend is de verzekering gekoppeld aan het privacy zeker certificaat. Met dit certificaat krijgt u korting bij diverse verzekeraars. Privacy Zeker biedt ook een cyber e-learning als onderdeel van haar dienstverlening. Het abonnement is €99 per maand. Tooling is geschikt voor kleinere schoolbesturen die volledige ontzorging zoeken. 

Questor Software BV – General Data Protection (GDP) 

 GDPR-personaldata.eu

GDP verzorgt een doorlopende (permanente) controle op de compliance van de AVG door middel van een cyclisch proces. Dit proces is dwingend en resulteert per onderdeel in een score en adviezen. De score wordt bepaald aan de hand van vragen en procedures. De vragen en procedures zijn de basis voor de, vanuit het programma, aangeven verbeterpunten zodat de score kan worden verhoogd. De uitkomsten worden vastgelegd en geregistreerd. De registers moeten na elke cyclus worden ingevuld. 

Van Questor Software hebben we geen duiding omdat we geen nadere informatie ontvangen. 

Privacy Company BV – Privacy Nexus

Privacynexus.io

Privacy Nexus is een gebruiksvriendelijk SaaS-platform voor het bijhouden van de privacy-administratie. Privacy Nexus helpt de organisatie om compliance met de AVG aan te tonen op een eenvoudige en praktische wijze. Ons team van ‘in-house’ software ontwikkelaars werkt nauw samen met onze privacy adviseurs om ervoor te zorgen dat Privacy Nexus altijd up-to-date is met de laatste ontwikkelingen op privacygebied en perfect aansluit bij de dagelijkse praktijk. Privacy Nexus is ontworpen voor iedereen in de organisatie, ook voor medewerkers zonder juridische of privacy-achtergrond. Privacy Nexus is niet specifiek gericht op het onderwijs maar helpt organisaties uit verschillende sectoren, waaronder onderwijs, met het aantonen van privacy compliance. 

Duiding vanuit SIVON over deze dienst naar aanleiding van het gesprek met Privacy Company

Nexus is generieke tooling. Nexus gaf aan dat het wel mogelijk is om workflows en templates po/vo specifiek te maken. Als organisatie kunt u  werken vanuit een specifieke DPIA-template. De functie model architectuur, zijnde relaties tussen verwerkingen, kan in de tooling vastgelegd worden. Focus op samenwerking in een organisatie – op het hoogste niveau een tool voor gevorderden – op lagere niveaus handig om (eenvoudige) taken uit te zetten. 

Prijs tussen €75 en > €450 per maand 

E-learning wordt aangeboden als een apart product.  

PrivacyTeam BV – EasyPrivacy voor het onderwijs & EasyDPIA 

Privacyteam.nl

EasyPrivacy brengt structuur aan in alle privacy verplichtingen voor scholen en sluit aan op de aanpak IBP. EasyPrivacy heeft een gelaagde structuur en biedt de mogelijkheid om zowel op bestuurs- als op schoolniveau inzage te krijgen in de mate waarin wordt voldaan aan privacy verplichtingen. EasyPrivacy borgt aantoonbaar de hele privacy PDCA cyclus. Indien gewenst ook ondersteuning van het toetsingskader IBP PO/VO. 
 
EasyDPIA is een oplossing om eenvoudig zelf DPIA’s uit te voeren gebaseerd op de modellen uit het succesvolle Handboek DPIA’s. EasyDPIA heeft een steeds omvangrijkere bibliotheek met generieke DPIA’s. DPIA’s kunnen worden beheerd en geactualiseerd en er kunnen DPIA- rapportages gemaakt worden. 

Duiding vanuit SIVON over deze dienst naar aanleiding van het gesprek met PrivacyTeam

Privacy Team heeft ervoor gekozen AVG compliance en het uitvoeren van DPIA’s in twee verschillende tools aan te bieden, te weten Easy Privacy en Easy DPIA. De tooling volgt het toetsingskader IBP met een eigen indeling op 22 normen. AVG compliance gaat op basis van deze 22 normen en niet op basis van systemen of bedrijfsprocessen. De tooling heeft geen online register van verwerkingen (wel van verwerkersovereenkomsten). Uploaden van een bestaand register kan wel. De tooling heeft gelaagdheid opties voor meerdere scholen onder een bestuur.    

TrustBound GRC

Het TrustBound GRC Platform maakt het makkelijker en leuker om gegevensbescherming (AVG-zaken) en informatiebeveiliging goed te regelen. Het SaaS-platform biedt de kennis en tooling die je nodig hebt om inzicht te krijgen in processen/verwerkingen, leveranciers en bedrijfsmiddelen en de risico’s die het meeste aandacht verdienen. Met het pakket worden alle zaken rond informatiebeheer, risicobeheersing, compliance en auditing samengebracht in één omgeving. Met de TrustBound Smarthub krijgen onderwijsorganisaties toegang tot een catalogus van gestandaardiseerde verwerkingen, veelgebruikte leveranciers en productie/diensten in het onderwijs. Daardoor werkt het platform als een vliegwiel voor het opzetten van het verwerkingsregister. Specifiek voor het onderwijs zijn diverse normen-/toetsingskaders beschikbaar, waaronder het Kennisnet IBP-kader en een documentenkader voor beleidsdocumenten. De gelaagde structuur (centraal/de-centraal niveau) maakt TrustBound GRC ideaal voor het voeren van centraal beheer bij stichtingen met meerdere scholen en grotere organisaties.

Duiding vanuit SIVON over deze dienst naar aanleiding van het gesprek met TrustBound

TrustBound GRC kenmerkt zich in flexibiliteit. Het proces om tot compliance te komen, kan vanuit verschillende punten worden gestart. Verbanden die gelegd worden tussen processen, applicaties, verwerkingen en persoonsgegevens worden weergegeven in datakaarten.

Een FG partner kan TrustBound GRC gebruiken voor meerdere schoolbesturen (multi tenant) en per bestuur kunnen meerdere locaties worden gemanaged.

Telkens kan aangegeven worden of de activiteit centraal of lokaal wordt geïmplementeerd.

TrustBound GRC richt zich op privacy en beveiliging.

Dienstverlening

In onderstaande tabel ziet u welke leverancier onderwijsspecifieke of generieke dienstverlening aanbiedt.

YourSafetynet
IBP
Privacy
Zeker  
General Data
Protection (GDP)
Privacy
Nexus
EasyPrivacyEasy
DPIA
Trust-
Bound
Onderwijs🟢🟢🟢🔴🟢🟢🟢
po/vo🟢🟢🟢🔴🟢🟢🟢
mbo🟢🟢🟢🔴🟢🟢🟢
hbo/wo🟢🟢🟢🔴🔴🟢🟢
generiek🟢🟢🟢🟢🟢🟢🟢

Functionaliteiten

In onderstaande tabel ziet u welke functionaliteiten per dienstverlener wordt aangeboden.


Your-
Safety-
net
IBP
Privacy
Zeker  
General
Data
Protection
(GDP)
Privacy
Nexus
Easy
Privacy
Easy
DPIA
Trust-
Bound
Dataregister /
register van
verwerkingen
🟢🟢🟢🟢🔴🟢🟢
Incidentenregistratie
(o.a. datalekken)
🟢🟢🟢🟢🟢🔴🟢
Beleidsvorming🟢🟢🟢🔴🟢🔴🟢
Delen documentatie
en samenwerken
🟢🟢🟢🟢🟢🔴🟢
Bewustwordingtools
voor organisatie
🟢🟢🟢🔴🔴🔴🟢
Communicatie tussen
verschillende locaties/
vestigingen met privacy
officers
🟢🟢🔴🟢🟢🟢🟢
Invoeren en beheren
verschillende taken
IBP-team
🟢🟢🟢🔴🟢🔴🟢
Tooling en
ondersteuning FG
🟢🟢🟢🟢🟢🟢🟢
Risico-analyse🟢🟢🟢🟢🟢🟢🟢
DPIA-tooling🟢🟢🟢🟢🔴🟢🟢
Communicatie met
betrokkenen (leerlingen,
ouders en medewerkers)
🟢🟢🔴🔴🔴🔴🔴
Uitvoeren rechten
betrokkenen (registratie
verzoeken, work-flow)
🟢🟢🟢🟢🔴🔴🟢
Registratie toestemming
gebruik beeldmateriaal
🟢🟢🔴🟢🔴🔴🔴
Ondersteuning
aanpak IBP
🟢🟢🟢🔴🟢🟢🟢
Ondersteuning
Framework IBP MBO
🟢🟢🟢🔴🔴🔴🟢
Dashboard🟢🟢🟢🟢🟢🔴🟢

Staat uw product niet in dit overzicht en wilt u dat wel? Neem dan contact met ons op info@sivon.nl