Governance, Risk & Compliance (GRC)

Om scholen te helpen de IBP-documentatie inzichtelijk en actueel te houden, kan gebruik worden gemaakt van software (clouddiensten) van leveranciers. Deze leveranciers helpen je om op een overzichtelijke manier aan de verantwoordingsplicht te voldoen. Dit zijn de zogenaamde Governance, Risk en Compliance tools, ofwel GRC-tooling.  

Deze tools loodsen je met een stappenplan door het hele AVG-proces en geven je de mogelijkheid om op één plek alle stukken en verantwoording vast te leggen. Tevens kunnen deze tools de voortgang op AVG-taken monitoren volgens de PDCA-cyclus. Deze tooling biedt zeker voordelen voor grotere schoolbesturen, omdat het werkprocessen vergemakkelijkt en taken toewijst aan contactpersonen op verschillende scholen. 

De tools helpen je bijvoorbeeld met het aanleggen van een register van verwerkingen, het opvolgen van verzoeken van betrokkenen en het registreren van datalekken. Samenwerking tussen verschillende functionarissen binnen een organisatie wordt mogelijk gemaakt, inclusief rapporteren over en signaleren op de voortgang.  Het gebruik van GRC-tooling kan het organiseren van AVG compliance binnen jouw organisatie makkelijker maken.   

SIVON heeft een marktverkenning gedaan om schoolbesturen een overzicht te bieden wat het aanbod is aan GRC-tooling. De uitnodiging om mee te doen aan de marktverkenning is verstuurd naar een tiental leveranciers van GRC-tooling met ervaring in het onderwijs. Vijf leveranciers hebben ons van informatie voorzien. Deze informatie en antwoorden van de leveranciers is terug te vinden in onderstaand overzicht.   

CERRIX – CERRIX GRC & Audit Software

CERRIX biedt een integrale oplossing, waarmee 1e, 2e en 3e lijn kunnen samenwerken aan IBP beleid in de Saas dienst CERRIX GRC & Audit tooling. 

ISAE3402 Type II en in het 1e kwartaal van 2024 zal CERRIX tevens ISO 27001 gecertificeerd zijn.  

Caris

Caris richt zich op de kleine en middelgrote organisaties. Hun klanten zijn onderwijsinstellingen, decentrale overheden, verenigingen & stichtingen en MKB-organisaties. Caris neemt de gebruiker stap voor stap bij de hand.

Via tools krijgt de gebruiker inhoudelijke adviezen over verwerkingen. Emailnotificaties zorgen dat je als gebruiker geen zorgen hoeft te maken of dingen vergeet. Het actiemanagement is zo flexibel dat je dit voor ieder denkbaar scenario kunt inzetten. FG’s kunnen verschillende organisaties bedienen vanuit Caris.  

De PDCA-cyclus, IBP, ISO27001, DPIA’s en iedere gewenste andere normenkader of audit regel je via de In Control module. Uniek in Caris is de automatische privacyverklaring. Informeer ouders, leerlingen en medewerkers volledig en transparant.  

De e-learnings in Caris zijn sector-specifiek. De medewerkers krijgen dus herkenbare praktijkvoorbeelden. E-learnings zijn organisatie-specifiek te maken. 

Ten slotte krijgen gebruikers van Caris toegang tot een uitgebreide bibliotheek. Hierin vind je templates, wetteksten, jurisprudentie, uitleg en nog veel meer informatie. 

Duiding vanuit SIVON over deze dienst naar aanleiding van het gesprek met Caris.

E-learnings worden apart in rekening gebracht. De kosten zijn per medewerker. Caris hanteert een licentiemodel op basis van per gebruiker per maand. De In Control module van Caris helpt je bij het nemen van de juiste beveiligingsmaatregelen. In Control ondersteunt het normenkader IBP (Informatiebeveiliging en Privacy) FO. 

EasyDPIA & EasyPrivacy voor het onderwijs – PrivacyTeam BV

Privacyteam.nl

EasyPrivacy brengt structuur aan in alle privacy verplichtingen voor scholen en sluit aan op de aanpak IBP. EasyPrivacy heeft een gelaagde structuur en biedt de mogelijkheid om zowel op bestuurs- als op schoolniveau inzage te krijgen in de mate waarin wordt voldaan aan privacy verplichtingen. EasyPrivacy borgt aantoonbaar de hele privacy PDCA cyclus. Indien gewenst ook ondersteuning van het toetsingskader IBP PO/VO. 

EasyPrivacy voor het Onderwijs is nu ook beschikbaar (als aparte uitvoering) met het Normenkader IBP FO. De dienst wordt aangepast bij updates van het normenkader en wordt uitgebreid met de privacynormen zodra beschikbaar. Documenten die aantonen dat aan het toetsingskader wordt voldaan kunnen door het bestuur worden geüpload zodat al het bewijs (voor auditor, inspectie, accountant, FG etc.) op één centrale plek beschikbaar is. Desgewenst kan ook de volwassenheid per norm worden aangegeven en in een dashboard per norm getoond. EasyPrivacy is uitermate geschikt voor het uitvoeren van een snelle nulmeting op de norm.
 
EasyDPIA is een oplossing om eenvoudig zelf DPIA’s uit te voeren gebaseerd op de modellen uit het succesvolle Handboek DPIA’s. EasyDPIA heeft een steeds omvangrijkere bibliotheek met generieke DPIA’s. DPIA’s kunnen worden beheerd en geactualiseerd en er kunnen DPIA- rapportages gemaakt worden. 

Duiding vanuit SIVON over deze dienst naar aanleiding van het gesprek met PrivacyTeam

Privacy Team heeft ervoor gekozen AVG compliance en het uitvoeren van DPIA’s in twee verschillende tools aan te bieden, te weten Easy Privacy en Easy DPIA. De tooling volgt het toetsingskader IBP met een eigen indeling op 22 normen. AVG compliance gaat op basis van deze 22 normen en niet op basis van systemen of bedrijfsprocessen. Bij een pre-DPIA wordt direct het register van vewerkingsactiviteiten samengesteld. De tooling heeft gelaagdheid opties voor meerdere scholen onder een bestuur.    

YourSafetynet IBP – Media Security Networks BV

Yoursafetynet.com

Met YourSafetynet organiseer, structureer, presenteer en rapporteer je risico’s en maatregelen op het gebied van informatiebeveiliging en privacy (IBP). YourSafetynet begeleidt je stap voor stap zonder ingewikkelde handelingen door alle maatregelen die nodig zijn voor een goed geregelde informatiebeveiliging en privacy. De SaaS oplossing focust zich daarbij op de pijlers beleid, processen en techniek. De YourSafetynet ondersteunt de huidige geadviseerde aanpak IBP van Kennisnet , het Normenkader IBP FO. en hetNormenkader Privacy zodra dit gereed is.

De wegingsfactoren van volwassenheid geven exact weer waar jouw schoolorganisatie (Bench market) staat voor zover het gaat om de rapportage naar het jaarverslag. Inmiddels gebruiken bijna 400 schoolbesturen uit het funderend onderwijs, mbo en hbo de YourSafetynet GRC-tool, zie hiervoor de referenties.

Documenten die aantonen dat aan het toetsingskader wordt voldaan, kunnen door het bestuur worden geüpload zodat al het bewijs (voor auditor, inspectie, accountant, FG, etc.) op een centrale plek beschikbaar is.

Duiding vanuit SIVON over deze dienst naar aanleiding van het gesprek met Media Security Networks.

Your Safetynet IBP onderscheidt zich door het vrij letterlijk volgen van de aanpak IBP van Kennisnet. Dat helpt scholen met de herkenbaarheid van de te nemen stappen. Verwerkersovereenkomsten van bekende leveranciers uit het privacy convenant staan ingevuld klaar in de bibliotheek. De prijs is gebaseerd op het aantal leerlingen vallend onder het schoolbestuur.  

MexonInControl – Mexon Technology

MexonInControl voor Privacy is een SaaS oplossing waarmee iedere organisatie de voor de AVG benodigde registers kan opbouwen en onderhouden. Registers voor verwerkingsactiviteiten, verwerkers, verwerkersovereenkomsten, datalekken, security incidenten, risico’s, maatregelen en DPIA’s. 

MexonInControl geeft digitale ondersteuning bij de volgende activiteiten: Pré scan: is een PIA noodzakelijk?, AP DPIA Checklist nieuwe verwerkingen, AP DPIA Checklist bestaande verwerkingen, (vermoeden van een) data lek, (Vermoeden van een) security incident, controle van genomen maatregelen bij een leverancier en uitoefenen rechten van betrokkenen 

Duiding vanuit SIVON over deze dienst naar aanleiding van het gesprek met Mexon Technology.

Kosten van de MexonInControl zijn per named gebruiker per jaar en niet gekoppeld aan aantallen medewerkers of scholieren. Mexon geeft aan hun tooling verder te ontwikkelen richting ISMS. Nu richt de tooling zich volledig op privacy. 

Privacy Perfect – PrivacyAgent B.V.

Privacyperfect.com

PrivacyPerfect  ISMS-Platform is ontworpen om schoolbesturen te helpen hun informatiebeveiliging te beheren en te beschermen. Zij bieden een gestructureerde aanpak waarmee je risico’s identificeert, beoordeelt en beheert in verband met de vertrouwelijkheid, integriteit en beschikbaarheid van jouw informatie. 

Dit – in combinatie – met hun Privacy Management Oplossing, voor het bijhouden van een register van verwerkingen, data mapping, doen van DPIA’s, register van incidenten & datalekken, afhandelen van verzoeken van betrokkenen en leveranciersrisicobeheer. 

Privacy Zeker – Privacy Zeker

Privacyzeker.nl

Privacy Zeker is als marktleider de grootste AVG en Privacy dienstverlener van Nederland en helpt stichtingen, Instellingen, zzp’ers en MKB-ondernemers om te kunnen voldoen aan de AVG privacywetgeving.

Duiding vanuit SIVON over deze dienst naar aanleiding van het gesprek met Privacy Zeker

Privacy Zeker onderscheidt zich door de combinatie van diensten. De tooling kan afgenomen worden als onderdeel van een totaalpakket (abonnement) aan diensten. Meest opvallend is de verzekering gekoppeld aan het privacy zeker certificaat. Met dit certificaat krijgt u korting bij diverse verzekeraars. Privacy Zeker biedt ook een cyber e-learning als onderdeel van haar dienstverlening. Het abonnement is €99 per maand. Tooling is geschikt voor kleinere schoolbesturen die volledige ontzorging zoeken. 

Privacy Nexus – Privacy Company BV

Privacynexus.io

Privacy Nexus is een gebruiksvriendelijk SaaS-platform voor het bijhouden van de privacy-administratie. Privacy Nexus helpt de organisatie om compliance met de AVG aan te tonen op een eenvoudige en praktische wijze. Ons team van ‘in-house’ software ontwikkelaars werkt nauw samen met onze privacy adviseurs om ervoor te zorgen dat Privacy Nexus altijd up-to-date is met de laatste ontwikkelingen op privacygebied en perfect aansluit bij de dagelijkse praktijk. Privacy Nexus is ontworpen voor iedereen in de organisatie, ook voor medewerkers zonder juridische of privacy-achtergrond. Privacy Nexus is niet specifiek gericht op het onderwijs maar helpt organisaties uit verschillende sectoren, waaronder onderwijs, met het aantonen van privacy compliance. 

Duiding vanuit SIVON over deze dienst naar aanleiding van het gesprek met Privacy Company

Nexus is generieke tooling. Nexus gaf aan dat het wel mogelijk is om workflows en templates po/vo specifiek te maken. Als organisatie kunt u  werken vanuit een specifieke DPIA-template. De functie model architectuur, zijnde relaties tussen verwerkingen, kan in de tooling vastgelegd worden. Focus op samenwerking in een organisatie – op het hoogste niveau een tool voor gevorderden – op lagere niveaus handig om (eenvoudige) taken uit te zetten. 

Prijs tussen €75 en > €450 per maand 

E-learning wordt aangeboden als een apart product.  

Questor Software BV – General Data Protection (GDP) 

 GDPR-personaldata.eu

GDP verzorgt een doorlopende (permanente) controle op de compliance van de AVG door middel van een cyclisch proces. Dit proces is dwingend en resulteert per onderdeel in een score en adviezen. De score wordt bepaald aan de hand van vragen en procedures. De vragen en procedures zijn de basis voor de, vanuit het programma, aangeven verbeterpunten zodat de score kan worden verhoogd. De uitkomsten worden vastgelegd en geregistreerd. De registers moeten na elke cyclus worden ingevuld. 

Van Questor Software hebben we geen duiding omdat we geen nadere informatie ontvangen. 

TrustBound GRC

Het TrustBound GRC Platform maakt het makkelijker en leuker om gegevensbescherming (AVG-zaken) en informatiebeveiliging goed te regelen. Het SaaS-platform biedt de kennis en tooling die je nodig hebt om inzicht te krijgen in processen/verwerkingen, leveranciers en bedrijfsmiddelen en de risico’s die het meeste aandacht verdienen. Met het pakket worden alle zaken rond informatiebeheer, risicobeheersing, compliance en auditing samengebracht in één omgeving. Met de TrustBound Smarthub krijgen onderwijsorganisaties toegang tot een catalogus van gestandaardiseerde verwerkingen, veelgebruikte leveranciers en productie/diensten in het onderwijs. Daardoor werkt het platform als een vliegwiel voor het opzetten van het verwerkingsregister. Specifiek voor het onderwijs zijn diverse normen-/toetsingskaders beschikbaar, waaronder het Kennisnet IBP-kader en een documentenkader voor beleidsdocumenten. De gelaagde structuur (centraal/de-centraal niveau) maakt TrustBound GRC ideaal voor het voeren van centraal beheer bij stichtingen met meerdere scholen en grotere organisaties.

Duiding vanuit SIVON over deze dienst naar aanleiding van het gesprek met TrustBound

TrustBound GRC kenmerkt zich in flexibiliteit. Het proces om tot compliance te komen, kan vanuit verschillende punten worden gestart. Verbanden die gelegd worden tussen processen, applicaties, verwerkingen en persoonsgegevens worden weergegeven in datakaarten.

Een FG partner kan TrustBound GRC gebruiken voor meerdere schoolbesturen (multi tenant) en per bestuur kunnen meerdere locaties worden gemanaged.

Telkens kan aangegeven worden of de activiteit centraal of lokaal wordt geïmplementeerd.

TrustBound GRC richt zich op privacy en beveiliging.

Dienstverlening

In onderstaande tabel zie je welke leverancier onderwijsspecifieke of generieke dienstverlening aanbiedt.

CarisCERRIXEasyDPIAEasyPrivacyYour
Safetynet
Mexon
onderwijs🟢🟢🟢🟢🟢🔴
po/vo🟢🟢🟢🟢🔴
mbo🟢🟢🟢🟢🔴
hbo/wo🟢🟢🔴🟢🔴
generiek🟢🟢🟢🟢🟢🟢
Privacy PerfectPrivacy ZekerPrivacy NexusQuestorTrustbound
onderwijs🟢🟢🔴🟢🟢
po/vo🟢🟢🔴🟢🟢
mbo🟢🟢🔴🟢🟢
hbo/wo🟢🟢🔴🟢🟢
generiek🟢🟢🟢🟢🟢

Functionaliteiten

In onderstaande tabel zie je welke functionaliteiten per dienstverlener wordt aangeboden.



Caris
CERRIX

EasyDPIA


EasyPrivacy

Your
Safetynet


Mexon
Dataregister / register van verwerkingen🟢🟢🟢🔴🟢🟢
Incidentenregistratie (o.a. datalekken)🟢🟢🔴🟢🟢🟢
Beleidsvorming🟢🟢🔴🟢🟢🟢
Delen documentatie en samenwerken🟢🟢🔴🟢🟢🟢
Bewustwordingtools voor organisatie🟢🟢🔴🔴🟢🟢
Communicatie tussen verschillende locaties/
vestigingen met privacy officers
🟢🟢🟢🟢🟢🟢
Invoeren en beheren verschillende taken IBP-team🟢🟢🔴🟢🟢🟢
Tooling en ondersteuning FG🟢🟢🟢🟢🟢🟢
Risico-analyse🟢🟢🟢🟢🟢🟢
DPIA-tooling🟢🟢🟢🔴🟢🟢
Communicatie met betrokkenen (leerlingen,
ouders en medewerkers)
🔴🟢🔴🔴🟢🔴
Uitvoeren rechten betrokkenen (registratie
verzoeken, work-flow)
🟢🟢🔴🔴🟢🟢
Registratie toestemming gebruik beeldmateriaal🔴🟢🔴🔴🟢🔴
Ondersteuning aanpak IBP🟢🟢🟢🟢🟢🔴
Ondersteuning Framework IBP MBO🟢🟢🔴🔴🟢🔴
Dashboard🟢🟢🔴🟢🟢🟢
Ondersteuning Normenkader IBP
Funderend Onderwijs
🟢🟢
Privacy
Perfect
Privacy
Zeker  
Privacy
Nexus
QuestorTrust-
Bound
Dataregister / register van verwerkingen🟢🟢🟢🟢🟢
Incidentenregistratie (o.a.
datalekken)
🟢🟢🟢🟢🟢
Beleidsvorming🟢🟢🔴🟢🟢
Delen documentatie en
samenwerken
🟢🟢🟢🟢🟢
Bewustwordingtools voor
organisatie
🟢🟢🔴🟢🟢
Communicatie tussen verschillende
locaties/ vestigingen met privacy
officers
🟢🟢🟢🔴🟢
Invoeren en beheren verschillende
taken IBP-team
🟢🟢🔴🟢🟢
Tooling en ondersteuning FG🟢🟢🟢🟢🟢
Risico-analyse🟢🟢🟢🟢🟢
DPIA-tooling🟢🟢🟢🟢🟢
Communicatie met betrokkenen
(leerlingen, ouders
en medewerkers)
🟢🟢🔴🔴🔴
Uitvoeren rechten betrokkenen
(registratie verzoeken,
work-flow)
🟢🟢🟢🟢🟢
Registratie toestemming gebruik
beeldmateriaal
🟢🟢🟢🔴🔴
Ondersteuning aanpak IBP🟢🟢🔴🟢🟢
Ondersteuning Framework
IBP MBO
🟢🟢🔴🟢🟢
Dashboard🟢🟢🟢🟢🟢
Ondersteuning Normenkader IBP
Funderend Onderwijs
🟢🟢

Staat jouw product niet in dit overzicht en wil je dat wel? Neem dan contact met ons op info@sivon.nl 

Deze dienst maakt deel uit van ons ondersteuningsaanbod binnen het programma Digitaal Veilig Onderwijs.

Het Normenkader Informatiebeveiliging en Privacy voor Funderend Ondewijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen. Het is daarom een belangrijk hulpmiddel om jouw school digitaal veilig te maken.

In onderstaand overzicht zie je bij welke norm deze dienst past.

  • alle normen. GRC-tooling helpt met het vastleggen van compliance aan privacy-eisen.