Interessante blogpost op het blog van Arnoud Engelfriet vorige week: 'Mag een school zijn informatiesysteem wel uitbesteden?' Kortgezegd is zijn antwoord 'ja'. Poeh, gelukkig maar...
Hij kreeg een vraag van een lezer over het gebruik van ParnasSys door de school van zijn kinderen. Dezelfde vraag gaat natuurlijk op voor systemen als Esis, Datacare en Magister. Tegenwoordig worden al deze systemen als webbased systemen geleverd. In jargon is dat SaaS (Software as a Service). Daarom komt zo'n vraag van een bezorgde ouder ook wel wat laat. Want de meeste scholen zullen deze overstap naar SaaS-diensten al lang gemaakt hebben.
Toch is de vraag relevant omdat scholen en aanbieders van dit soort systemen gewoon gebonden zijn aan de wet. De wet op bescherming van persoonsgegevens in dit geval. En ja, daar gelden bepaalde vrijstellingen op.
Binnen onze stichting is een speciaal team opgericht dat moet gaan toezien op het informatiebeveiligingsbeleid zoals we dat vanaf augustus willen voeren. Eén van de elementen van dit beleid is zorgen dat de afspraken met de leveranciers van webbased diensten op orde zijn. Die leg je vast in Service Level Agreements, zogenaamde SLA's. Normaal gesproken formuleren de leveranciers de SLA's en stemmen de klanten er al dan niet mee in. Tenminste die praktijk heb ik in het basisonderwijs vrij vaak gezien. Wij gaan met onze stichting het proberen om te draaien. Want in de praktijk blijkt het zo te zijn dat niet alle voorgeformuleerde SLA's voldoende waarborgen dat zowel de basisschool als de leverancier kunnen aantonen dat ze zich aan de regels van de wet houden.
In samenwerking met mensen van Ernst & Young zijn we dit probleem aan het oplossen. Waarschijnlijk niet alleen voor onze stichting, maar ook voor andere stichtingen die met dezelfde leveranciers werken.
Hoe is dat binnen jouw stichting geregeld?
(bron plaatje)
Meer lezen
Blogboek, heen-en-weer-schrift met voor- en nadelen
Panopticon, een documentaire over privacy
Methodelink, is gratis wel gratis?
Geen opmerkingen:
Een reactie posten