Wat is een autorisatiematrix en hoe stel ik deze op?

In een autorisatiematrix zijn de toegangsrechten vastgelegd van de in gebruik zijnde systemen. Deze rechten worden gekoppeld aan de rol die een medewerker heeft en zijn meestal gebaseerd op het “need-to-know” principe. Om te zorgen dat (persoons)gegevens binnen je school alleen kunnen worden verwerkt door degenen die dat vanuit hun functie nodig hebben (AVG-vereiste), helpt een autorisatiematrix bij het vastleggen en beheren van de toegangsrechten. Meestal is deze opgenomen als bijlage in het informatiebeveiligingsbeleidsplan.

Een eenvoudige autorisatiematrix kan als volgt opgesteld worden:

  1. Neem de meest actuele versie van het verwerkingsregister;
  2. Neem een actuele beschrijving van alle functieprofielen;
  3. Maak een Excel-bestand aan;
  4. Zet op de X/Y-as de persoonsgegevens (volgens het register) die door de organisatie worden verwerkt;
  5. Zet op de andere as de functieprofielen;
  6. Ga aan de hand van de beschrijving van de functieprofielen na welke persoonsgegevens noodzakelijk zijn voor de uitoefening van elke functie en zit een kruisje in de kolom waar nodig;
  7. Effectueer de autorisatiematrix in de IT-systemen.