In een autorisatiematrix zijn de toegangsrechten vastgelegd van de in gebruik zijnde systemen. Deze rechten worden gekoppeld aan de rol die een medewerker heeft en zijn meestal gebaseerd op het “need-to-know” principe. Om te zorgen dat (persoons)gegevens binnen je school alleen kunnen worden verwerkt door degenen die dat vanuit hun functie nodig hebben (AVG-vereiste), helpt een autorisatiematrix bij het vastleggen en beheren van de toegangsrechten. Meestal is deze opgenomen als bijlage in het informatiebeveiligingsbeleidsplan.
Een eenvoudige autorisatiematrix kan als volgt opgesteld worden:
- Neem de meest actuele versie van het verwerkingsregister;
- Neem een actuele beschrijving van alle functieprofielen;
- Maak een Excel-bestand aan;
- Zet op de X/Y-as de persoonsgegevens (volgens het register) die door de organisatie worden verwerkt;
- Zet op de andere as de functieprofielen;
- Ga aan de hand van de beschrijving van de functieprofielen na welke persoonsgegevens noodzakelijk zijn voor de uitoefening van elke functie en zit een kruisje in de kolom waar nodig;
- Effectueer de autorisatiematrix in de IT-systemen.