Je bent als school onder de AVG verplicht om “passende technische en organisatorische maatregelen” te nemen om de risico’s rondom de gegevensverwerking zo beperkt mogelijk te maken en te houden. De concrete beveiliging van persoonsgegevens is van verschillende factoren afhankelijk, die ook kunnen veranderen. Dat maakt dat informatiebeveiliging niet standaard voor iedere school hetzelfde is, en ook dat het een doorlopend proces is (PDCA-cyclus). De AVG schrijft verder voor dat je een procedure moet opstellen waarin je de maatregelen en het testen, evalueren en beoordelen ervan, vastlegt.
