Rollen en verantwoordelijkheden

bijgewerkt op 10 mei 2019

Scholen lopen vaak tegen de vraag aan wie nou eigenlijk wat doet als het gaat om informatiebeveiliging en privacy (IBP). We geven hier een overzicht van de verschillende rollen, functies en taken. We maken daarbij een onderscheid tussen wie verantwoordelijk is en wie uitvoert. Soms loopt dat in elkaar over. De (gemeenschappelijke) medezeggenschapsraad heeft een aparte rol. Bij het uitvoeren van sommige maatregelen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG) en het organiseren van informatiebeveiliging ben je verplicht om hen om instemming te vragen.

Afhankelijk van het type school of de manier waarop de school georganiseerd is, kan de uitvoering van IBP bij één of meerdere medewerkers in de organisatie belegd zijn. Hier volgt een overzicht van de rollen die meestal bij IBP betrokken zijn en wat de aard van hun rol is. Zijn ze (eind)verantwoordelijk, uitvoerend, adviserend of moeten ze om instemming worden gevraagd?

Eindverantwoordelijk

De volgende rollen zijn op scholen eindverantwoordelijk voor IBP:

  • Schoolbestuur
  • Voorzitter College van Bestuur
  • Directeur

Directie en bestuur zijn niet alleen eindverantwoordelijk, maar ook de zogeheten verwerkingsverantwoordelijken. De verwerkingsverantwoordelijke bepaalt waarom er persoonsgegevens worden verzameld en hoe dat gebeurt. Zij stellen daarom het IBP-beleid op, evalueren dat beleid en wijzen rollen en taken toe.

Uitvoering

Wie het beleid daadwerkelijk uitvoert, hangt sterk van de (grootte) van de organisatie af. Op kleinere po-scholen zal dit voor een groot deel op de schouders rusten van een ict-coördinator. Op grotere scholen kunnen verschillende mensen betrokken zijn. Afhankelijk van de uit te voeren maatregel zijn de volgende rollen en functies vaak betrokken bij de uitvoering van IBP:

  • Ict-coördinator
  • Privacy Officer
  • Manager IBP
  • Verantwoordelijke IBP
  • Informatiemanager
  • Security Officer
  • Functioneel beheerder
  • Ict-beheerder

Toezicht en advies

De Functionaris voor Gegevensbescherming (FG) controleert of de privacywet wordt nageleefd en kan om advies worden gevraagd bij het uitvoeren van maatregelen. De FG is ook betrokken bij incidenten en klachten.

Instemming

Maatregelen die direct betrekking hebben op de privacy van leerlingen of medewerkers kunnen niet worden uitgevoerd zonder instemming van de (G)MR. Het gaat hierbij om:

  • IBP-beleid
  • Privacyreglement
  • Reglement cameratoezicht
  • Gedragscode veilig gebruik ict-middelen en persoonsgegevens

Rollen en verantwoordelijkheden per onderwerp

Op iedere pagina vind je een overzicht met wie wat doet voor een specifiek onderwerp. Heb je behoefte aan een uitgebreid overzicht van alle rollen? Download dan de schematische weergave met een beschrijving van alle rollen en verantwoordelijkheden.

Inhoudsopgave