Aanpak IBPAchtergrond en vuistregels

Achtergrond en vuistregels

Privacy op school gaat over de bescherming van persoonsgegevens van leerlingen, ouders en mede­werkers. Dit wordt geregeld in de Algemene Verordening Gegevensbescherming (AVG). Om te voldoen aan deze privacywet is het onder andere belangrijk om persoonsgegevens goed te beschermen. Daar heb je informatiebeveiliging voor nodig. Om scholen te helpen informatiebeveiliging te organiseren en te voldoen aan de AVG ontwikkelden Kennisnet, de PO-Raad en de VO-raad samen de aanpak informatiebeveiliging en privacy (IBP).

Niet alle gegevens die je op school verwerkt vallen onder de AVG. Het gaat alleen om persoonsgegevens. Dat zijn gegevens op basis waarvan je een persoon kunt identificeren. Denk aan iemands foto, naam, adres en woonplaats. Je mag als school persoonsgegevens verwerken, registreren en verwerken, maar je moet er wel verantwoord mee omgaan. Hoe doe je dat?

Privacy: 5 vuistregels

Bij het verwerken van persoonsgegevens moet je rekening houden met doel en doelbinding, grondslag, dataminimalisatie, transparantie en data-integriteit. We noemen dit de 5 vuistregels. Als je bij het verwerken van persoonsgegevens altijd uitgaat van onderstaande 5 vuistregels, ben je een belangrijke stap op weg met voldoen aan de AVG.

1. Doel en doelbinding

Leg vast met welk doel je de persoonsgegevens verwerkt. En verwerk ze alleen om die reden.

2. Grondslag

Is er een wettelijke grond waarmee je de persoonsgegevens verwerkt? Er zijn 5 wettelijke redenen om persoonsgegevens te verwerken:

  1. De gegevens zijn nodig voor het uitvoeren van een overeenkomst.
  2. Het verwerken van gegevens is wettelijk verplicht.
  3. Het verwerken van gegevens is nodig voor het uitvoeren van een publiekrechtelijke taak.
  4. Je hebt een gerechtvaardigd belang om de gegevens te verwerken, waarbij het belang om de gegevens te verwerken zwaarder weegt dan het privacybelang van de betrokken leerlingen, ouders en/of medewerkers.
  5. Toestemming van leerling of ouders,

3. Dataminimalisatie

Bewaar niet meer persoonsgegevens dan je nodig hebt voor je doel. Onderzoek altijd of je met minder of anonieme gegevens kunt werken.

4. Transparantie

Heb je leerlingen en ouders duidelijk uitgelegd waarom je persoonsgegevens verwerkt? Heb je uitgelegd welke persoonsgegevens worden verwerkt en met wie ze worden gedeeld?

5. Data-integriteit

Kloppen alle persoonsgegevens die je verwerkt?

Informatiebeveiliging

De AVG eist dat je persoonsgegevens goed beschermt. Dat kun je alleen doen als je je informatiebeveiliging goed op orde hebt. Hoe je dat doet, vind je ook terug in deze aanpak IBP. Als het gaat om privacy verwijzen we naar de AVG. Om informatiebeveiliging goed te regelen zijn we uitgegaan van de code voor informatiebeveiliging: de ISO 27001 en 27002. Waar dat relevant is, verwijzen we naar deze ISO-normen.

Hoe regel je IBP op school?

Informatiebeveiliging en privacy goed regelen is een flinke klus. Met de aanpak IBP hebben we alle onderdelen verdeeld in specifieke en praktische maatregelen. Moet je nog beginnen met IBP op school? Ga dan naar ons Stappenplan. We helpen je vanaf het allereerste begin op weg met het goed regelen van IBP. Ben je al bezig, maar heb je het nog niet volledig op orde? Kies dan het onderwerp waarmee je aan de slag wil via de homepage. Wil je weten wie waarvoor verantwoordelijk is als het gaat om IBP? Ga dan naar de pagina rollen en verantwoordelijkheden.

Verdieping

Inhoudsopgave