Begrippenlijst
A
Anonimiseren
Anonimiseren is een methode waarbij persoonsgegevens worden bewerkt zodat ze niet meer gebruikt kunnen worden om iemand mee te identificeren. Anonimiseren is onomkeerbaar. De gegevens kunnen dus nooit meer worden teruggeleid tot een persoon. Geanonimiseerde gegevens vallen niet onder de AVG.
Archiefwet
De Archiefwet is een Nederlandse wet die het beheer en de toegang van overheidsarchieven regelt.
Authenticatie
Authenticatie is het bewijzen dat je bent wie je zegt te zijn. Bijvoorbeeld door naar wachtwoord en/of een ander (biometrisch) bewijsmiddel te vragen bij het inloggen op een applicatie. Bij de authenticatie wordt gecontroleerd of het opgegeven bewijs (zoals een wachtwoord) klopt.
Autorisatiematrix
Een schema waarin vast is gelegd wie toegang krijgt tot welke persoonsgegevens. Dat kan op basis van rollen, functies of een mix daarvan.
Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens.
B
Betrokkenen
De personen van wie persoonsgegevens worden verwerkt.
Bewaartermijnen
De (wettelijke) periode dat een (persoons)gegeven bewaard moet worden.
Bijzondere persoonsgegevens
Bijzondere persoonsgegevens zijn gegevens die betrekking hebben op gevoelige informatie, gedragsproblemen, politieke voorkeur, godsdienst, seksuele voorkeur, gezondheid of een problematische thuissituatie. Bijzondere persoonsgegevens mogen niet worden bewaard of op een andere manier worden gebruikt, tenzij de wet daar toestemming voor geeft.
BIV-classificatie
Het indelen van (persoons)gegevens op basis van beschikbaarheid, integriteit en vertrouwelijkheid zijn.
Bring Your Own Device (BYOD)
BYOD is het gebruiken van je eigen apparatuur voor het uitvoeren van werktaken.
C
Cloud
De cloud (Nederlands: wolk) staat voor een netwerk dat met alle computers die erop aangesloten zijn, een soort “wolk van computers” vormt. Als je op je werkstation bezig bent, weet meestal niet op hoeveel of op welke computer(s) de software draait of waar die computers precies staan.
D
Data-integriteit
Data-integriteit heeft betrekking op de juistheid van de informatie. Is het niet verouderd of incorrect?
Datalek
Bij een datalek raken persoonsgegevens verloren of worden ze opgeslagen, aangepast, verzonden of op een andere manier verwerkt door iemand die daar geen recht toe heeft. Een datalek is een beveiligingsincident.
Dataminimalisatie
Dataminimalisatie betekent niet meer persoonsgegevens verwerken dan nodig. Gebruik alleen persoonsgegevens die je nodig hebt om je doel te bereiken. Je moet je doel niet met minder persoonsgegevens kunnen bereiken en data niet langer bewaren dan noodzakelijk is. Met andere woorden: kan het minder, dan moet het ook met minder.
Dataportabiliteit
Dataportabiliteit betekent dat data overdraagbaar is aan een andere verwerkingsverantwoordelijke in een gestructureerde, gangbare en machineleesbare vorm.
Dataregister
Het dataregister is een register van verwerkingsactiviteiten speciaal voor het onderwijs. Het dataregister is voor een gedeelte al ingevuld en van suggesties voorzien.
DDoS
DDoS staat voor ‘Distibuted-denial-of-service’. Pogingen om een computer of netwerk moeilijk bereikbaar te maken door met veel computers tegelijk verzoeken daarop af te vuren
Derde
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.
Derde landen
Alle landen buiten de Europese Economische Ruimte: alle EU-landen en Noorwegen, Liechtenstein, IJsland. Derde landen houden zich niet aan de EU-regelgeving als het gaat om privacy.
Documentatieplicht
De documentatieplicht houdt in dat je vast moet leggen op welke manier je je aan de regels van de AVG houdt.
Doelbinding
Je mag persoonsgegevens alleen gebruiken voor een vooraf vastgelegd doel. Als dat doel niet langer bestaat, moet je de persoonsgegevens vernietigen.
DPIA
DPIA is Data Protection Impact Assessment. In het Nederlands heet het gegevensbeschermingseffectbeoordeling. Met een DPIA onderzoek je wat het effect op de privacy van de betrokkenen is bij het verwerken van persoonsgegevens.
E
ECK-id
Een uniek identificerend nummer (het ECK iD) voor leerlingen en leraren dat scholen kunnen aanmaken via nummervoorziening, een publieke dienst van Kennisnet.
Encryptie
Encryptie is het versleutelen van persoonsgegevens. Door de versleuteling kan een derde partij de gegevens niet inzien. Alleen de juiste zender en ontvanger beschikken over de sleutel.
Entree Federatie
Via een account bij Entree Federatie heb je met één login toegang tot alle digitale leermiddelen.
F
Functionaris voor Gegevensbescherming
Iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG).
G
Gezamenlijke verwerkingsverantwoordelijke
Twee of meer verwerkingsverantwoordelijken die gezamenlijk verantwoordelijk zijn voor de verwerking van persoonsgegevens. Zij bepalen samen het doel en de middelen van de verwerking. Bijvoorbeeld als een school samen met een andere organisatie opdrachtgever is van een onderzoek.
Governance
Besturen, zeggenschap hebben en toezicht houden.
Grondslag
De (wettelijke) basis waarop je persoonsgegevens verwerkt. Er zijn 6 mogelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang.
H
Hacker
Een hacker is iemand die op zoek gaat naar zwakke plekken in computers, software of computernetwerken en vervolgens inbreekt.
I
Ict-coördinator
In het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker.
Informatieplicht
Het aan betrokkenen bekendmaken van wat je met hun persoonsgegevens je doet.
Injects
Alle middelen die je gebruikt om het scenario van een crisisoefening verder te laten ontwikkelen.
Inzage
De mogelijkheid die betrokkenen hebben om hun eigen persoonsgegevens in te zien of een overzicht te krijgen van de persoonsgegevens die worden verwerkt.
ISO
Internationale organisatie voor standaardisatie. Een ISO norm voor informatiebeveiliging is de ISO 27001 of 27002 of 9001.
K
Keten
De samenwerking in de onderwijsketen: van brancheorganisatie van educatieve uitgevers en softwareleveranciers tot koepelorganisaties van scholen.
Kwetsbaarheid
Een fout in de toegangsbeveiliging waardoor onbevoegden toegang krijgen tot software en systemen en mogelijk ongewenste handelingen kunnen uitvoeren. Een kwetsbaarheid kan leiden tot een datalek.
L
Leveranciers
Aanbieders van ict- of leermiddelen.
M
Meldplicht datalekken
De plicht tot het doen van een melding doen bij de Autoriteit Persoonsgegevens (AP) zodra er een ernstig datalek geconstateerd is.
O
OKR
Het onderwijskundig rapport.
Ontvanger
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan aan waaraan persoonsgegevens worden verstrekt.
Opt-in
De mogelijkheid om ervoor te kiezen je persoonsgegevens te delen.
Opt-out
De mogelijkheid om ervoor te kiezen je persoonsgegevens niet te delen.
Ouders
Waar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn.
P
PDCA-cyclus
Plan Do Check Act cyclus: een voortdurende cyclus van evaluatie en verbetering.
Persoonsgegevens
Alle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres.
Privacy
Het recht om met rust te worden gelaten, om te weten en te bepalen wat er met gegevens over jou gebeurt en om te weten wie de beschikking heeft over jouw persoonsgegevens.
Privacy by default
Standaard producten of diensten staan zo ingestellen dat privacy wordt gewaarborgd. Alle opties om persoonsgegevens te delen staan standaard “uit”.
Privacy by design
Bij het ontwerpen van producten en diensten, zoals software ervoor zorgen dat persoonsgegevens standaard goed beschermd worden.
Privacy Officer
In het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker.
Privacybijsluiter
Bijlage bij de verwerkersovereenkomst met een leverancier van ict-diensten. In de privacybijsluiter wordt beschreven wat de dienst doet, wie daarvoor verantwoordelijk is, welke persoonsgegevens er betrokken zijn, waar de gegevens worden opgeslagen.
Privacyconvenant
Het stelsel van afspraken die scholen en aanbieders van digitale diensten met elkaar maken, waarbij iedereen de afspraken op dezelfde manier uitlegt.
Profilering
Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.
Pseudonimiseren
Een methode waarbij identificerende persoonsgegevens met een bepaald algoritme worden vervangen door versleutelde gegevens (het pseudoniem). Het algoritme kan aan een persoon steeds hetzelfde pseudoniem toekennen, waardoor informatie uit verschillende bronnen kan worden gecombineerd. Na de encryptie is het dus nog steeds mogelijk om de betrokkene te identificeren: met behulp van het algoritme kan de versleuteling namelijk weer worden teruggedraaid. Een pseudoniem is dus een persoonsgegeven.
R
Register van verwerkingsactiviteiten
Een register met informatie over verwerkingen van persoonsgegevens.
Risicoanalyse
Het analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan.
S
Samenwerkingsverband
De organisatie die in het kader van het passend onderwijs gaat over de toewijzing van extra hulp en ondersteuning voor leerlingen. Alle scholen in de regio van het samenwerkingsverband zijn hierbij aangesloten.
School-CERT
School-CERT is een sectoraal CERT. CERT staat voor Computer Emergency Response Team en is een gespecialiseerd team van ict-professionals, dat in staat is snel te adviseren in het geval van een cybersecurityincident. School-CERT is er voor het bekostigd primair- en voortgezet onderwijs in Nederland.
Schoolbestuur
Het schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft.
SLA
Service Level Agreement – het onderhoudscontract tussen school en een leverancier van systemen, software of diensten.
Subverwerker
De leverancier van de leverancier van de school. Degene die in opdracht van de verwerker verwerkingen doet. De verwerker is ervoor verantwoordelijk dat de subverwerker op de hoogte is van afspraken met de verwerkingsverantwoordelijke.
T
Tabletop-oefening
Een crisisoefening die vanaf een vergadertafel wordt gespeeld.
Transparantie
Helder zijn over de persoonsgegevens die je verzamelt en wat je er mee doet.
V
Veilige landen
Alle EU-landen en Noorwegen, Liechtenstein, IJsland (samen de EER) die zich houden aan de EU-regelgeving als het gaat om privacy.
Vernietigen
Het definitief verwijderen van gegevens, zodat de persoonsgegevens niet meer aanwezig of terug te halen zijn.
Vertegenwoordiger
Een in de EU gevestigde natuurlijke persoon of rechtspersoon die door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen.
Verwerken
Alles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming.
Verwerker
Degene of de organisatie die handelt in opdracht van de verwerkingsverantwoordelijke, zoals de leverancier van het leerlingadministratiesysteem. Deze mag alleen verwerkingen doen waarvoor hij uitdrukkelijk opdracht krijgt.
Verwerkingsverantwoordelijke
Degene die het doel en de middelen bepaalt bij het verwerken van persoonsgegevens, zoals een schoolbestuur.
