Begrippenlijst

A

Anonimiseren

Anonimiseren is een methode waarbij persoonsgegevens worden bewerkt zodat ze niet meer gebruikt kunnen worden om iemand mee te identificeren. Anonimiseren is onomkeerbaar. De gegevens kunnen dus nooit meer worden teruggeleid tot een persoon. Geanonimiseerde gegevens vallen niet onder de AVG.

Archiefwet

De Archiefwet is een Nederlandse wet die het beheer en de toegang van overheidsarchieven regelt.

Authenticatie

Authenticatie is het bewijzen dat je bent wie je zegt te zijn. Bijvoorbeeld door naar wachtwoord en/of een ander (biometrisch) bewijsmiddel te vragen bij het inloggen op een applicatie. Bij de authenticatie wordt gecontroleerd of het opgegeven bewijs (zoals een wachtwoord) klopt.

Autorisatiematrix

Een schema waarin vast is gelegd wie toegang krijgt tot welke persoonsgegevens. Dat kan op basis van rollen, functies of een mix daarvan.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens.

B

Betrokkenen

De personen van wie persoonsgegevens worden verwerkt.

Bewaartermijnen

De (wettelijke) periode dat een (persoons)gegeven bewaard moet worden.

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn gegevens die betrekking hebben op gevoelige informatie, gedragsproblemen, politieke voorkeur, godsdienst, seksuele voorkeur, gezondheid of een problematische thuissituatie. Bijzondere persoonsgegevens mogen niet worden bewaard of op een andere manier worden gebruikt, tenzij de wet daar toestemming voor geeft.

BIV-classificatie

Het indelen van (persoons)gegevens op basis van beschikbaarheid, integriteit en vertrouwelijkheid zijn.

Bring Your Own Device (BYOD)

BYOD is het gebruiken van je eigen apparatuur voor het uitvoeren van werktaken.

C

Cloud

De cloud (Nederlands: wolk) staat voor een netwerk dat met alle computers die erop aangesloten zijn, een soort “wolk van computers” vormt. Als je op je werkstation bezig bent, weet meestal niet op hoeveel of op welke computer(s) de software draait of waar die computers precies staan.

D

Data-integriteit

Data-integriteit heeft betrekking op de juistheid van de informatie. Is het niet verouderd of incorrect?

Datalek

Bij een datalek raken persoonsgegevens verloren of worden ze opgeslagen, aangepast, verzonden of op een andere manier verwerkt door iemand die daar geen recht toe heeft. Een datalek is een beveiligingsincident.

Dataminimalisatie

Dataminimalisatie betekent niet meer persoonsgegevens verwerken dan nodig. Gebruik alleen persoonsgegevens die je nodig hebt om je doel te bereiken. Je moet je doel niet met minder persoonsgegevens kunnen bereiken en data niet langer bewaren dan noodzakelijk is. Met andere woorden: kan het minder, dan moet het ook met minder.

Dataportabiliteit

Dataportabiliteit betekent dat data overdraagbaar is aan een andere verwerkingsverantwoordelijke in een gestructureerde, gangbare en machineleesbare vorm.

Dataregister

Het dataregister is een register van verwerkingsactiviteiten speciaal voor het onderwijs. Het dataregister is voor een gedeelte al ingevuld en van suggesties voorzien.

DDoS

DDoS staat voor ‘Distibuted-denial-of-service’. Pogingen om een computer of netwerk moeilijk bereikbaar te maken door met veel computers tegelijk verzoeken daarop af te vuren

Derde

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.

Derde landen

Alle landen buiten de Europese Economische Ruimte: alle EU-landen en Noorwegen, Liechtenstein, IJsland. Derde landen houden zich niet aan de EU-regelgeving als het gaat om privacy.

Documentatieplicht

De documentatieplicht houdt in dat je vast moet leggen op welke manier je je aan de regels van de AVG houdt.

Doelbinding

Je mag persoonsgegevens alleen gebruiken voor een vooraf vastgelegd doel. Als dat doel niet langer bestaat, moet je de persoonsgegevens vernietigen.

DPIA

DPIA is Data Protection Impact Assessment. In het Nederlands heet het gegevensbeschermingseffectbeoordeling. Met een DPIA onderzoek je wat het effect op de privacy van de betrokkenen is bij het verwerken van persoonsgegevens.

E

ECK-id

Een uniek identificerend nummer (het ECK iD) voor leerlingen en leraren dat scholen kunnen aanmaken via nummervoorziening, een publieke dienst van Kennisnet.

Encryptie

Encryptie is het versleutelen van persoonsgegevens. Door de versleuteling kan een derde partij de gegevens niet inzien. Alleen de juiste zender en ontvanger beschikken over de sleutel.

Entree Federatie

Via een account bij Entree Federatie heb je met één login toegang tot alle digitale leermiddelen.

F

Functionaris voor Gegevensbescherming

Iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG).

G

Gezamenlijke verwerkingsverantwoordelijke

Twee of meer verwerkingsverantwoordelijken die gezamenlijk verantwoordelijk zijn voor de verwerking van persoonsgegevens. Zij bepalen samen het doel en de middelen van de verwerking. Bijvoorbeeld als een school samen met een andere organisatie opdrachtgever is van een onderzoek.

Governance

Besturen, zeggenschap hebben en toezicht houden.

Grondslag

De (wettelijke) basis waarop je persoonsgegevens verwerkt. Er zijn 6 mogelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang.

H

Hacker

Een hacker is iemand die op zoek gaat naar zwakke plekken in computers, software of computernetwerken en vervolgens inbreekt.

I

Ict-coördinator

In het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker.

Informatieplicht

Het aan betrokkenen bekendmaken van wat je met hun persoonsgegevens je doet.

Injects

Alle middelen die je gebruikt om het scenario van een crisisoefening verder te laten ontwikkelen.

Inzage

De mogelijkheid die betrokkenen hebben om hun eigen persoonsgegevens in te zien of een overzicht te krijgen van de persoonsgegevens die worden verwerkt.

ISO

Internationale organisatie voor standaardisatie. Een ISO norm voor informatiebeveiliging is de ISO 27001 of 27002 of 9001.

K

Keten

De samenwerking in de onderwijsketen: van brancheorganisatie van educatieve uitgevers en softwareleveranciers tot koepelorganisaties van scholen.

Kwetsbaarheid

Een fout in de toegangsbeveiliging waardoor onbevoegden toegang krijgen tot software en systemen en mogelijk ongewenste handelingen kunnen uitvoeren. Een kwetsbaarheid kan leiden tot een datalek.

L

Leveranciers

Aanbieders van ict- of leermiddelen.

M

Meldplicht datalekken

De plicht tot het doen van een melding doen bij de Autoriteit Persoonsgegevens (AP) zodra er een ernstig datalek geconstateerd is.

O

OKR

Het onderwijskundig rapport.

Ontvanger

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan aan waaraan persoonsgegevens worden verstrekt.

Opt-in

De mogelijkheid om ervoor te kiezen je persoonsgegevens te delen.

Opt-out

De mogelijkheid om ervoor te kiezen je persoonsgegevens niet te delen.

Ouders

Waar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn.

P

PDCA-cyclus

Plan Do Check Act cyclus: een voortdurende cyclus van evaluatie en verbetering.

Persoonsgegevens

Alle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres.

Privacy

Het recht om met rust te worden gelaten, om te weten en te bepalen wat er met gegevens over jou gebeurt en om te weten wie de beschikking heeft over jouw persoonsgegevens.

Privacy by default

Standaard producten of diensten staan zo ingestellen dat privacy wordt gewaarborgd. Alle opties om persoonsgegevens te delen staan standaard “uit”.

Privacy by design

Bij het ontwerpen van producten en diensten, zoals software ervoor zorgen dat persoonsgegevens standaard goed beschermd worden.

Privacy Officer

In het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker.

Privacybijsluiter

Bijlage bij de verwerkersovereenkomst met een leverancier van ict-diensten. In de privacybijsluiter wordt beschreven wat de dienst doet, wie daarvoor verantwoordelijk is, welke persoonsgegevens er betrokken zijn, waar de gegevens worden opgeslagen.

Privacyconvenant

Het stelsel van afspraken die scholen en aanbieders van digitale diensten met elkaar maken, waarbij iedereen de afspraken op dezelfde manier uitlegt.

Profilering

Elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.

Pseudonimiseren

Een methode waarbij identificerende persoonsgegevens met een bepaald algoritme worden vervangen door versleutelde gegevens (het pseudoniem). Het algoritme kan aan een persoon steeds hetzelfde pseudoniem toekennen, waardoor informatie uit verschillende bronnen kan worden gecombineerd. Na de encryptie is het dus nog steeds mogelijk om de betrokkene te identificeren: met behulp van het algoritme kan de versleuteling namelijk weer worden teruggedraaid. Een pseudoniem is dus een persoonsgegeven.

R

Register van verwerkingsactiviteiten

Een register met informatie over verwerkingen van persoonsgegevens.

Risicoanalyse

Het analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan.

S

Samenwerkingsverband

De organisatie die in het kader van het passend onderwijs gaat over de toewijzing van extra hulp en ondersteuning voor leerlingen. Alle scholen in de regio van het samenwerkingsverband zijn hierbij aangesloten.

School-CERT

School-CERT is een sectoraal CERT. CERT staat voor Computer Emergency Response Team en is een gespecialiseerd team van ict-professionals, dat in staat is snel te adviseren in het geval van een cybersecurityincident. School-CERT is er voor het bekostigd primair- en voortgezet onderwijs in Nederland.

Schoolbestuur

Het schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft.

SLA

Service Level Agreement – het onderhoudscontract tussen school en een leverancier van systemen, software of diensten.

Subverwerker

De leverancier van de leverancier van de school. Degene die in opdracht van de verwerker verwerkingen doet. De verwerker is ervoor verantwoordelijk dat de subverwerker op de hoogte is van afspraken met de verwerkingsverantwoordelijke.

T

Tabletop-oefening

Een crisisoefening die vanaf een vergadertafel wordt gespeeld.

Transparantie

Helder zijn over de persoonsgegevens die je verzamelt en wat je er mee doet.

V

Veilige landen

Alle EU-landen en Noorwegen, Liechtenstein, IJsland (samen de EER) die zich houden aan de EU-regelgeving als het gaat om privacy.

Vernietigen

Het definitief verwijderen van gegevens, zodat de persoonsgegevens niet meer aanwezig of terug te halen zijn.

Vertegenwoordiger

Een in de EU gevestigde natuurlijke persoon of rechtspersoon die door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen.

Verwerken

Alles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming.

Verwerker

Degene of de organisatie die handelt in opdracht van de verwerkingsverantwoordelijke, zoals de leverancier van het leerlingadministratiesysteem. Deze mag alleen verwerkingen doen waarvoor hij uitdrukkelijk opdracht krijgt.

Verwerkingsverantwoordelijke

Degene die het doel en de middelen bepaalt bij het verwerken van persoonsgegevens, zoals een schoolbestuur.