Aanpak IBPPrivacy by default en privacy by design

Privacy by default en privacy by design

Privacy by default en privacy by design zijn verplicht vanuit de Algemene Verordening Gegevensbescherming (AVG). Ze zorgen ervoor dat het waarborgen van privacy de norm wordt binnen je school. Dat betekent onder andere dat je zo min mogelijk persoonsgegevens verwerkt en de persoonsgegevens die je verwerkt zo goed mogelijk beveiligt.

Privacy by default en privacy by design hebben gemeen dat ze het garanderen van privacy als uitgangspunt hebben bij alles wat je op school doet. Maar de begrippen verschillen ook van elkaar:

Privacy by default

Bij Privacy by default stel je je systemen standaard in op de meest privacyvriendelijke stand. Dat betekent dat alle opties tot het delen van persoonsgegevens standaard uit staan en dat ouders, leerlingen of medewerkers die zelf actief aan moeten zetten als ze dat willen. Systemen moeten ontworpen zijn met het garanderen van privacy als randvoorwaarde.

Privacy by design
Privacy by design houdt in dat je zo min mogelijk persoonsgegevens verwerkt en leerlingen, ouders en medewerkers zelf de mogelijkheid geeft om persoonsgegevens wel of niet te delen met anderen. Maak je bijvoorbeeld gebruik van een digitaal communicatieplatform voor ouders? Dan zorg je er om te beginnen voor dat je binnen dat systeem alleen de persoonsgegevens gebruikt die je echt nodig hebt. Je zorgt er ook voor dat ouders zelf kunnen kiezen of en met wie ze hun persoonsgegevens willen delen in de app.

Is het wettelijk verplicht?

Ja, volgens de AVG moet je passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen en privacy te waarborgen. Dat doe je door je aan de principes van privacy by default en privacy by design te houden.

Meer informatie vind je in artikel 25 van de AVG. De bijbehorende maatregelen vind je in de ISO 27002, artikel 14.1 en artikel 14.2.5. Deze vind je terug in het toetsingskader IBP po vo.

Wie doet wat?

In het overzicht hieronder zie je wie wat doet bij het werken volgens de principes van privacy by default en privacy by design.

Verantwoordelijkheid


Schoolbestuur
De bestuurder zorgt ervoor dat er wordt gewerkt volgens privacy by default en privacy by design.

Uitvoering


Ict-coördinator,
Privacy Officer,
P&O-medewerker of
inkoopdeskundige
Verantwoordelijk voor de aanschaf en de op de juiste manier inrichten van systemen.

Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.

Aan de slag

Stap 1 | Nieuwe software

Ga je een nieuwe applicatie aanschaffen? Voer dan een DPIA uit. Controleer voor je overgaat tot aanschaf of de software is geprogrammeerd volgens de principes van privacy by design en privacy by default.

Stap 2 | Bestaande software

Controleer of bij bestaande software alle opties om persoonsgegevens te delen standaard uit staan bij een nieuwe gebruiker. Controleer of je niet meer persoonsgegevens gebruikt dan nodig. Heb je alle persoonsgegevens die je verzamelt echt nodig? Zo niet, pas dat dan aan in je systeem of software.

Stap 3 | Autorisaties

Richt autorisaties zo in dat iedereen alleen toegang heeft tot de persoonsgegevens die ze nodig hebben en dat ze niet meer kunnen zien dan dat.

Inhoudsopgave