Privacy by default en privacy by design
Privacy by defaultStandaard producten of diensten staan zo ingestellen dat privacy wordt gewaarborgd. Alle opties om persoonsgegevens te delen staan standaard "uit". More en privacy by designBij het ontwerpen van producten en diensten, zoals software ervoor zorgen dat persoonsgegevens standaard goed beschermd worden. More zijn verplicht vanuit de Algemene Verordening Gegevensbescherming (AVG). Ze zorgen ervoor dat het waarborgen van privacyHet recht om met rust te worden gelaten, om te weten en te bepalen wat er met gegevens over jou gebeurt en om te weten wie de beschikking heeft over jouw persoonsgegevens. More de norm wordt binnen je school. Dat betekent onder andere dat je zo min mogelijk persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More verwerkt en de persoonsgegevens die je verwerkt zo goed mogelijk beveiligt.
Privacy by default en privacy by design hebben gemeen dat ze het garanderen van privacy als uitgangspunt hebben bij alles wat je op school doet. Maar de begrippen verschillen ook van elkaar:
Privacy by default
Bij privacy by default stel je je systemen standaard in op de meest privacyvriendelijke stand. Dat betekent dat alle opties tot het delen van persoonsgegevens standaard uit staan en dat oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn. More, leerlingen of medewerkers die zelf actief aan moeten zetten als ze dat willen. Systemen moeten ontworpen zijn met het garanderen van privacy als randvoorwaarde.
Privacy by design
Privacy by design houdt in dat je zo min mogelijk persoonsgegevens verwerkt en leerlingen, ouders en medewerkers zelf de mogelijkheid geeft om persoonsgegevens wel of niet te delen met anderen. Maak je bijvoorbeeld gebruik van een digitaal communicatieplatform voor ouders? Dan zorg je er om te beginnen voor dat je binnen dat systeem alleen de persoonsgegevens gebruikt die je echt nodig hebt. Je zorgt er ook voor dat ouders zelf kunnen kiezen of en met wie ze hun persoonsgegevens willen delen in de app.
Is het wettelijk verplicht?
Ja, volgens de AVG moet je passende technische en organisatorische maatregelen treffen om persoonsgegevens te beschermen en privacy te waarborgen. Dat doe je door je aan de principes van privacy by default en privacy by design te houden.
Meer informatie vind je in artikel 25 van de AVG. Raadpleeg het normenkader IBP po vo voor maatregelen die hierbij horen.
Wie doet wat?
Bij het werken volgens de principes van privacy by default en privacy by design zijn verschillende rollen betrokken met elk hun eigen taken:
- De bestuurder van het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. More zorgt ervoor dat er wordt gewerkt volgens privacy by default en privacy by design.
- De ict-coördinatorIn het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker. More, Privacy OfficerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker. More, P&O-medewerker of inkoopdeskundige is verantwoordelijk voor de aanschaf en de op de juiste manier inrichten van systemen.
Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.
Aan de slag
Stap 1 | Nieuwe software
Ga je een nieuwe applicatie aanschaffen? Voer dan een DPIA uit. Controleer voor je overgaat tot aanschaf of de software is geprogrammeerd volgens de principes van privacy by design en privacy by default.
Stap 2 | Bestaande software
Controleer of bij bestaande software alle opties om persoonsgegevens te delen standaard uit staan bij een nieuwe gebruiker. Controleer of je niet meer persoonsgegevens gebruikt dan nodig. Heb je alle persoonsgegevens die je verzamelt echt nodig? Zo niet, pas dat dan aan in je systeem of software.
Stap 3 | Autorisaties
Richt autorisaties zo in dat iedereen alleen toegang heeft tot de persoonsgegevens die ze nodig hebben en dat ze niet meer kunnen zien dan dat.
