Rollen en verantwoordelijkheden

bijgewerkt op 10 mei 2019

Scholen lopen vaak tegen de vraag aan wie nou eigenlijk wat doet als het gaat om informatiebeveiliging en privacyHet recht om met rust te worden gelaten, om te weten en te bepalen wat er met gegevens over jou gebeurt en om te weten wie de beschikking heeft over jouw persoonsgegevens. (IBP). We geven hier een overzicht van de verschillende rollen, functies en taken. We maken daarbij een onderscheid tussen wie verantwoordelijk is en wie uitvoert. Soms loopt dat in elkaar over. De (gemeenschappelijke) medezeggenschapsraad heeft een aparte rol. Bij het uitvoeren van sommige maatregelen die voortvloeien uit de Algemene Verordening Gegevensbescherming (AVG) en het organiseren van informatiebeveiliging ben je verplicht om hen om instemming te vragen.

Afhankelijk van het type school of de manier waarop de school georganiseerd is, kan de uitvoering van IBP bij één of meerdere medewerkers in de organisatie belegd zijn. Hier volgt een overzicht van de rollen die meestal bij IBP betrokken zijn en wat de aard van hun rol is. Zijn ze (eind)verantwoordelijk, uitvoerend, adviserend of moeten ze om instemming worden gevraagd?

Eindverantwoordelijk

De volgende rollen zijn op scholen eindverantwoordelijk voor IBP:

SchoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft.
Voorzitter College van Bestuur
Directeur

Directie en bestuur zijn niet alleen eindverantwoordelijk, maar ook de zogeheten verwerkingsverantwoordelijken. De verwerkingsverantwoordelijkeDegene die het doel en de middelen bepaalt bij het verwerken van persoonsgegevens, zoals een schoolbestuur. bepaalt waarom er persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. worden verzameld en hoe dat gebeurt. Zij stellen daarom het IBP-beleid op, evalueren dat beleid en wijzen rollen en taken toe.

Uitvoering

Wie het beleid daadwerkelijk uitvoert, hangt sterk van de (grootte) van de organisatie af. Op kleinere po-scholen zal dit voor een groot deel op de schouders rusten van een ict-coördinatorIn het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker.. Op grotere scholen kunnen verschillende mensen betrokken zijn. Afhankelijk van de uit te voeren maatregel zijn de volgende rollen en functies vaak betrokken bij de uitvoering van IBP:

Ict-coördinator
Privacy OfficerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker.
Manager IBP
Verantwoordelijke IBP
Informatiemanager
Security Officer
Functioneel beheerder
Ict-beheerder

Toezicht en advies

De Functionaris voor GegevensbeschermingIemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). (FG) controleert of de privacywet wordt nageleefd en kan om advies worden gevraagd bij het uitvoeren van maatregelen. De FG is ook betrokken bij incidenten en klachten.

Instemming

Maatregelen die direct betrekking hebben op de privacy van leerlingen of medewerkers kunnen niet worden uitgevoerd zonder instemming van de (G)MR. Het gaat hierbij om:

IBP-beleid
Privacyreglement
Reglement cameratoezicht
Gedragscode veilig gebruik ict-middelen en persoonsgegevens