Stappenplan
Je moet op school aan de slag met informatiebeveiliging en privacyHet recht om met rust te worden gelaten, om te weten en te bepalen wat er met gegevens over jou gebeurt en om te weten wie de beschikking heeft over jouw persoonsgegevens. More (IBP). Maar waar begin je? En hoe weet je of je aan alle regels voldoet? Op de Aanpak IBP vind je hier al veel informatie over. We hebben een aantal items voor je op een rijtje in een stappenplan. Na het doorlopen deze stappen weet je beter of je aan de regels van de Algemene verordening gegevensbescherming (AVG) voldoet en of je je informatiebeveiliging op orde hebt.
Je mag als school persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. More en registreren, maar je moet dat wel verantwoord doen. Zorg daarom dat je op de hoogte bent van de 5 vuistregels voor het verwerken van persoonsgegevens vóór je met IBP begint.
Ben je net gestart of al een poosje bezig met IBP? Breng de groeimogelijkheden en risico’s van jullie ict-inzet in kaart met de tool Inzicht in ict-voorwaarden. Beantwoord met bijvoorbeeld de bestuurder, de Privacy OfficerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker. More, het hoofd ict of de functionaris gegevensbescherming de vragen en doe dit onafhankelijk van elkaar. Leg de rapportages die eruit komen naast elkaar en bespreek dan jullie ieder afzonderlijk tegen de situatie aankijken. Als je de gegevens opslaat, kun je later nog eens zo’n sessie doen en kijken hoe de situatie intussen is.
Een mooi voorbeeld van wat je door het jaar heen moet ondernemen om controle te houden op je acties, is de jaarkalender die we onder stap 5 hebben opgenomen”.
Stap 1: Beleid en verantwoordelijkheden
Het organiseren van IBP begint met het scheppen van de juiste randvoorwaarden in de vorm van een beleid en het vastleggen van verantwoordelijkheden. De verantwoordelijkheid voor deze stap ligt bij het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. More.
IBP-beleid
Het organiseren van informatiebeveiliging en privacy op school begint met een IBP-beleid. Hierin leg je vast welke uitgangspunten je hanteert bij het beveiligen van informatie en het garanderen van privacy van medewerkers en leerlingen. Én welke maatregelen, procedures en afspraken hierbij horen.
Rollen en verantwoordelijkheden
Binnen je IBP-beleid leg je ook vast wie zeggenschap heeft en toezicht houdt (governanceBesturen, zeggenschap hebben en toezicht houden. More), wie waar verantwoordelijk voor is en wie wat doet. Omdat het succes van IBP staat of valt met de mensen die het uitvoeren, is het noodzakelijk om de verantwoordelijkheden in een vroeg stadium helder te hebben.
Functionaris voor Gegevensbescherming (FG)
Een FG is een interne toezichthouder. Een FG adviseert het schoolbestuur over privacy en houdt toezicht op de naleving van de AVG.
Stap 2: Risico’s inventariseren en beperken
Om persoonsgegevens goed te beveiligen, moet je weten welke risico’s je loopt en proberen die risico’s zo goed mogelijk te beperken.
Risicoanalyse
Met een risicoanalyseHet analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan. More breng je in kaart over welke persoonsgegevens je beschikt, waarom je die moet beschermen en waartegen je ze moet beschermen. Zo kun je de juiste beveiligingsmaatregelen nemen.
DPIA
Een Data Protection Impact Assessment of DPIADPIA is Data Protection Impact Assessment. In het Nederlands heet het gegevensbeschermingseffectbeoordeling. Met een DPIA onderzoek je wat het effect op de privacy van de betrokkenen is bij het verwerken van persoonsgegevens. More is een speciale risicoanalyse die helpt om schending van privacyrechten te beperken en voorkomen. Iedere keer dat je een systeem of software aanschaft, voer je een DPIA uit.
Gedragscode veilig gebruik ict-middelen en persoonsgegevens
Met goed geïnformeerde medewerkers voorkom je beveiligingsincidenten. Leg daarom in een gedragscode vast hoe je in de praktijk omgaat met persoonsgegevens, het verantwoord gebruik van internet en e-mail, het melden van beveiligingsincidenten en datalekken, de aanschaf van digitaal lesmateriaal en informatiesystemen en het gebruik van eigen apparaten op school.
Wachtwoordbeleid
Goed beveiligen van persoonsgegevens doe je onder andere met een goed wachtwoordbeleid.
Melden van beveiligingsincidenten
Als er toch iets mis gaat met informatiebeveiliging of als data gelekt worden, moet dat gemeld worden. Richt daarvoor de juiste procedure in.
Stap 3: Transparant over delen van persoonsgegevens
Je moet van de wet transparant zijn over wat je doet met de persoonsgegevens die leerlingen en oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn. More met je delen. Deel je als school die persoonsgegevens met een derdeEen natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken. More partij? Dan moet je zorgen dat je daarvoor toestemming hebt.
Rechten van betrokkenen
BetrokkenenDe personen van wie persoonsgegevens worden verwerkt. More zijn degenen van wie persoonsgegevens worden verwerkt, zoals leerlingen en ouders. Deze mensen hebben een aantal rechten als het gaat om wat je als school doet met die persoonsgegevens. Dat zijn de rechten van betrokkenen. Je moet ervoor zorgen dat de betrokken die rechten kunnen uitoefenen.
Privacy by default en privacy by design
Privacy by defaultStandaard producten of diensten staan zo ingestellen dat privacy wordt gewaarborgd. Alle opties om persoonsgegevens te delen staan standaard "uit". More en privacy by designBij het ontwerpen van producten en diensten, zoals software ervoor zorgen dat persoonsgegevens standaard goed beschermd worden. More zijn erop gericht ervoor te zorgen dat het waarborgen van privacy de norm wordt binnen je school. Dat betekent onder andere dat je zo min mogelijk persoonsgegevens verwerkt en de persoonsgegevens die je verwerkt zo goed mogelijk beveiligt.
Privacyreglement en -verklaring
In een privacyreglement laat je zien hoe je de privacy van leerlingen en medewerkers beschermt. Je legt erin vast welke persoonsgegevens je verwerkt en waarom je dat doet. Maar ook hoe je die persoonsgegevens bewaart en beveiligt. En hoe leerlingen en medewerkers hun persoonsgegevens kunnen inzien, laten verwijderen of corrigeren.
Foto’s en video’s van leerlingen
Je mag als school foto’s en video’s maken. Wil je foto’s en video’s van leerlingen gebruiken en delen? Dan moet je hiervoor toestemming vragen.
Afspraken over sociale media
Wordt er op school gebruikgemaakt van sociale media tijdens de les of heeft jouw school eigen social media accounts? Om de privacy van leerlingen te kunnen garanderen en te voldoen aan regels die voortkomen uit de AVG, is het verstandig om als school goed na te denken over een sociale mediabeleid.
Uitwisselen van persoonsgegevens
Wissel je als school persoonsgegevens uit? Zorg dan dat je dat op de juiste manier doet.
Beveiligingscamera’s
Wil je op school camera’s gebruiken om de veiligheid te waarborgen? Dan moet je aan een aantal voorwaarden voldoen.
Stap 4: Verwerken en bewaren van persoonsgegevens
Als je persoonsgegevens opslaat of anderen dat voor je laat doen, moet je ervoor zorgen dat je dat op de juiste manier regelt.
Verwerkersovereenkomsten
Maak je gebruik van digitale producten of diensten, zoals een leerlingadministratiesysteem of een digitaal leermiddel? Worden deze systemen bij de softwareleverancier beheerd en gehost? Dan besteed jij als school de verwerking van persoonsgegevens uit aan een derde partij. In zo’n geval moet je een verwerkersovereenkomst afsluiten om de privacy van medewerkers, leraren, leerlingen en hun ouders te garanderen.
Register van verwerkingsactiviteiten
In een register van verwerkingsactiviteitenEen register met informatie over verwerkingen van persoonsgegevens. More (dataregisterHet dataregister is een register van verwerkingsactiviteiten speciaal voor het onderwijs. Het dataregister is voor een gedeelte al ingevuld en van suggesties voorzien. More) leg je vast welke persoonsgegevens je verwerkt. Het gaat hierbij om persoonsgegevens die je zelf verwerkt en om persoonsgegevens die in jouw opdracht worden verwerkt door bijvoorbeeld de leverancier van een leerlingadministratiesysteem.
Bewaartermijnen
Het bewaren van persoonsgegevens is gebonden aan regels. Voor sommige type persoonsgegevens gelden wettelijke termijnen. Voor andere moet je zelf een termijn vaststellen. Welke (wettelijke) termijn geldt, hangt af van de wet waaronder de persoonsgegevens vallen. Je moet voor de persoonsgegevens die je bewaart, vastleggen hoe lang je dat doet.
Stap 5: Evalueren
Als je privacy van leerlingen en medewerkers goed wil blijven waarborgen en je informatiebeveiliging op orde wilt houden, is het belangrijk dat je regelmatig controleert of alles nog goed gaat. Doe dit bij voorkeur jaarlijks, maar sowieso bij iedere wijziging of elk incident. Een handige manier om dit doen is via de zogeheten PDCA-cyclusPlan Do Check Act cyclus: een voortdurende cyclus van evaluatie en verbetering. More. De PDCA-cyclus is een gestructureerde manier om continu te blijven evalueren. Het staat voor:
- Plan: in dit stadium maak je plannen voor een wijziging.
- Do: voer het plan uit.
- Check: controleer het resultaat.
- Act: is het resultaat naar wens? Voer de wijziging dan in. Is het niet naar wens? Stuur dan bij.
Verantwoordings- en informatieplicht
De informatie- en verantwoordingsplicht betekent dat je actief uitdraagt en actief aantoont dat je je aan de regels van de AVG houdt.
Bewustwording
Het is belangrijk dat de iedereen op school weet wat IBP betekent en wat er nodig is om persoonsgegevens goed te beveiligen. Zorg daarom dat je de maatregelen die voortvloeien uit deze aanpak niet alleen uitvoert, maar dat je er ook helder over communiceert met medewerkers, leerlingen, ouders en bezoekers.
Kom je er niet alleen uit?
IBP goed inrichten is een hele klus. We helpen je graag verder.
- Stel een vraag bij onze supportdesk IBP@kennisnet.nl.
- Op zoek naar een FG? Functionaris gegevensbescherming – SIVON.
- Wil je met andere IBP’ers sparren? Dat kan via het Netwerk IBP. Via het IBP-forum kun je met elkaar van gedachten wisselen. In de documentenbibliotheek kun je documenten met elkaar delen.
