Aanpak IBPStappenplan

Stappenplan

Je moet op school aan de slag met informatiebeveiliging en privacy (IBP). Maar waar begin je? En hoe weet je of je aan alle regels voldoet? We ontwikkelden onderstaand stappenplan voor iedereen die bezig is met IBP. Na het doorlopen van deze stappen weet je zeker dat je aan de regels van de Algemene Verordening Gegevensbescherming (AVG) voldoet en dat je je informatiebeveiliging op orde hebt.

Stap 1: Beleid en verantwoordelijkheden

Het organiseren van IBP begint met het scheppen van de juiste randvoorwaarden in de vorm van een beleid en het vastleggen van verantwoordelijkheden. De verantwoordelijkheid voor deze stap ligt bij het schoolbestuur.

IBP-beleid

Het organiseren van informatiebeveiliging en privacy op school begint met een IBP-beleid. Hierin leg je vast welke uitgangspunten je hanteert bij het beveiligen van informatie en het garanderen van privacy van medewerkers en leerlingen. Én welke maatregelen, procedures en afspraken hierbij horen.

Rollen en verantwoordelijkheden

Binnen je IBP-beleid leg je ook vast wie zeggenschap heeft en toezicht houdt (governance), wie waar verantwoordelijk voor is en wie wat doet. Omdat het succes van IBP staat of valt met de mensen die het uitvoeren, is het noodzakelijk om de verantwoordelijkheden in een vroeg stadium helder te hebben.

Functionaris voor Gegevensbescherming (FG)

Een FG is een interne toezichthouder. Een FG adviseert het schoolbestuur over privacy en houdt toezicht op de naleving van de AVG.

Stap 2: Risico’s inventariseren en beperken

Om persoonsgegevens goed te beveiligen, moet je weten welke risico’s je loopt en proberen die risico’s zo goed mogelijk te beperken.

Risicoanalyse

Met een risicoanalyse breng je in kaart over welke persoonsgegevens je beschikt, waarom je die moet beschermen en waartegen je ze moet beschermen. Zo kun je de juiste beveiligingsmaatregelen nemen.

DPIA

Een Data Protection Impact Assessment of DPIA is een speciale risicoanalyse die helpt om schending van privacyrechten te beperken en voorkomen. Iedere keer dat je een systeem of software aanschaft, voer je een DPIA uit.

Gedragscode veilig gebruik ict-middelen en persoonsgegevens

Met goed geïnformeerde medewerkers voorkom je beveiligingsincidenten. Leg daarom in een gedragscode vast hoe je in de praktijk omgaat met persoonsgegevens, het verantwoord gebruik van internet en e-mail, het melden van beveiligingsincidenten en datalekken, de aanschaf van digitaal lesmateriaal en informatiesystemen en het gebruik van eigen apparaten op school.

Wachtwoordbeleid

Goed beveiligen van persoonsgegevens doe je onder andere met een goed wachtwoordbeleid.

Melden van beveiligingsincidenten

Als er toch iets mis gaat met informatiebeveiliging of als data gelekt worden, moet dat gemeld worden. Richt daarvoor de juiste procedure in.

Stap 3: Transparant over delen van persoonsgegevens

Je moet van de wet transparant zijn over wat je doet met de persoonsgegevens die leerlingen en ouders met je delen. Deel je als school die persoonsgegevens met een derde partij? Dan moet je zorgen dat je daarvoor toestemming hebt.

Rechten van betrokkenen

Betrokkenen zijn degenen van wie persoonsgegevens worden verwerkt, zoals leerlingen en ouders. Deze mensen hebben een aantal rechten als het gaat om wat je als school doet met die persoonsgegevens. Dat zijn de rechten van betrokkenen. Je moet ervoor zorgen dat de betrokken die rechten kunnen uitoefenen.

Privacy by default en privacy by design

Privacy by default en privacy by design zijn erop gericht ervoor te zorgen dat het waarborgen van privacy de norm wordt binnen je school. Dat betekent onder andere dat je zo min mogelijk persoonsgegevens verwerkt en de persoonsgegevens die je verwerkt zo goed mogelijk beveiligt.

Privacyreglement en -verklaring

In een privacyreglement laat je zien hoe je de privacy van leerlingen en medewerkers beschermt. Je legt erin vast welke persoonsgegevens je verwerkt en waarom je dat doet. Maar ook hoe je die persoonsgegevens bewaart en beveiligt. En hoe leerlingen en medewerkers hun persoonsgegevens kunnen inzien, laten verwijderen of corrigeren.

Foto’s en video’s van leerlingen

Je mag als school foto’s en video’s maken. Wil je foto’s en video’s van leerlingen gebruiken en delen? Dan moet je hiervoor toestemming vragen.

Afspraken over sociale media

Wordt er op school gebruikgemaakt van sociale media tijdens de les of heeft jouw school eigen social media accounts? Om de privacy van leerlingen te kunnen garanderen en te voldoen aan regels die voortkomen uit de AVG, is het verstandig om als school goed na te denken over een sociale mediabeleid.

Uitwisselen van persoonsgegevens

Wissel je als school persoonsgegevens uit? Zorg dan dat je dat op de juiste manier doet.

Cameratoezicht

Wil je op school camera’s gebruiken om de veiligheid te waarborgen? Dan moet je aan een aantal voorwaarden voldoen.

Stap 4: Verwerken en bewaren van persoonsgegevens

Als je persoonsgegevens opslaat of anderen dat voor je laat doen, moet je ervoor zorgen dat je dat op de juiste manier regelt.

Verwerkersovereenkomsten

Maak je gebruik van digitale producten of diensten, zoals een leerlingadministratiesysteem of een digitaal leermiddel? Worden deze systemen bij de softwareleverancier beheerd en gehost? Dan besteed jij als school de verwerking van persoonsgegevens uit aan een derde partij. In zo’n geval moet je een verwerkersovereenkomst afsluiten om de privacy van medewerkers, leraren, leerlingen en hun ouders te garanderen.

Register van verwerkingsactiviteiten

In een register van verwerkingsactiviteiten (dataregister) leg je vast welke persoonsgegevens je verwerkt. Het gaat hierbij om persoonsgegevens die je zelf verwerkt en om persoonsgegevens die in jouw opdracht worden verwerkt door bijvoorbeeld de leverancier van een leerlingadministratiesysteem.

Bewaartermijnen

Het bewaren van persoonsgegevens is gebonden aan regels. Voor sommige type persoonsgegevens gelden wettelijke termijnen. Voor andere moet je zelf een termijn vaststellen. Welke (wettelijke) termijn geldt, hangt af van de wet waaronder de persoonsgegevens vallen. Je moet voor de persoonsgegevens die je bewaart, vastleggen hoe lang je dat doet.

Stap 5: Evalueren

Heb je IBP grotendeels op orde? Dan ben je er nog niet. Je moet aantonen dat je je aan de regels van de AVG houdt en medewerkers, ouders en leerlingen bewust maken van het belang van IBP. Daarnaast moet je je IBP-beleid en de activiteiten die daaruit voorkomen blijven evalueren.

Verantwoordings- en informatieplicht

De informatie- en verantwoordingsplicht betekent dat je actief uitdraagt en actief aantoont dat je je aan de regels van de AVG houdt.

Bewustwording

Het is belangrijk dat de iedereen op school weet wat IBP betekent en wat er nodig is om persoonsgegevens goed te beveiligen. Zorg daarom dat je de maatregelen die voortvloeien uit deze aanpak niet alleen uitvoert, maar dat je er ook helder over communiceert met medewerkers, leerlingen, ouders en bezoekers.

Klaar?

Als je privacy van leerlingen en medewerkers goed wil blijven waarborgen en je informatiebeveiliging op orde wilt houden, is het belangrijk dat je regelmatig controleert of alles nog goed gaat.

Kom je er niet alleen uit?
IBP goed inrichten is een hele klus. Kom je er niet alleen uit? Vraag dan om hulp:

Inhoudsopgave