Stappenplan

gepubliceerd op 5 februari 2019

Je moet op school aan de slag met informatiebeveiliging en privacy (IBP). Maar waar begin je? En hoe weet je of je aan alle regels voldoet? Op de Aanpak IBP vind je hier al veel informatie over. We hebben een aantal items voor je op een rijtje in een stappenplan. Na het doorlopen deze stappen weet je beter of je aan de regels van de Algemene verordening gegevensbescherming (AVG) voldoet en of je je informatiebeveiliging op orde hebt.

Je mag als school persoonsgegevens verwerken en registreren, maar je moet dat wel verantwoord doen. Zorg daarom dat je op de hoogte bent van de 5 vuistregels voor het verwerken van persoonsgegevens vóór je met IBP begint.

Ben je net gestart of al een poosje bezig met IBP? Breng de groeimogelijkheden en risico’s van jullie ict-inzet in kaart met de tool Inzicht in ict-voorwaarden. Beantwoord met bijvoorbeeld de bestuurder, de Privacy Officer, het hoofd ict of de functionaris gegevensbescherming de vragen en doe dit onafhankelijk van elkaar. Leg de rapportages die eruit komen naast elkaar en bespreek dan jullie ieder afzonderlijk tegen de situatie aankijken. Als je de gegevens opslaat, kun je later nog eens zo’n sessie doen en kijken hoe de situatie intussen is.

Een mooi voorbeeld van wat je door het jaar heen moet ondernemen om controle te houden op je acties, is de jaarkalender die we onder stap 5 hebben opgenomen”.

Stap 1: Beleid en verantwoordelijkheden

Het organiseren van IBP begint met het scheppen van de juiste randvoorwaarden in de vorm van een beleid en het vastleggen van verantwoordelijkheden. De verantwoordelijkheid voor deze stap ligt bij het schoolbestuur.

IBP-beleid

Het organiseren van informatiebeveiliging en privacy op school begint met een IBP-beleid. Hierin leg je vast welke uitgangspunten je hanteert bij het beveiligen van informatie en het garanderen van privacy van medewerkers en leerlingen. Én welke maatregelen, procedures en afspraken hierbij horen.

Rollen en verantwoordelijkheden

Binnen je IBP-beleid leg je ook vast wie zeggenschap heeft en toezicht houdt (governance), wie waar verantwoordelijk voor is en wie wat doet. Omdat het succes van IBP staat of valt met de mensen die het uitvoeren, is het noodzakelijk om de verantwoordelijkheden in een vroeg stadium helder te hebben.

Functionaris voor Gegevensbescherming (FG)

Een FG is een interne toezichthouder. Een FG adviseert het schoolbestuur over privacy en houdt toezicht op de naleving van de AVG.

Stap 2: Risico’s inventariseren en beperken

Om persoonsgegevens goed te beveiligen, moet je weten welke risico’s je loopt en proberen die risico’s zo goed mogelijk te beperken.

Risicoanalyse

Met een risicoanalyse breng je in kaart over welke persoonsgegevens je beschikt, waarom je die moet beschermen en waartegen je ze moet beschermen. Zo kun je de juiste beveiligingsmaatregelen nemen.

DPIA

Een Data Protection Impact Assessment of DPIA is een speciale risicoanalyse die helpt om schending van privacyrechten te beperken en voorkomen. Iedere keer dat je een systeem of software aanschaft, voer je een DPIA uit.

Gedragscode veilig gebruik ict-middelen en persoonsgegevens

Met goed geïnformeerde medewerkers voorkom je beveiligingsincidenten. Leg daarom in een gedragscode vast hoe je in de praktijk omgaat met persoonsgegevens, het verantwoord gebruik van internet en e-mail, het melden van beveiligingsincidenten en datalekken, de aanschaf van digitaal lesmateriaal en informatiesystemen en het gebruik van eigen apparaten op school.

Wachtwoordbeleid

Goed beveiligen van persoonsgegevens doe je onder andere met een goed wachtwoordbeleid.

Melden van beveiligingsincidenten

Als er toch iets mis gaat met informatiebeveiliging of als data gelekt worden, moet dat gemeld worden. Richt daarvoor de juiste procedure in.

Stap 3: Transparant over delen van persoonsgegevens

Je moet van de wet transparant zijn over wat je doet met de persoonsgegevens die leerlingen en ouders met je delen. Deel je als school die persoonsgegevens met een derde partij? Dan moet je zorgen dat je daarvoor toestemming hebt.

Rechten van betrokkenen

Betrokkenen zijn degenen van wie persoonsgegevens worden verwerkt, zoals leerlingen en ouders. Deze mensen hebben een aantal rechten als het gaat om wat je als school doet met die persoonsgegevens. Dat zijn de rechten van betrokkenen. Je moet ervoor zorgen dat de betrokken die rechten kunnen uitoefenen.

Privacy by default en privacy by design

Privacy by default en privacy by design zijn erop gericht ervoor te zorgen dat het waarborgen van privacy de norm wordt binnen je school. Dat betekent onder andere dat je zo min mogelijk persoonsgegevens verwerkt en de persoonsgegevens die je verwerkt zo goed mogelijk beveiligt.

Privacyreglement en -verklaring

In een privacyreglement laat je zien hoe je de privacy van leerlingen en medewerkers beschermt. Je legt erin vast welke persoonsgegevens je verwerkt en waarom je dat doet. Maar ook hoe je die persoonsgegevens bewaart en beveiligt. En hoe leerlingen en medewerkers hun persoonsgegevens kunnen inzien, laten verwijderen of corrigeren.

Foto’s en video’s van leerlingen

Je mag als school foto’s en video’s maken. Wil je foto’s en video’s van leerlingen gebruiken en delen? Dan moet je hiervoor toestemming vragen.

Afspraken over sociale media

Wordt er op school gebruikgemaakt van sociale media tijdens de les of heeft jouw school eigen social media accounts? Om de privacy van leerlingen te kunnen garanderen en te voldoen aan regels die voortkomen uit de AVG, is het verstandig om als school goed na te denken over een sociale mediabeleid.

Uitwisselen van persoonsgegevens

Wissel je als school persoonsgegevens uit? Zorg dan dat je dat op de juiste manier doet.

Beveiligingscamera’s

Wil je op school camera’s gebruiken om de veiligheid te waarborgen? Dan moet je aan een aantal voorwaarden voldoen.

Stap 4: Verwerken en bewaren van persoonsgegevens

Als je persoonsgegevens opslaat of anderen dat voor je laat doen, moet je ervoor zorgen dat je dat op de juiste manier regelt.

Verwerkersovereenkomsten

Maak je gebruik van digitale producten of diensten, zoals een leerlingadministratiesysteem of een digitaal leermiddel? Worden deze systemen bij de softwareleverancier beheerd en gehost? Dan besteed jij als school de verwerking van persoonsgegevens uit aan een derde partij. In zo’n geval moet je een verwerkersovereenkomst afsluiten om de privacy van medewerkers, leraren, leerlingen en hun ouders te garanderen.

Register van verwerkingsactiviteiten

In een register van verwerkingsactiviteiten (dataregister) leg je vast welke persoonsgegevens je verwerkt. Het gaat hierbij om persoonsgegevens die je zelf verwerkt en om persoonsgegevens die in jouw opdracht worden verwerkt door bijvoorbeeld de leverancier van een leerlingadministratiesysteem.

Bewaartermijnen

Het bewaren van persoonsgegevens is gebonden aan regels. Voor sommige type persoonsgegevens gelden wettelijke termijnen. Voor andere moet je zelf een termijn vaststellen. Welke (wettelijke) termijn geldt, hangt af van de wet waaronder de persoonsgegevens vallen. Je moet voor de persoonsgegevens die je bewaart, vastleggen hoe lang je dat doet.

Stap 5: Evalueren

Als je privacy van leerlingen en medewerkers goed wil blijven waarborgen en je informatiebeveiliging op orde wilt houden, is het belangrijk dat je regelmatig controleert of alles nog goed gaat. Doe dit bij voorkeur jaarlijks, maar sowieso bij iedere wijziging of elk incident. Een handige manier om dit doen is via de zogeheten PDCA-cyclus. De PDCA-cyclus is een gestructureerde manier om continu te blijven evalueren. Het staat voor:

  • Plan: in dit stadium maak je plannen voor een wijziging.
  • Do: voer het plan uit.
  • Check: controleer het resultaat.
  • Act: is het resultaat naar wens? Voer de wijziging dan in. Is het niet naar wens? Stuur dan bij.

Verantwoordings- en informatieplicht

De informatie- en verantwoordingsplicht betekent dat je actief uitdraagt en actief aantoont dat je je aan de regels van de AVG houdt.

Bewustwording

Het is belangrijk dat de iedereen op school weet wat IBP betekent en wat er nodig is om persoonsgegevens goed te beveiligen. Zorg daarom dat je de maatregelen die voortvloeien uit deze aanpak niet alleen uitvoert, maar dat je er ook helder over communiceert met medewerkers, leerlingen, ouders en bezoekers.

Kom je er niet alleen uit?
IBP goed inrichten is een hele klus. We helpen je graag verder.

 

  • Stel een vraag bij onze supportdesk ibp@kennisnet.nl.
  • Wil je met andere IBP’ers sparren? Dat kan via het Netwerk IBP. Via het IBP-forum kun je met elkaar van gedachten wisselen. In de documentenbibliotheek kun je documenten met elkaar delen.

Inhoudsopgave