Aanpak IBPVerantwoordings- en informatieplicht

Verantwoordings- en informatieplicht

De informatie- en verantwoordingsplicht betekent dat je actief uitdraagt en actief aantoont dat je je aan de regels van de Algemene Verordening Gegevensbescherming (AVG) houdt. Volgens de AVG moet iedere organisatie die persoonsgegevens verwerkt daar open en transparant over zijn. Als school ben je verplicht leerlingen, ouders en medewerkers duidelijk te informeren over wat je met hun persoonsgegevens doet. Dat is de informatieplicht. Daarnaast moet je kunnen aantonen dat je je aan alle regels houdt die gelden voor het verwerken van persoonsgegevens en dat je de juiste organisatorische en technische maatregelen hebt genomen om aan die regels te voldoen. Dat is de verantwoordingsplicht.

Voldoen aan de verantwoordings- en informatieplicht betekent in de praktijk dat je alles wat je doet in het kader van IBP vastlegt. Je kunt hierbij denken aan:

  • Het bijhouden van een register van verwerkingsactiviteiten.
  • Een IBP-beleid waarin staat wat de AVG is en hoe je erop school aan gaat voldoen.
  • Je medewerkers op de hoogte stellen van de AVG en welke gevolgen het heeft voor hun werkzaamheden.
  • Het bewaren van de gegevens van de risicoanalyse op een centrale plek.
  • Het kunnen aantonen dat je toestemming hebt gekregen van leerlingen en ouders om foto’s en video’s te gebruiken.
  • Een privacyverklaring op je website of in de schoolgids.
  • Een register waarin beveiligingsincidenten en datalekken zijn opgenomen.

Is het wettelijk verplicht?

Ja, de AVG legt de verantwoordelijkheid bij jou als school om aan te tonen dat je aan de regels van de AVG voldoet. En de AVG stelt dat je als organisatie transparant bent over de manier waarop je met persoonsgegevens omgaat.

Meer informatie vind je in artikel 5.2 van de AVG.

Wie doet wat?

In het overzicht hieronder zie je wie wat doet bij het regelen bij de verantwoordings- en informatieplicht op school.

Verantwoordelijkheid


Schoolbestuur
Verantwoordelijk voor de verantwoordings- en informatieplicht.

Uitvoering


Ict-coördinator of
Privacy Officer
Verantwoordelijk voor uitvoeren van maatregelen die voortkomen uit de verantwoordings- en informatieplicht.

Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.

Aan de slag

De verantwoordings- en informatieplicht zelf zijn niet via een stappenplan uit te voeren. Er is wel een aantal maatregelen die de AVG verplicht stelt, waarmee je aan de verantwoordings- en informatieplicht voldoet.

1 | Rechten van betrokkenen

Je moet er als school voor zorgen dat leerlingen, ouders en medewerkers gebruik kunnen maken van de rechten die ze hebben bij het verwerken van hun persoonsgegevens. Ga naar rechten van betrokkenen.

2 | Verwerkersovereenkomsten

Als je het verwerken van persoonsgegevens overdraagt aan een derde partij, bijvoorbeeld een softwareleverancier, ben jij ervoor verantwoordelijk dat ook die derde partij zich aan de privacyregels houdt. Dat doe je met een verwerkersovereenkomst. Ga naar verwerkersovereenkomsten.

3 | Register van verwerkingsactiviteiten

Als je persoonsgegevens verwerkt, moet je bijhouden wat je er precies mee doet. Dit overzicht van alle verwerkingen van persoonsgegevens heet een register van verwerkingsactiviteiten. Als de Autoriteit Persoonsgegevens erom vraagt, moet je dat register kunnen tonen. Meer over het register van verwerkingsactiviteiten vind je op de pagina register van verwerkingsactiviteiten.

4 | Privacyreglement en -verklaring

In een privacyreglement leg je vast welke persoonsgegevens je verwerkt en hoe je ze kunt inzien. Je publiceert een prettig leesbare variant van dat privacyreglement in de vorm van een privacyverklaring op je website of in je schoolgids. Hiermee voldoe je aan je informatieplicht. Ga naar privacyreglement en -verklaring.

5 | Zorg voor een register van incidenten

In het incidentenregister neem je op wanneer en welke beveiligingsincidenten en datalekken er zich hebben voorgedaan en hoe die zijn opgelost.

6 | Leg toestemming overzichtelijk vast

In een aantal gevallen heb je toestemming nodig voor de verwerking van persoonsgegevens. Leg die toestemming overzichtelijk vast. Soms kan dat binnen de applicaties die je al gebruikt.

Verdieping

Inhoudsopgave