Verantwoordings- en informatieplicht
De informatie- en verantwoordingsplicht betekent dat je actief uitdraagt en actief aantoont dat je je aan de regels van de Algemene Verordening Gegevensbescherming (AVG) houdt. Volgens de AVG moet iedere organisatie die persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More verwerkt daar open en transparant over zijn. Als school ben je verplicht leerlingen, oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn. More en medewerkers duidelijk te informeren over wat je met hun persoonsgegevens doet. Dat is de informatieplichtHet aan betrokkenen bekendmaken van wat je met hun persoonsgegevens je doet. More. Daarnaast moet je kunnen aantonen dat je je aan alle regels houdt die gelden voor het verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. More van persoonsgegevens en dat je de juiste organisatorische en technische maatregelen hebt genomen om aan die regels te voldoen. Dat is de verantwoordingsplicht.
Voldoen aan de verantwoordings- en informatieplicht betekent in de praktijk dat je alles wat je doet in het kader van IBP vastlegt. Je kunt hierbij denken aan:
- Het bijhouden van een register van verwerkingsactiviteitenEen register met informatie over verwerkingen van persoonsgegevens. More.
- Een IBP-beleid waarin staat wat de AVG is en hoe je erop school aan gaat voldoen.
- Je medewerkers op de hoogte stellen van de AVG en welke gevolgen het heeft voor hun werkzaamheden.
- Het bewaren van de gegevens van de risicoanalyseHet analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan. More op een centrale plek.
- Het kunnen aantonen dat je toestemming hebt gekregen van leerlingen en ouders om foto’s en video’s te gebruiken.
- Een privacyverklaring op je website of in de schoolgids.
- Een register waarin beveiligingsincidenten en datalekken zijn opgenomen.
Is het wettelijk verplicht?
Ja, de AVG legt de verantwoordelijkheid bij jou als school om aan te tonen dat je aan de regels van de AVG voldoet. En de AVG stelt dat je als organisatie transparant bent over de manier waarop je met persoonsgegevens omgaat.
Meer informatie vind je in artikel 5.2 van de AVG. Raadpleeg het normenkader IBP po vo voor maatregelen die hierbij horen.
Wie doet wat?
Bij het regelen bij de verantwoordings- en informatieplicht op school zijn verschillende rollen betrokken met elk hun eigen taken:
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. More is verantwoordelijk voor de verantwoordings- en informatieplicht.
- De ict-coördinatorIn het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker. More of Privacy OfficerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker. More is verantwoordelijk voor uitvoeren van maatregelen die voortkomen uit de verantwoordings- en informatieplicht.
Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.
Aan de slag
De verantwoordings- en informatieplicht zelf zijn niet via een stappenplan uit te voeren. Er is wel een aantal maatregelen die de AVG verplicht stelt, waarmee je aan de verantwoordings- en informatieplicht voldoet.
1 | Rechten van betrokkenen
Je moet er als school voor zorgen dat leerlingen, ouders en medewerkers gebruik kunnen maken van de rechten die ze hebben bij het verwerken van hun persoonsgegevens. Ga naar rechten van betrokkenen.
2 | Verwerkersovereenkomsten
Als je het verwerken van persoonsgegevens overdraagt aan een derdeEen natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken. More partij, bijvoorbeeld een softwareleverancier, ben jij ervoor verantwoordelijk dat ook die derde partij zich aan de privacyregels houdt. Dat doe je met een verwerkersovereenkomst. Ga naar verwerkersovereenkomsten.
3 | Register van verwerkingsactiviteiten
Als je persoonsgegevens verwerkt, moet je bijhouden wat je er precies mee doet. Dit overzicht van alle verwerkingen van persoonsgegevens heet een register van verwerkingsactiviteiten. Als de Autoriteit PersoonsgegevensDe Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens. More erom vraagt, moet je dat register kunnen tonen. Meer over het register van verwerkingsactiviteiten vind je op de pagina register van verwerkingsactiviteiten.
4 | Privacyreglement en -verklaring
In een privacyreglement leg je vast welke persoonsgegevens je verwerkt en hoe je ze kunt inzien. Je publiceert een prettig leesbare variant van dat privacyreglement in de vorm van een privacyverklaring op je website of in je schoolgids. Hiermee voldoe je aan je informatieplicht. Ga naar privacyreglement en -verklaring.
5 | Zorg voor een register van incidenten
In het incidentenregister neem je op wanneer en welke beveiligingsincidenten en datalekken er zich hebben voorgedaan en hoe die zijn opgelost.
6 | Leg toestemming overzichtelijk vast
In een aantal gevallen heb je toestemming nodig voor de verwerking van persoonsgegevens. Leg die toestemming overzichtelijk vast. Soms kan dat binnen de applicaties die je al gebruikt.
