Contact

Als primair onderwijs voldoen aan juridische eisen privacy- en informatiemanagement

Als primair onderwijs voldoen aan juridische eisen privacy- en informatiemanagement

Het primair onderwijs is in toenemende mate afhankelijk van informatie en ICT. De hoeveelheid informatie, waaronder persoonsgegevens, neemt toe door o.a. ontwikkelingen als gepersonaliseerd leren met behulp van ICT. Het is belangrijk om informatie goed te beschermen en veilig en verantwoord met persoonsgegevens van leerlingen, ouders en leerkrachten om te gaan. 

De toenemende inzet van ICT binnen het onderwijs stelt scholen in staat om goed en actueel/modern onderwijs aan te bieden, maar brengt ook nieuwe uitdagingen op het vlak van informatiebeveiliging en privacy met zich mee.
 
Het goed regelen van informatiebeveiliging en privacy (afgekort tot IBP) in een IBP-beleid is noodzakelijk om de gevolgen van deze risico’s tot een aanvaardbaar niveau te reduceren en de voortgang van het onderwijs en de bedrijfsvoering optimaal te kunnen waarborgen. 
Privacy gaat over het verwerken en beveiligen van persoonsgegevens. Persoonsgegevens moeten beschermd worden volgens de huidige wet- en regelgeving. Bescherming van de privacy bewaakt onder andere onder welke voorwaarden persoonsgegevens verwerkt mogen worden. 
 
Maar met welke vraagstukken zul je dan als school mee aan de slag moeten om tot AVG-compliance en -accountability te komen? 
  • In welke mate kan de organisatie aantonen dat er technische- en organisatorische maatregelen zijn vastgelegd om aan de accountability voorwaarden te voldoen, zoals vastgelegd in de Contouren of Compliance?
  • In welke mate kan de organisatie aantonen dat de juiste beveiligingsmaatregelen (minimaal ISO 27001) zijn vastgelegd als accountability document?
  • In welke mate kan de organisatie aantonen met documentatie dat er per organisatieonderdeel een “Gegevensbeschermingseffectbeoordeling” heeft plaatsgevonden? 
  • In welke mate kan de organisatie aantonen dat voldaan wordt aan de registerplicht en dat alle gemelde verwerkingen voldoen aan de in de AVG opgenomen kwaliteitsnormen? 
  • In welke mate kan de organisatie aantonen dat voldaan wordt aan de verplichting om een inbreuk in verband met persoonsgegevens mede te delen? 
  • In welke mate kan de organisatie aantonen dat er procedures zijn vastgelegd om aan te tonen hoe de rechten van de betrokkenen geborgd worden? 
Arlande en externe associate Henk Fernald hebben een aantal workshops ontwikkeld die inzicht en handvatten geven voor een praktisch en begrijpelijk IBP.

Wat levert het op?

Een hogere kwaliteit van de dienstverlening met uniforme werkwijze en minder kans op schadeclaims, boetes en klachten. 

Workshops

Hoe staat mijn organisatie ervoor?

Wil je snel inzicht krijgen in de vraag hoe de organisatie ervoor staat op het gebied van bescherming van persoonsgegevens en privacy? Vraag hier de AVG-scan aan.

Functionaris gegevensbescherming, hoe praktisch in te vullen?

Een Functionaris voor Gegevensbescherming (FG) is een persoon met deskundige kennis van de Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming. Deze functionaris wordt ook wel Data Protection Officer (DPO) genoemd. 
 
Een FG moet onafhankelijk (kunnen) zijn. De FG is immers adviseur maar ook (intern) controleur. De onafhankelijkheid is geborgd in de wet, door bijvoorbeeld de wettelijke ontslagbescherming van een FG. Deze onafhankelijke positie maakt dat niet iedereen FG kan worden: een bestuurder, directeur of manager zal lastig FG kunnen worden als de FG zijn eigen werk moet gaan controleren. 
 
Maar ook een hoofd administratie (personeel of leerlingen) ligt minder voor de hand: die is in de dagelijkse praktijk betrokken bij de besluitvorming over persoonsgegevens en kan daarom lastig(er) onafhankelijk toezicht houden. Het komt juist vaker voor dat een instellingsjurist, manager intern controle, compliance officer, vertrouwenspersoon of controller als FG worden aangewezen. 

Maar wat als deze expertise intern niet aanwezig is?

Arlande biedt een ‘FG-as-a-service’-dienst aan met een dienstverleningsovereenkomst die gebaseerd is op een combinatie van vaste inzet en een vast bedrag per maand, met daarbij nacalculatie van eventueel extra benodigde inzet boven de verwachte standaard inzet. Om de toezichthoudende rol van FG in te kunnen vullen zal er altijd minimaal één werkdag per maand aanwezigheid op locatie van de organisatie nodig zijn. Deze dag zit daarom in elk geval bij de vaste inzet per maand inbegrepen. Alle werkzaamheden die niet binnen de basisinzet vallen worden in overleg uitgevoerd en op basis van nacalculatie doorbelast. 
 
Eventuele ad hoc vragen of problemen kunnen altijd tussen reguliere afspraken door per mail of telefoon voorgelegd worden aan de FG.

Enkele voordelen van een ingehuurde specialist

  • Kosteneffectiviteit; omdat de functie van FG meestal geen fulltime baan is en extern met een bij de organisatie passende inzet ingehuurd kan worden.
  • De benodigde expertise is specialistisch en breed; met een ingehuurde FG is continuïteit en actualiteit van benodigde kennis gegarandeerd.
  • De beschikbare kennis is breder omdat de FG dagelijks bezig is met gegevensbescherming in verschillende werkomgevingen, maar ook kennis opdoet vanuit vakverenigingen (IAPP, WP29, Norea, PvIB).
  • De FG heeft als extern persoon geen enkel persoonlijk belang bij politieke gevoeligheden binnen de organisatie en kan daardoor een meer onafhankelijke rol innemen.

Takenpakket van een FG

De belangrijkste taken van een FG zijn:
  • Informeren en adviseren over de wettelijke verplichtingen bij het verwerken van persoonsgegevens en toezien op naleving ervan.
  • Toezien op een adequate beveiliging van persoonsgegevens en adviseren over betrouwbare ICT (privacy by design).
  • Organiseren van een (verplichte) Data Protection Impact Assessment (DPIA) vóór het starten met nieuwe verwerkingen van persoonsgegevens, waarbij mogelijke risico’s voor de privacy van betrokkenen worden geïnventariseerd.

Meer weten?

Neem contact op met Rieks Oosting, relatiemanager onderwijs, roosting@arlande.nl of 06-20735755.