Privacy
Binnen de vereniging is men bewust van het feit dat er persoonsgegevens worden uitgewisseld van kwetsbare groepen; van onze leerlingen, hun ouders/verzorgers en van onze medewerkers. De vereniging heeft een privacyreglement en verschillende aanverwante regelingen en procedures waaruit blijkt dat bij de vereniging privacy hoog in het vaandel staat. De functionaris gegevensbescherming (FG) is de interne toezichthouder op de omgang met persoonsgegevens. Hij heeft op iedere school een contactpersoon die op de betreffende school belast is met vraagstukken rondom privacy.
Privacy Suite
Voortbordurend op eerdere activiteiten is in het verslagjaar gewerkt om ons handelen nog meer af te stemmen op de verplichtingen vanuit de Algemene Verordening Gegevensbescherming (AVG). Elke school is geautoriseerd voor de module Verwerkingsregister van de Privacy Suite, de AVG-tool van de firma Smile. In deze module worden alle zaken in dit register op één centrale plaats geregistreerd.
Data Protection Impact Assessment (DPIA)1
In 2021 heeft de FG, samen met vertegenwoordigers van tien betrokken scholen, de DPIA Google Workspace for Education (GWfE) uitgevoerd en opgeleverd. De GWfE-scholen hebben eind 2021 de beheersmaatregelen uit deze DPIA geïmplementeerd.
Tevens is in 2021 op de scholen, in afstemming met en ondersteuning van de FG, gestart met het implementeren van de beheermaatregelen benoemd in de DPIA’s Magister en Som2Day die in 2020 zijn uitgevoerd en opgeleverd.
AVG-volwassenheid
In het verslagjaar is zowel op verenigings- als op schoolniveau veel aandacht besteedt aan de ontwikkeling en implementatie van de specifieke informatiebeveiligingsplannen (IBP). Tevens is, voor een nulmeting, aan de FG-contactpersonen gevraagd naar het AVG-volwassenheidsniveau op de individuele school.
Datalekken
In het verslagjaar zijn achttien datalekken gemeld bij de Autoriteit Persoonsgegevens.
Korte vooruitblik 2022
In de Privacy Suite worden alle AVG-zaken binnen één functionaliteit geregistreerd. Naast de module Verwerkingsregister, omvat de Privacy Suite ook de modules:
(Privacy)Incidenten (registreren/melden/afhandelen van beveiligingsincidenten en datalekken);
Audits & Afwijkingen (registreren/uitvoeren van Data Protection Impact Assessements (DPIA’s));
Overzicht van de meest gestelde vragen en antwoorden (FAQ.
In de loop van 2022 wordt de module (Privacy)Incidenten ingericht en uitgerold voor de scholen.
In het 1ste kwartaal wordt via de FG-contactpersonen de actuele situatie geïnventariseerd van het AVG-volwassenheidsniveau (vervolg op de nulmeting van begin 2021).
In 2022 staat Informatiebeveiliging zeer hoog op de agenda.
- 1
De AVG eist dat er een Data Protection Impact Assessment (DPIA; Nederlandse naam = Gegevensbeschermingseffectbeoordeling) wordt uitgevoerd op diverse ICT-functionaliteiten.
Via een DPIA worden de privacy risico’s van een gegevensverwerking (applicatie – ICT-toepassing) in kaart gebracht en vervolgens worden de (beheers)maatregelen benoemd om de risico’s te verkleinen.