Privacy

Verantwoording, bereikte resultaten en stand van zaken

In 2023 is er binnen de vereniging verder uitvoering gegeven aan het privacybeleid o.a. door het verder intensiveren van de samenwerking met de privacycontactpersonen binnen de OMO-scholen, de privacy officer, de security officer en de beide functionarissen gegevensbescherming. Daarnaast is er nieuwe Governance, Risk and Compliance-tooling (GRC-tooling) aangeschaft YourSafetynet (YSN) waarmee de verplichte privacy- en informatiebeveiligingsprocessen, -documentatie, -normenkaders en protocollen overzichtelijk in een digitale omgeving zijn ondergebracht. 
Hiermee kunnen wij de aanwezige kennis breed inzetten in onze organisatie.

Awareness
Omdat gebrek aan bewustwording/kennis een van de grootste risico’s is, wordt in de vorm van korte microlearnings, nieuwsbrieven en gefingeerde phishingmails (vanuit het Phished platform) aan onze medewerkers verdere kennis bijgebracht.

Privacy-incidenten en datalekken
In 2023 zijn er, ten opzichte van 2022, substantieel meer data-incidenten gemeld (9 incidenten in 2022 en 36 incidenten in 2023), met name in het laatste kwartaal. Een mogelijke oorzaak hiervoor is dat, na het vertrek van de interne privacy officer, deze functie voor zeer korte perioden is ingevuld door externen, waardoor de registratie van incidenten te kort is geschoten. Datalekken zijn wel tijdig gemeld aan de Autoriteit Persoonsgegevens. Na de huidige bezetting, per 1 september, is de registratie consistenter ingericht, en was een significante toename van het aantal registraties te zien. Ook de vereenvoudigde meldprocedure via de nieuwe GRC-tooling YSN droeg hieraan bij.

Verreweg de meeste privacy-incidenten zijn terug te voeren naar:

• het verkeerd gebruik van e-mail;

• verkeerde e-mail geadresseerden;

• gebruik CC in plaats van BCC;

• verkeerde bestanden toegevoegd aan e-mail.

Privacy-dienstverlening
Sinds de invoering van de AVG hebben betrokkenen verschillende rechten: recht op inzage, recht op rectificatie, recht op beperking, recht op correctie, recht op dataportabiliteit en recht op verwijdering van hun gegevens. Van deze rechten is in 2023 driemaal gebruik gemaakt.  
Naar aanleiding van de verschillende inzageverzoeken, blijkt dat op de OMO-scholen niet altijd duidelijk is in welke documenten inzage moet worden gegeven en wat de processtappen zijn die gevolgd moeten worden. In 2024 worden daarom de afspraken rondom inzage verduidelijkt en gecommuniceerd op de verschillende scholen, ook met betrekking tot inzageverzoeken examens.

Verwerkersovereenkomsten
Voor het beoordelen en tekenen van verwerkersovereenkomsten maakt OMO sinds eind 2023 gebruik van de applicatie van Kennisnet die dit proces aanmerkelijk vereenvoudigt. Hiernaast is in 2023 de overstap gemaakt om verwerkersovereenkomsten via de privacy officer af te handelen en niet langer door de functionaris voor gegevensbescherming. Er zijn in onze GRC-tooling bijna 600 verwerkersovereenkomsten opgeslagen.

Privacyklachten
In 2023 zijn drie privacyklachten ingediend bij, en afgehandeld door, de functionaris voor gegevensbescherming (FG).
De eerste klacht betrof een ouder die stelde dat het ontvangen inzage-dossier onvolledig was waarna de FG dit aan de hand van Magister heeft gecontroleerd en vastgesteld heeft dat het aan de ouder overhandigde dossier wel volledig was.
De tweede klacht betrof een oud-medewerker die stelde dat er onrechtmatig toegang was verkregen tot zijn (oude) e-mail. Na onderzoek door de security officer is vastgesteld dat hiervan geen sprake is geweest.
De derde klacht betrof een leerling/examenkandidaat die geen inzage heeft gehad in het gemaakte en gecorrigeerde examenwerk. Naar aanleiding van de eerste en derde klacht is met de privacy officer en security officer besloten om extra duidelijkheid te geven over de inzage-procedures.

Vereniging Ons Middelbaar Onderwijs voldoet grotendeels aan de eisen die de privacywetgeving AVG (Algemene Verordening Gegevensbescherming) stelt en is groeiend in haar volwassenheidsniveau op het gebied van privacy en informatieveiligheid. Maar gezien de geconstateerde risico’s en het toenemende dreigingsniveau is er wel 'werk aan de winkel' in 2024 om de risico’s te mitigeren. Zeker met de actiepunten voor 2024, is de verwachting dat de gedetecteerde risico’s, op termijn, tot een aanvaardbaar minimum zullen zijn teruggebracht.