Deelproject 2.1 Opstellen verwerkingsregister
De AVG verplicht scholen om hun verwerkingsactiviteiten vast te leggen. Je kunt dit doen door het opstellen en bijhouden van een volledig en actueel verwerkingsregister. Het verwerkingsregister is een belangrijk middel bij het bewaken van de privacy van leerlingen en medewerkers en is onmisbaar bij het voldoen aan de verantwoordingsplicht.
Resultaat van dit deelproject
- Er is een verwerkingsregister opgesteld dat up-to-date wordt gehouden.
- Er is een proces opstellen en bijhouden verwerkingsregister vastgesteld en geïmplementeerd.
Wat is een verwerkingsregister?
Verwerk je persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres.? Dan moet je je niet alleen aan de regels van de AVG houden, maar ook daadwerkelijk laten zien dat je dat doet. Dat heet de verantwoordingsplicht. Een van de manieren om aan de verantwoordingsplicht te voldoen is het bijhouden van een register van verwerkingsactiviteitenEen register met informatie over verwerkingen van persoonsgegevens., ook wel een verwerkingsregister. Dit is een verplicht document waarin je onder meer bijhoudt welke persoonsgegevens worden verwerkt, van wie die gegevens zijn, waarvoor ze worden gebruikt en wie er toegang toe heeft.
Belang van een verwerkingsregister
Scholen verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. veel persoonsgegevens. Onder andere van leerlingen, oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn., verzorgers en medewerkers. Denk aan leerlingdossiers, medische gegevens (bijvoorbeeld over allergieën), financiële informatie (bijvoorbeeld ouderbijdragen) en beeldmateriaal (schoolfoto’s, video’s). Een verwerkingsregister helpt in kaart te brengen welke gegevens je allemaal verwerkt en om te beoordelen of dat ook is toegestaan. Je laat zo zien dat je zorgvuldig met persoonsgegevens omgaat. Door een systematische en regelmatige aanpak te hanteren bij het verwerken van persoonsgegevens, blijf je als school bovendien in controle over je gegevensverwerkingen en wordt de privacy van betrokkenenDe personen van wie persoonsgegevens worden verwerkt. goed gewaarborgd.
Voordelen van een verwerkingsregister
Het verwerkingsregister is een handig hulpmiddel bij handelingen en activiteiten waarin er met persoonsgegevens wordt gewerkt.
- Het helpt bij het opstellen van privacyverklaringen, uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA’s) en het beheersen van risico’s, zoals beveiligingsincidenten en datalekken.
- Bij een incident helpt het register om snel te bepalen welke gegevens mogelijk zijn getroffen en welke herstelmaatregelen nodig zijn.
- Het maakt het mogelijk om beter om te gaan met verzoeken van betrokkenen – zoals inzageverzoeken – omdat direct duidelijk is welke gegevens waar zijn opgeslagen.
- Ook biedt het ondersteuning bij het monitoren van internationale gegevensdoorgifte. Worden persoonsgegevens overgedragen naar landen buiten de EU/EER? Dan kan je met hulp van het register aantonen hoe die overdracht verloopt en welke waarborgen zijn getroffen.
Wie doet wat
Bij het opstellen van een register van verwerkingsactiviteiten zijn verschillende rollen
betrokken met elk hun eigen taken:
- De schooldirectie of schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. is meestal verwerkingsverantwoordelijkeDegene die het doel en de middelen bepaalt bij het verwerken van persoonsgegevens, zoals een schoolbestuur. en is eindverantwoordelijk voor het verwerkingsregister en ziet erop toe dat een register van verwerkingsactiviteiten wordt opgesteld.
- De proceseigenaar is verantwoordelijk voor een compleet register en het up-to-date ervan.
- De ict-coördinator, privacy officerIn het VO meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (PO of VO) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, security officer, functioneel beheerder, ICT-beheerder, ICT-coördinator of kwaliteitsmedewerker., IBP-verantwoordelijkeIn het PO meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (PO of VO) en van de grootte van de organisatie, ook vervuld worden door een privacy officer, manager IBP, ICT-coördinator, informatiemanager, security officer, functioneel beheerder, ICT-beheerder of kwaliteitsmedewerker. en/of de informatiemanager ondersteunt, adviseert, coördineert en bewaakt de uitvoering.
- De Functionaris Gegevensbescherming (FGIemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG).) controleert periodiek de volledigheid en actualiteit van het register.
Aan de slag
Met het volgen van onderstaande stappen zorg je dat je een verwerkingsregister opstelt en bijhoudt voor jouw organisatie volgens de regels van de AVG.
1 Stel een proces op voor het bijhouden van verwerkingen
Leg in een procesbeschrijving vast hoe je binnen jouw school verwerkingen van persoonsgegevens bijhoudt. Je kunt hier voor het voorbeelddocument Proces opstellen en bijhouden verwerkingsregister (docx) gebruiken. Hierin kies je ook de vorm waar je het register in bij houdt.
2 Stel een register op
Voor het verwerkingsregister kun je de voorbeeldexcel Verwerkingsregister (xlsx) van Kennisnet gebruiken. Maar je kunt ook zelf een overzicht van alle gegevensverwerkingen op school maken. Het mag in Word, Excel of met speciale software. Zolang het duidelijk en makkelijk bij te werken is. Volgens de AVG moet het register in schriftelijke vorm bestaan, maar er worden geen eisen aan de vorm gesteld. Artikel 30 van de AVG stelt wel eisen aan de inhoud van het verwerkingsregister.
3 Train medewerkers
Leg aan medewerkers uit wat het register is en waarom het belangrijk is. Leer ze hoe ze wijzigingen moeten melden en geef regelmatig korte trainingen of herinneringen.
Houd het intern
Het verwerkingsregister is voor intern gebruik en hoeft alleen gedeeld te worden met de Autoriteit PersoonsgegevensDe Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens. als ze daarom vragen. Voor externe communicatie gebruik je de privacyverklaring op de schoolwebsite..4 Valideer het verwerkingsregister en keur het goed
Als je alle gegevensverwerkingen hebt verzameld en vastgelegd in het register, controleer je of alles klopt. Dit doe je samen met de verantwoordelijken om te kijken of de informatie juist en volledig is. Je kijkt ook of het register voldoet aan de wettelijke eisen. Daarnaast bepaal je of extra onderzoek nodig is bij verwerkingen met een hoog risico, zoals een DPIADPIA is Data Protection Impact Assessment. In het Nederlands heet het gegevensbeschermingseffectbeoordeling. Met een DPIA onderzoek je wat het effect op de privacy van de betrokkenen is bij het verwerken van persoonsgegevens.. Ook controleer je of er afspraken en contracten zijn met externe partijen. Na deze controles leg je het register voor aan de directie ter goedkeuring.
5 Leg verantwoordelijkheden vast
Spreek duidelijk af wie binnen de school verantwoordelijk is voor het invoeren, controleren en rapporteren van gegevens in het register.
6 Koppel met andere processen
Zorg dat het verwerkingsregister aansluit op andere processen, zoals DPIA’s en risicobeheer bij leveranciers. Zo blijven alle datastromen goed in beeld.
7 Houd het verwerkingsregister up-to-date
Plan vaste momenten voor controle en voer periodieke audits uit om na te gaan of het register nog compleet en actueel is, zeker bij verwerkingen met een hoog risico. Het verwerkingsregister is een levend document. Vraag actief aan afdelingen of er nieuwe verwerkingen zijn gestart of gestopt. Pas het register meteen aan als er iets verandert. Denk aan nieuwe software, een andere manier van gegevens delen of bij nieuwe verwerkingsdoelen. Stel een duidelijke procedure op voor het verwerken van wijzigingen en leg hierin vast wie wat moet doen.