Deelproject 4.4 Privacy by design en privacy by default toepassen
In dit deelproject zorg je dat privacy by design en privacy by default worden
toegepast binnen alle processen en systemen van je organisatie. Het toepassen van privacy by default en privacy by design zijn verplicht vanuit de Algemene Verordening Gegevensbescherming (AVG). Ze zorgen ervoor dat privacy de norm is binnen je school en helpen om privacyrisico’s te beperken.
Resultaat van dit deelproject
- De principes en eisen voor privacy by designAl vanaf de start van het ontwerp wordt privacy meegenomen in de ontwikkeling. Standaardproducten of -diensten staan zo ingesteld dat privacy wordt gewaarborgd. Alle opties om persoonsgegevens te delen staan standaard ‘uit’. en privacy by defaultStandaard producten of diensten zo instellen dat privacy wordt gewaarborgd. Alle opties om persoonsgegevens te delen staan standaard 'uit'. zijn vastgesteld.
- Er zijn afspraken gemaakt en vastgelegd over het toepassen van privacy by design en privacy by default.
Vooraf maatregelen nemen
Privacy by design en privacy by default betekent dat je al bij de inkoop, selectie, het ontwerpen en gebruik van toepassingen, diensten en processen nadenkt over privacy. Het is een proactieve aanpak waarbij je niet achteraf, maar vooraf privacymaatregelen neemt. Software is standaard privacyvriendelijk ingesteld. Door privacy by design en default aan te houden zorgt de school vanaf het begin dat de beginselen van de AVG worden nageleefd en dat de rechten van betrokkenenDe personen van wie persoonsgegevens worden verwerkt. zijn beschermd.
Privacyrisico’s beperken
Het consequent toepassen van privacy by design en privacy by default helpt om de privacyrisico’s binnen je school te beperken. Zo leidt een minimale gegevensverwerking tot minder persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. om op te slaan of uit te wisselen, minder gegevens die betrokken kunnen raken bij een datalekBij een datalek raken persoonsgegevens verloren of worden ze opgeslagen, aangepast, verzonden of op een andere manier verwerkt door iemand die daar geen recht toe heeft. Een datalek is een beveiligingsincident. en minder gegevens om na afloop van de bewaartermijn te verwijderen.
Wie doet wat
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. stelt de principes en eisen vast en zorgt ervoor dat er wordt gewerkt volgens privacy by default en privacy by design.
- De privacy officerIn het VO meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (PO of VO) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, security officer, functioneel beheerder, ICT-beheerder, ICT-coördinator of kwaliteitsmedewerker., IBP’er, P&O-medewerker zijn verantwoordelijk voor het opstellen en uitleggen van eisen, processen en afspraken over het toepassen van privacy by design en privacy by default. Daarnaast rapporteren zij jaarlijks over het toepassen daarvan.
- De ICT-coördinator, inkoopdeskundige, functioneel applicatiebeheerder, systeembeheerders en softwareontwikkelaars zijn verantwoordelijk voor het consequent en geïntegreerd toepassen van privacy by design en privacy by default als een standaard aspect van de configuratie voor alle toepassingen, diensten en producten.
Aan de slag
Met het volgen van onderstaande stappen stel je principes en eisen vast voor privacy by design en default en zorg je ervoor dat medewerkers volgens deze principes werken.
1 Stel de eisen voor privacy by design en default vast
Stel de principes en eisen vast voor het toepassen van privacy by design en privacy by default op je school en zorg voor uitleg hierover. Je kunt hiervoor het voorbeelddocument privacy by design en privacy by default principes gebruiken.
2 Maak afspraken met medewerkers van inkoop
Maak afspraken met de medewerkers verantwoordelijkheid voor inkoop over het toepassen van eisen voor privacy by design en privacy by default toepassen bij de aanbesteding, inkoop en de selectie van toepassingen, diensten en producten. Zorg dat privacyrisico’s hierbij systematisch worden beoordeeld.
3 Maak afspraken met medewerkers van ICT en IT
Maak afspraken met ICT-coördinator, inkoopdeskundige, functioneel applicatiebeheerder, systeembeheers en softwareontwikkelaars over het toepassen van de eisen voor privacy by design en privacy by design bij het ontwikkelen, implementeren en gebruiken van toepassingen, diensten en producten. Bij software en producten waarin verwerking met een hoog privacyrisico, wordt privacy by default consequent geïntegreerd als een standaard aspect van de configuratie.
4 Pas eisen toe met leveranciers
Pas de eisen voor privacy by design en privacy by default toe bij samenwerking met externe partijen.
5 Monitor de voortgang en rapporteer hierover
Controleer jaarlijks of privacy by design en privacy by default consequent worden toegepast en rapporteer hierover volgens het principe “pas toe of leg uit”. Afwijkingen van het beleid worden direct gecorrigeerd en/of gedocumenteerd.
Voorbeelddocumenten
Meer informatie
Wil je meer weten over privacy by design en privacy by default? Bekijk dan de Europese richtlijnen voor privacy by design en privacy by default (pdf).