Deelproject 5.9 Verantwoorden naleving AVG

In dit deelproject werk je aan het systematisch verantwoorden van de naleving van de AVG binnen je schoolorganisatie. Dit betekent dat je laat zien welke maatregelen en acties je hebt genomen om persoonsgegevens goed te beschermen. Door jaarlijks gestructureerd te rapporteren over onder andere datalekken, privacyverzoeken en DPIA’s, toon je aan dat je als organisatie voldoet aan de AVG en betrokken bent bij gegevensbescherming. Daarmee vergroot je het vertrouwen van interne en externe stakeholders en bouw je aan een veilige, transparante schoolcultuur.

Resultaat van dit deelproject

  • Jaarlijks organisatieverslag over AVG-naleving met onder andere DPIA’s, datalekken en privacyverzoeken
  • Gestructureerde en centrale informatieverzameling vanuit afdelingen voor organisatiebreed inzicht
  • Verspreiding van het verslag aan interne en externe stakeholders, met betrokkenheid FG en duidelijke taakverdeling

Wettelijke verantwoordingsplicht 

In het primair en voortgezet onderwijs is het belangrijk dat schoolbesturen en directies aantoonbaar verantwoordelijkheid nemen voor het beschermen van gegevens. Dit doe je niet achteraf, maar gedurende het hele jaar. Door de naleving van de AVG onderdeel te maken van je jaarcyclus en jaarplan, geef je invulling aan de wettelijke verantwoordingsplicht en kun je proactief handelen bij incidenten. Een overzichtelijk privacyverslag helpt om IBP-bewustzijn te vergroten en verbeterpunten zichtbaar te maken.

Veilige cultuur op school 

Het verantwoorden van AVG-naleving draait niet alleen om het invullen van formats. Het gaat ook om het creëren van een cultuur waarin privacy en informatiebeveiliging vanzelfsprekend zijn. Dat betekent dat er sprake moet zijn van een duidelijke rolverdeling, betrokkenheid van de functionaris gegevensbescherming (FG) en voldoende middelen en tijd. Hiervoor is de steun van het bestuur en/of de directie noodzakelijk. Anders is structurele verbetering niet mogelijk.

Wie doet wat? 

  • Het schoolbestuur neemt verantwoordelijkheid voor naleving en verankering in beleid en jaarcyclus; zorgt voor middelen en cultuurverandering. 
  • De functionaris gegevensbescherming (FG) adviseert, bewaakt de kwaliteit van de verantwoording en zorgt voor inhoudelijke onderbouwing. 
  • De IBP- of privacycoördinator verzamelt informatie uit de organisatie en stelt samen met de FG het verslag op. 
  • De ICT-, administratieve en andere afdelingen leveren input aan over AVG-onderwerpen als datalekken, DPIA’s, verzoeken et cetera.

Aan de slag

Met het volgen van onderstaande stappen kun je aan de slag met het systematisch verantwoorden van de naleving van de AVG binnen je schoolorganisatie.

1 Spreek een taakverdeling af

Maak afspraken over de taakverdeling. Bepaal wie verantwoordelijk is voor het verzamelen van informatie, het opstellen van het verslag en de communicatie met stakeholders.

2 Verzamel input

Verzamel input bij collega’s van betrokken afdelingen. Vraag naar ontwikkelingen en incidenten met betrekking tot privacy en informatiebeveiliging. Je kunt bijvoorbeeld het incidentregister raadplegen.

3 Betrek de FG, privacy officer of CISO

Betrek de FG, privacy officer of CISO bij het opstellen van het privacyverslag. Laat de FG meelezen en adviseren.

4 Stel een intern privacyverslag op

Stel jaarlijks een intern privacyverslag op. Gebruik hiervoor het voorbeelddocument Periodiek privacyverslag interne stakeholders (docx). Beschrijf hierin onder andere de uitgevoerde DPIA’s, gemelde datalekken, ontvangen verzoeken en klachten, en genomen maatregelen.

Let op: dit privacyverslag is niet hetzelfde als het verslag dat de FG opstelt vanuit diens toezichthoudende taak.

5 Formuleer verbeterpunten

Formuleer verbeterpunten. Benoem acties die zijn ondernomen en welke maatregelen nog nodig zijn. Verwerk deze in het beleid en de planning.

6 Neem een samenvatting op in het jaarverslag

Verwerk een samenvatting in het jaarverslag. Voor externe verantwoording volstaat een paragraaf in het algemene jaarverslag van de organisatie, gebaseerd op het uitgebreide interne verslag. Je kunt hiervoor gebruik maken van het voorbeelddocument Risicoparagraaf jaarverslag (docx).

7 Neem IBP op in het jaarplan en de begroting

Neem IBP op in het jaarplan en de begroting. Zorg dat digitale veiligheid structureel is ingebed in de organisatie. Je kunt hiervoor gebruik maken van de handreiking voor het bestuursverslag van de PO-Raad of van de VO-raad.

Let op

Verantwoording is geen eenmalige actie. Zorg dat de rapportage aansluit bij de jaarlijkse planning-en-controlcyclus van de organisatie. Om IBP op te nemen in de jaarcyclus kun je gebruik maken van de handreiking Sturen op digitale veiligheid van de PO-Raad of VO-raad.

Voorbeelddocumenten

Afdrukken

Op deze pagina