Deelproject 5.9 Verantwoorden naleving AVG
In dit deelproject werk je aan het systematisch verantwoorden van de naleving van de AVG binnen je schoolorganisatie. Dit betekent dat je laat zien welke maatregelen en acties je hebt genomen om persoonsgegevens goed te beschermen. Door jaarlijks gestructureerd te rapporteren over onder andere datalekken, privacyverzoeken en DPIA’s, toon je aan dat je als organisatie voldoet aan de AVG en betrokken bent bij gegevensbescherming. Daarmee vergroot je het vertrouwen van interne en externe stakeholders en bouw je aan een veilige, transparante schoolcultuur.
Resultaat van dit deelproject
- Jaarlijks organisatieverslag over AVG-naleving met onder andere DPIA’s, datalekken en privacyverzoeken
- Gestructureerde en centrale informatieverzameling vanuit afdelingen voor organisatiebreed inzicht
- Verspreiding van het verslag aan interne en externe stakeholders, met betrokkenheid FG en duidelijke taakverdeling
Wettelijke verantwoordingsplicht
In het primair en voortgezet onderwijs is het belangrijk dat schoolbesturen en directies aantoonbaar verantwoordelijkheid nemen voor het beschermen van gegevens. Dit doe je niet achteraf, maar gedurende het hele jaar. Door de naleving van de AVG onderdeel te maken van je jaarcyclus en jaarplan, geef je invulling aan de wettelijke verantwoordingsplicht en kun je proactief handelen bij incidenten. Een overzichtelijk privacyverslag helpt om IBP-bewustzijn te vergroten en verbeterpunten zichtbaar te maken.
Veilige cultuur op school
Het verantwoorden van AVG-naleving draait niet alleen om het invullen van formats. Het gaat ook om het creëren van een cultuur waarin privacy en informatiebeveiliging vanzelfsprekend zijn. Dat betekent dat er sprake moet zijn van een duidelijke rolverdeling, betrokkenheid van de functionaris gegevensbescherming (FGIemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG).) en voldoende middelen en tijd. Hiervoor is de steun van het bestuur en/of de directie noodzakelijk. Anders is structurele verbetering niet mogelijk.
Wie doet wat?
- Het schoolbestuur neemt verantwoordelijkheid voor naleving en verankering in beleid en jaarcyclus; zorgt voor middelen en cultuurverandering.
- De functionaris gegevensbescherming (FG) adviseert, bewaakt de kwaliteit van de verantwoording en zorgt voor inhoudelijke onderbouwing.
- De IBP- of privacycoördinator verzamelt informatie uit de organisatie en stelt samen met de FG het verslag op.
- De ICT-, administratieve en andere afdelingen leveren input aan over AVG-onderwerpen als datalekken, DPIA’s, verzoeken et cetera.
Aan de slag
Met het volgen van onderstaande stappen kun je aan de slag met het systematisch verantwoorden van de naleving van de AVG binnen je schoolorganisatie.
1 Spreek een taakverdeling af
Maak afspraken over de taakverdeling. Bepaal wie verantwoordelijk is voor het verzamelen van informatie, het opstellen van het verslag en de communicatie met stakeholders.
2 Verzamel input
Verzamel input bij collega’s van betrokken afdelingen. Vraag naar ontwikkelingen en incidenten met betrekking tot privacy en informatiebeveiliging. Je kunt bijvoorbeeld het incidentregister raadplegen.
3 Betrek de FG, privacy officer of CISO
Betrek de FG, privacy officerIn het VO meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (PO of VO) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, security officer, functioneel beheerder, ICT-beheerder, ICT-coördinator of kwaliteitsmedewerker. of CISO bij het opstellen van het privacyverslag. Laat de FG meelezen en adviseren.
4 Stel een intern privacyverslag op
Stel jaarlijks een intern privacyverslag op. Gebruik hiervoor het voorbeelddocument Periodiek privacyverslag interne stakeholders (docx). Beschrijf hierin onder andere de uitgevoerde DPIA’s, gemelde datalekken, ontvangen verzoeken en klachten, en genomen maatregelen.
Let op: dit privacyverslag is niet hetzelfde als het verslag dat de FG opstelt vanuit diens toezichthoudende taak.
5 Formuleer verbeterpunten
Formuleer verbeterpunten. Benoem acties die zijn ondernomen en welke maatregelen nog nodig zijn. Verwerk deze in het beleid en de planning.
6 Neem een samenvatting op in het jaarverslag
Verwerk een samenvatting in het jaarverslag. Voor externe verantwoording volstaat een paragraaf in het algemene jaarverslag van de organisatie, gebaseerd op het uitgebreide interne verslag. Je kunt hiervoor gebruik maken van het voorbeelddocument Risicoparagraaf jaarverslag (docx).
7 Neem IBP op in het jaarplan en de begroting
Neem IBP op in het jaarplan en de begroting. Zorg dat digitale veiligheid structureel is ingebed in de organisatie. Je kunt hiervoor gebruik maken van de handreiking voor het bestuursverslag van de PO-Raad of van de VO-raad.
Let op
Verantwoording is geen eenmalige actie. Zorg dat de rapportage aansluit bij de jaarlijkse planning-en-controlcyclus van de organisatie. Om IBP op te nemen in de jaarcyclus kun je gebruik maken van de handreiking Sturen op digitale veiligheid van de PO-Raad of VO-raad.