Norm BL.01 Privacybeleid
Waarom is dit nodig?
In het onderwijs worden veel persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. verwerkt. Met een privacybeleid geef je invulling aan de verplichtingen die voortvloeien uit de AVG en andere (onderwijs)wetgeving. Het privacybeleid is het interne kompas voor hoe je als organisatie met persoonsgegevens omgaat. Je zorgt er daarmee voor dat je gegevens van medewerkers en leerlingen op een rechtmatige en zorgvuldige manier verwerkt.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Het privacybeleid bestaat in concept, of er is geen beleid opgesteld.
2 Herhaalbaar
- Privacybeleid is uitgewerkt, maar nog onvolledig, verouderd, (nog) niet formeel vastgesteld en/of alleen bekend bij enkele individuen in de organisatie.
3 Bepaald (streefniveau)
- Het privacybeleid is actueel en beschrijft hoe de organisatie uitvoering geeft aan de privacybeginselen die in art 5 lid 1 AVG zijn vastgelegd.
- Het privacybeleid beschrijft de verplichtingen zoals doelbindingJe mag persoonsgegevens alleen gebruiken voor een vooraf vastgelegd doel. Als dat doel niet langer bestaat, moet je de persoonsgegevens vernietigen., rechtmatigheid, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid die op de organisatie rusten op grond van relevante privacywetgeving en beschrijft hoe de organisatie uitvoering geeft aan deze verplichtingen.
- Het privacybeleid is formeel door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. vastgesteld en organisatiebreed bekend, makkelijk vindbaar en makkelijk te begrijpen.
- In het beleid is rekening gehouden met (sector)specifieke wet- en regelgeving, indien van toepassing.
- Wijzigingen in het beleid worden gecommuniceerd.
4 Beheerst
Aanvullend op niveau 3:
- Het privacybeleid wordt periodiek, maar ten minste eenmaal per 36 maanden, geëvalueerd en zo nodig herzien. Een evaluatierapport wordt opgesteld voor het schoolbestuur.
- De actualiteit en kwaliteit van het privacybeleid worden getoetst in samenhang met overige beleidsstukken en vice versa. Veranderde wet– en regelgeving en doelstellingen van de organisatie vormen hier een onderdeel van.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Er wordt in het privacybeleid rekening gehouden met toekomstige veranderende wet– en regelgeving, doelstellingen en visie van de organisatie.
- Er wordt actief verbinding gezocht met andere (vergelijkbare) organisaties om kennis, ervaring en best practices uit te wisselen.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Stel een privacybeleid op dat voldoet aan de eisen zoals verwoord in de Toelichting op het template IBP-beleid. Je kunt hiervoor gebruikmaken van het template IBP-beleid.
- Laat het schoolbestuur het beleid vaststellen.
- Controleer ten minste eens per twee jaar of er wijzigingen nodig zijn in het privacybeleid. Leg de controle vast in het document inclusief eventuele wijzigingen die zijn doorgevoerd.
- Bespreek ten minste een keer per jaar op elke individuele school die onder het schoolbestuur valt in een teamoverleg het privacybeleid. Stel zo vast of het beleid toereikend is en of het gevolgd wordt binnen de organisatie.
- Plaats het beleid goed vindbaar op intranet.
- Informeer elke medewerker tijdens het inwerkproces over het privacybeleid.
- Neem waar nodig en relevant het privacybeleid bij uitbesteding van dienstverlening mee in de eisen.
Hulpmiddelen
Gerelateerde wetten en normen
Norm BL.01 Strategie informatiebeveiliging is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG) en de informatiebeveiligingsnormen.