Home » Privacy » Domein 1: Beleid » Norm BL.02

Norm BL.02 Rollen, taken en verantwoordelijkheden

Rollen, taken en verantwoordelijkheden met betrekking tot privacy binnen de organisatie zijn benoemd, belegd en vastgelegd in het privacybeleid.

Waarom is dit nodig?

Om de doelen van je privacybeleid te bereiken is het belangrijk dat je duidelijke rollen, taken en verantwoordelijkheden voor privacy benoemt, toewijst en vastlegt binnen je school. Op die manier weet iedereen wat er van hen wordt verwacht met betrekking tot privacy. Dit helpt bij het creëren van een digitaal veilige schoolomgeving voor leerlingen en medewerkers, en draagt eraan bij dat je school voldoet aan de AVG.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Rollen, taken en verantwoordelijkheden met betrekking tot privacy zijn niet duidelijk gedefinieerd en toegewezen binnen de organisatie of zijn niet gedocumenteerd.
2 Herhaalbaar
  • Rollen, taken en verantwoordelijkheden zijn binnen de organisatie deels of informeel belegd en/of zijn sterk afhankelijk van de ondersteunende (centrale) privacyorganisatie of Privacy Officers.
3 Bepaald (streefniveau)
  • Rollen, taken en verantwoordelijkheden met betrekking tot privacy zijn formeel benoemd, belegd en vastgelegd in het privacybeleid en organisatiebreed bekend.
  • Vastgelegd is dat het schoolbestuur eindverantwoordelijk is voor privacy binnen de organisatie en dat managers verantwoordelijk zijn voor privacy binnen hun managementdomein.
  • Binnen de organisatie is vastgesteld welke functionaris bevoegd is om keuzes te maken op het gebied van privacyrisico’s (waaronder het (laten)uitvoeren van (pre-)DPIA’s), het treffen van mitigerende maatregelen en het accepteren van restrisico’s.
4 Beheerst

Aanvullend op niveau 3:

  • Het management legt aantoonbaar verantwoording af over zijn taken en verantwoordelijkheden met betrekking tot privacy.
  • De organisatie evalueert periodiek of de rollen, taken en verantwoordelijkheden met betrekking tot privacy nog passend en effectief zijn, en voert indien nodig verbeteringen door.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • De organisatie monitort proactief of rollen, taken en verantwoordelijkheden met betrekking tot privacy nog passend en actueel zijn, in lijn met ontwikkelingen én met wet- en regelgeving.
  • Rollen, taken en verantwoordelijkheden met betrekking tot privacy zijn expliciet opgenomen in de functieprofielen van de organisatie, waarmee ze een integraal onderdeel zijn van de taken en verantwoordelijkheden van elke medewerker.
  • De organisatie hanteert een lessons learned benadering om haar privacyverantwoordelijkheden continu te verbeteren, op basis van ervaringen uit het verleden en verwachtingen voor de toekomst.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

  • Leg de rollen, taken en verantwoordelijkheden met betrekking tot privacy vast in het IBP-beleid.
  • Leg in de beschrijving van rollen, taken en verantwoordelijkheden met betrekking tot privacy vast dat het schoolbestuur eindverantwoordelijk is voor privacy binnen de organisatie en dat directeuren/rectoren verantwoordelijk zijn voor privacy op hun eigen school.
  • Leg in de beschrijving van rollen, taken en verantwoordelijkheden met betrekking tot privacy vast welke functionaris van het schoolbestuur het mandaat heeft gekregen om keuzes te maken op het gebied van privacyrisico’s en het treffen van mitigerende maatregelen en accepteren van restrisico’s.

Hulpmiddelen

Gerelateerde wetten en normen

Norm BL.02 Rollen, taken en verantwoordelijkheden is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG) en de informatiebeveiligingsnormen.

AVG

Informatiebeveiligingsnormen

Afdrukken

Op deze pagina