Norm BL.02 Rollen, taken en verantwoordelijkheden
Waarom is dit nodig?
Om de doelen van je privacybeleid te bereiken is het belangrijk dat je duidelijke rollen, taken en verantwoordelijkheden voor privacy benoemt, toewijst en vastlegt binnen je school. Op die manier weet iedereen wat er van hen wordt verwacht met betrekking tot privacy. Dit helpt bij het creëren van een digitaal veilige schoolomgeving voor leerlingen en medewerkers, en draagt eraan bij dat je school voldoet aan de AVG.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Rollen, taken en verantwoordelijkheden met betrekking tot privacy zijn niet duidelijk gedefinieerd en toegewezen binnen de organisatie of zijn niet gedocumenteerd.
2 Herhaalbaar
- Rollen, taken en verantwoordelijkheden zijn binnen de organisatie deels of informeel belegd en/of zijn sterk afhankelijk van de ondersteunende (centrale) privacyorganisatie of Privacy Officers.
3 Bepaald (streefniveau)
- Rollen, taken en verantwoordelijkheden met betrekking tot privacy zijn formeel benoemd, belegd en vastgelegd in het privacybeleid en organisatiebreed bekend.
- Vastgelegd is dat het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. eindverantwoordelijk is voor privacy binnen de organisatie en dat managers verantwoordelijk zijn voor privacy binnen hun managementdomein.
- Binnen de organisatie is vastgesteld welke functionaris bevoegd is om keuzes te maken op het gebied van privacyrisico’s (waaronder het (laten)uitvoeren van (pre-)DPIA’s), het treffen van mitigerende maatregelen en het accepteren van restrisico’s.
4 Beheerst
Aanvullend op niveau 3:
- Het management legt aantoonbaar verantwoording af over zijn taken en verantwoordelijkheden met betrekking tot privacy.
- De organisatie evalueert periodiek of de rollen, taken en verantwoordelijkheden met betrekking tot privacy nog passend en effectief zijn, en voert indien nodig verbeteringen door.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- De organisatie monitort proactief of rollen, taken en verantwoordelijkheden met betrekking tot privacy nog passend en actueel zijn, in lijn met ontwikkelingen én met wet- en regelgeving.
- Rollen, taken en verantwoordelijkheden met betrekking tot privacy zijn expliciet opgenomen in de functieprofielen van de organisatie, waarmee ze een integraal onderdeel zijn van de taken en verantwoordelijkheden van elke medewerker.
- De organisatie hanteert een lessons learned benadering om haar privacyverantwoordelijkheden continu te verbeteren, op basis van ervaringen uit het verleden en verwachtingen voor de toekomst.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Leg de rollen, taken en verantwoordelijkheden met betrekking tot privacy vast in het IBP-beleid.
- Leg in de beschrijving van rollen, taken en verantwoordelijkheden met betrekking tot privacy vast dat het schoolbestuur eindverantwoordelijk is voor privacy binnen de organisatie en dat directeuren/rectoren verantwoordelijk zijn voor privacy op hun eigen school.
- Leg in de beschrijving van rollen, taken en verantwoordelijkheden met betrekking tot privacy vast welke functionaris van het schoolbestuur het mandaat heeft gekregen om keuzes te maken op het gebied van privacyrisico’s en het treffen van mitigerende maatregelen en accepteren van restrisico’s.
Hulpmiddelen
Gerelateerde wetten en normen
Norm BL.02 Rollen, taken en verantwoordelijkheden is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG) en de informatiebeveiligingsnormen.