Norm BL.02 Rollen, taken en verantwoordelijkheden

Rollen, taken en verantwoordelijkheden met betrekking tot privacy binnen de organisatie zijn benoemd, belegd en vastgelegd in het privacybeleid.

Waarom is dit nodig?

Om de doelen van je privacybeleid te bereiken is het belangrijk dat je duidelijke rollen, taken en verantwoordelijkheden voor privacy benoemt, toewijst en vastlegt binnen je school. Op die manier weet iedereen wat er van hen wordt verwacht met betrekking tot privacy. Dit helpt bij het creëren van een digitaal veilige schoolomgeving voor leerlingen en medewerkers, en draagt eraan bij dat je school voldoet aan de AVG.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Rollen, taken en verantwoordelijkheden met betrekking tot privacy zijn niet duidelijk gedefinieerd en toegewezen binnen de organisatie of zijn niet gedocumenteerd.

2 Herhaalbaar

Rollen, taken en verantwoordelijkheden zijn binnen de organisatie deels of informeel belegd en/of zijn sterk afhankelijk van de ondersteunende (centrale) privacyorganisatie of privacy officers.

3 Bepaald (streefniveau)

Rollen, taken en verantwoordelijkheden met betrekking tot privacy zijn formeel benoemd, belegd en vastgelegd in het privacybeleid en organisatiebreed bekend.
Vastgelegd is dat het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. eindverantwoordelijk is voor privacy binnen de organisatie en dat managers verantwoordelijk zijn voor privacy binnen hun managementdomein.
Binnen de organisatie is vastgesteld welke functionaris bevoegd is om keuzes te maken op het gebied van privacyrisico’s (waaronder het (laten)uitvoeren van (pre-)DPIA’s), het treffen van mitigerende maatregelen en het accepteren van restrisico’s.

4 Beheerst

Aanvullend op niveau 3:

Het management legt aantoonbaar verantwoording af over zijn taken en verantwoordelijkheden met betrekking tot privacy.
De organisatie evalueert periodiek of de rollen, taken en verantwoordelijkheden met betrekking tot privacy nog passend en effectief zijn, en voert indien nodig verbeteringen door.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

De organisatie monitort proactief of rollen, taken en verantwoordelijkheden met betrekking tot privacy nog passend en actueel zijn, in lijn met ontwikkelingen én met wet- en regelgeving.
Rollen, taken en verantwoordelijkheden met betrekking tot privacy zijn expliciet opgenomen in de functieprofielen van de organisatie, waarmee ze een integraal onderdeel zijn van de taken en verantwoordelijkheden van elke medewerker.
De organisatie hanteert een lessons learned benadering om haar privacyverantwoordelijkheden continu te verbeteren, op basis van ervaringen uit het verleden en verwachtingen voor de toekomst.

Voorbeelddocumenten

IBP-beleid – voorbeelddocument (docx)

Gerelateerde wetten en normen

Norm BL.02 Rollen, taken en verantwoordelijkheden is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG) en de informatiebeveiligingsnormen.

AVG

Artikel 24 lid 1

Informatiebeveiligingsnormen

OR.01 Eigenaarschap, rollen, verantwoordelijkheden en aansprakelijkheid

Afdrukken