Norm BL.03 Risico’s verwerking persoonsgegevens
Waarom is dit nodig?
Het verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. van persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. brengt onvermijdelijk risico’s met zich mee voor de privacy van betrokkenenDe personen van wie persoonsgegevens worden verwerkt.. Een (jaarlijkse) risico-inventarisatie geeft je inzicht in de kans op en impact van deze risico’s. Op basis van de geconstateerde risico’s kun je passende organisatorische en technische maatregelen treffen om de risico’s te minimaliseren. Hierdoor kun je waarborgen en aantonen dat je voldoet aan de AVG.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen gedocumenteerd proces binnen de organisatie voor het identificeren, beoordelen en beheren van risico’s in de verwerking van persoonsgegevens.
- De organisatie heeft beperkt inzicht in de risico’s bij de verwerking van persoonsgegevens.
2 Herhaalbaar
- De organisatie heeft een informeel proces geïmplementeerd voor het identificeren, beoordelen en beheren van hoge risico’s in de verwerking van persoonsgegevens.
3 Bepaald (streefniveau)
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. heeft een formeel proces beschreven voor het identificeren, beoordelen en beheren van risico’s in de verwerking van persoonsgegevens. Dit proces is niet exclusief voor hoge risico’s.
- In het proces is opgenomen dat vastgelegd wordt welke functionaris operationeel verantwoordelijk is voor opvolging van benodigde maatregelen.
- De organisatie beschikt over een beoordelingskader om risico’s te mitigeren.
- Er is een volledige registratie van hoge risico’s.
- Risicoacceptatie geschiedt op het juiste managementniveau.
4 Beheerst
Aanvullend op niveau 3:
- Er is een volledige registratie van alle risico’s, ook de lage geïdentificeerde risico’s.
- Alle geïdentificeerde risico’s worden volledig geregistreerd en systematisch beheerd.
- De doeltreffendheid van het proces voor het identificeren, beoordelen en beheren van risico’s én de risicobeheersmaatregelen worden periodiek beoordeeld en zo nodig aangepast.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- De organisatie heeft een proactieve en geïntegreerde benadering van risicobeheer, waarbij de risico’s in de verwerking van persoonsgegevens continu worden gemonitord en aangepast in reactie op veranderingen in zowel de interne organisatie als het externe landschap.
- Het management controleert en evalueert continu de doeltreffendheid van zijn risicobeheersysteem en voert waar nodig verbeteringen door.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Stel een procedure op voor het identificeren, beoordelen en beheren van lage, middelgrote en hoge risico’s bij de verwerking van persoonsgegevens. Neem hierin een beoordelingskader op om risico’s te mitigeren.
- Leg in de procedure vast welke functionaris operationeel verantwoordelijk is voor elk proces waarin persoonsgegevens worden verwerkt. Deze functionaris is ook verantwoordelijk voor de opvolging van de benodigde maatregelen en acceptatie van (rest)risico’s.
- Zorg voor vastlegging van de uitkomsten van de risicoanalyseHet analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan..
Gerelateerde wetten en normen
Norm BL.03 Risico’s verwerking persoonsgegevens is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG) en de informatiebeveiligingsnormen.