Domein 2 Processen
Wie is verantwoordelijk?
Voor alle onderdelen binnen dit domein geldt dat uiteindelijk het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. de eindverantwoordelijkheid draagt. De voorbereiding zal meestal gebeuren door de Privacy OfficerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker. of IBP-adviseur binnen je organisatie. Het verwerkingsregister wordt doorgaans bijgehouden door een Privacy Officer of IBP-adviseur, maar proceseigenaren moeten ervoor zorgen dat verwerkingen binnen hun processen worden opgenomen in dit register. Bij het uitvoeren van DPIA’s wordt advies gevraagd aan de FGIemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). en wordt waar nodig informatie ingewonnen bij verwerkers. Verwerkers passen in opdracht van het schoolbestuur standaard Privacy by DesignAl vanaf de start van het ontwerp wordt privacy meegenomen in de ontwikkeling. Standaardproducten of -diensten staan zo ingesteld dat privacy wordt gewaarborgd. Alle opties om persoonsgegevens te delen staan standaard ‘uit’. en Default toe bij de persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. die zij verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. voor de school. Zij moeten er bijvoorbeeld voor zorgen dat standaardinstellingen privacyvriendelijk zijn ingeregeld en dat gegevens tijdig wordt verwijderd conform de afspraken. Het schoolbestuur houdt toezicht op de verwerking van persoonsgegevens door verwerkers.
- Eindverantwoordelijk: Schoolbestuur
- Verantwoordelijk voor de uitvoering: Privacy Officer of IBP-adviseur, proceseigenaar
- Geraadpleegd: FG, verwerkerDegene of de organisatie die handelt in opdracht van de verwerkingsverantwoordelijke, zoals de leverancier van het leerlingadministratiesysteem. Deze mag alleen verwerkingen doen waarvoor hij uitdrukkelijk opdracht krijgt., informatiemanager
- Geïnformeerd: Proceseigenaren, relevante medewerkers
Hulpmiddelen
- Opstellen van een register van verwerkingsactiviteiten (Aanpak IBP)
- Uitvoeren van een DPIA (Aanpak IBP)
- Checklist wel of geen DPIA (xlxs)
- Meer over het uitvoeren van een DPIA door SIVON (sivon.nl)
- Toepassen van privacy by design en privacy by default (Aanpak IBP)
- Vaststellen van bewaartermijnen (Aanpak IBP)
- Handleiding Bewaartermijnenoverzicht (docx)
- Bewaartermijnenoverzicht (xlxs)