Norm PR.01 Operationele processen
Waarom is dit nodig?
Als je de operationele primaire en secundaire processen beschrijft waarin persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. worden verwerkt, bevordert dat de kwaliteit en veiligheid ervan. Je houdt daarmee grip op de processen en kunt controleren of gegevens volgens de AVG worden verwerkt. Afhankelijk van de aard, omvang, context en het doel van een proces kan de beschrijving op hoofdlijnen of meer gedetailleerd zijn.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- De organisatie heeft geen systematische en gestructureerde aanpak voor het identificeren en documenteren van operationele processen waarin persoonsgegevens worden verwerkt.
- Er is beperkt of geen inzicht in de processen waarin persoonsgegevens worden verwerkt, met name in de processen met een hoog risico voor de betrokkenenDe personen van wie persoonsgegevens worden verwerkt..
2 Herhaalbaar
- De organisatie heeft een gedeeltelijk systematische en gestructureerde aanpak voor het identificeren en documenteren van operationele processen waarin persoonsgegevens worden verwerkt. Deze aanpak wordt niet consistent en/of organisatiebreed gehanteerd.
- Voor enkele processen waarin persoonsgegevens worden verwerkt is een procesbeschrijving met daarin minimaal een titel van het proces en een verantwoordelijke proceseigenaar, maar er is geen centraal overzicht of register van deze processen.
3 Bepaald (streefniveau)
- De organisatie hanteert organisatiebreed een systematische en gestructureerde aanpak voor het identificeren en documenteren van processen waarin persoonsgegevens worden verwerkt en heeft inzicht in alle processen waarin persoonsgegevens worden verwerkt. Ten minste de processen met een hoog risico voor betrokkenen zijn beschreven en vastgelegd.
- Proceseigenaren zijn aangewezen en zijn verantwoordelijk voor de periodieke evaluatie van de procesbeschrijving en passen deze zo nodig aan.
4 Beheerst
Aanvullend op niveau 3:
- De organisatie heeft alle operationele processen waarin persoonsgegevens worden verwerkt vastgelegd en beschreven (niet alleen die met hoog risico).
- De organisatie voert periodieke evaluaties uit van alle processen waarin persoonsgegevens worden verwerkt, om de bescherming van persoonsgegevens te waarborgen, en voert waar nodig verbeteringen door.
- Binnen een vastgesteld interval wordt geëvalueerd of de beschrijving van het proces aansluit bij de praktijk.
- Proceseigenaren informeren proactief over de realisatie van uitgevoerde wijzigingen naar aanleiding van evaluaties.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Het management ziet het belang in van procesmatig werken en het actueel houden van operationele processen en stuurt hier actief op.
- Het management (eventueel in samenspraak met proceseigenaren) houdt toekomstige ontwikkelingen in beeld en laat deze proactief meenemen in de (her)definitie van processen en aanwijzing van proceseigenaren.
- Er wordt proactief geborgd dat wijzigingen en initiatieven die niet voldoen aan het privacybeleid worden geïdentificeerd en opgelost.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Hanteer organisatiebreed een systematische en gestructureerde aanpak voor het identificeren en documenteren van processen waarin persoonsgegevens worden verwerkt.
- Toets alle processen waarin persoonsgegevens worden verwerkt aan de privacybeginselen van art. 5 lid 1 AVG.
- Laat iedereen die verantwoordelijk is voor een proces waarin persoonsgegevens worden verwerkt dit minimaal éénmaal per jaar evalueren, en zo nodig de procesbeschrijving aanpassen.
Gerelateerde wetten en normen
Norm PR.01 Operationele processen is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).