Home » Privacy » Domein 3: Organisatorische inbedding » Norm OI.01

Norm OI.01 Aanwijzing en positie functionaris gegevensbescherming

De organisatie heeft een Functionaris Gegevensbescherming (FG) aangesteld en zodanig onafhankelijk gepositioneerd dat deze effectief toezicht kan houden.

Waarom is dit nodig?

De FGIemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). kan zijn toezichthoudende en adviserende taken effectief en onafhankelijk uitvoeren als zijn rol binnen de organisatie correct en volledig is ingebed. Hierdoor is het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. beter in staat om de rechten en vrijheden van leerlingen, oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn., medewerkers en andere betrokkenenDe personen van wie persoonsgegevens worden verwerkt. te waarborgen. Dit draagt verder bij aan het bewustzijn en de kennis binnen de school om persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. conform de AVG te verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming..

Volwassenheidsniveaus

1 Ad hoc

Er is geen FG aangesteld of de aangewezen FG heeft onvoldoende middelen, tijd of ondersteuning voor het effectief uitoefenen van zijn of haar wettelijke taken.
De rol en verantwoordelijkheden van de FG zijn niet gedefinieerd.
De contactgegevens van de FG ontbreken en zijn niet (makkelijk) vindbaar.
De FG is niet betrokken bij opleiding en bewustwordingsprogramma’s.

2 Herhaalbaar

Er is geen FG aangesteld of de aangewezen FG heeft onvoldoende middelen, tijd of ondersteuning voor het effectief uitoefenen van zijn of haar wettelijke taken.
De rol en verantwoordelijkheden van de FG zijn niet gedefinieerd.
De contactgegevens van de FG ontbreken en zijn niet (makkelijk) vindbaar.
De FG is niet betrokken bij opleiding en bewustwordingsprogramma’s.

3 Bepaald (streefniveau)

De taken en verantwoordelijkheden van de FG zijn duidelijk omschreven en de FG is onafhankelijk gepositioneerd binnen de organisatie. De FG ontvangt geen instructies met betrekking tot de uitvoering van zijn of haar taken.
De FG heeft geen taken of verplichtingen die kunnen leiden tot een belangenconflict bij de uitvoering van zijn of haar taken als FG.
De FG heeft voldoende tijd en middelen om zijn of haar taken effectief uit te voeren.
Het proces voor het aannemen van een FG en het functieprofiel van de FG voldoen aan de eisen gesteld in artikel 37 lid 5 van de AVG.
De FG wordt tijdig betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens, waaronder advies bij iedere DPIADPIA is Data Protection Impact Assessment. In het Nederlands heet het gegevensbeschermingseffectbeoordeling. Met een DPIA onderzoek je wat het effect op de privacy van de betrokkenen is bij het verwerken van persoonsgegevens..
Contactgegevens van de FG zijn actueel, beschikbaar, en makkelijk te vinden.
De FG is betrokken bij opleiding en bewustwordingsprogramma’s op het gebied van privacy.
De FG stemt periodiek af met het schoolbestuur binnen de organisatie.
De FG brengt rechtstreeks verslag uit aan het schoolbestuur over de naleving van de AVG door de organisatie.

4 Beheerst

Aanvullend op niveau 3:

De organisatie heeft een gedocumenteerd proces om de aanstelling en het functioneren van de FG te waarborgen. Dit document bevat onder meer:
- Een duidelijke beschrijving dat de FG afstemt met het schoolbestuur, inclusief details over hoe en met welke frequentie deze afstemming plaatsvindt.
- Een uitgewerkte rolbeschrijving met daarin een heldere beschrijving van de bevoegdheden, rechten (waaronder ontslagbescherming) en plichten van de FG.
De FG voert periodiek zelfevaluaties uit en betrekt het management bij het verfijnen van de rol en positie van de FG. Indien uit de evaluatie blijkt dat taken onduidelijk zijn of de rol niet goed is gepositioneerd, betrekt de FG het management om samen tot een oplossing te komen.
De contactgegevens van de FG zijn niet alleen beschikbaar, maar worden ook proactief gecommuniceerd naar relevante partijen.
De FG brengt periodiek verslag uit aan het schoolbestuur over de naleving van de AVG door de organisatie.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

Het schoolbestuur neemt proactief het initiatief om de stand van zaken met betrekking tot de bescherming van persoonsgegevens in de organisatie, inclusief audits, met de FG te bespreken.
De FG brengt regelmatig ongevraagd advies uit; het schoolbestuur past deze adviezen toe of legt vast waarom daarvan afgeweken wordt.
De aanstelling, verantwoordelijkheden, en middelen voor de FG zijn optimaal en worden continu verbeterd.
De FG speelt een strategische rol in het ontwikkelen en leveren van opleiding en bewustwordingsprogramma’s.
De FG is betrokken bij opleiding en bewustwordingsprogramma’s op het gebied van informatiebeveiliging en privacy.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

Wijs een Functionaris voor GegevensbeschermingIemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). (FG) aan. Zorg dat het functieprofiel voldoet aan de eisen uit artikel 37 lid 5 van de AVG.
Omschrijf de taken en verantwoordelijkheden van de FG in een beleid, werkwijze, procedure of reglement.
Positioneer de FG onafhankelijk binnen de organisatie. Zorg ervoor dat de FG geen taken of verplichtingen heeft die kunnen leiden tot een belangenconflict bij de uitvoering van zijn taken als FG.
Zorg ervoor dat de FG geen instructies met betrekking tot de uitvoering van zijn of haar taken ontvangt.
Stel voor de FG voldoende tijd en middelen beschikbaar om zijn of haar taken effectief uit te voeren.
Betrek de FG tijdig betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens waaronder advies bij iedere DPIA.

Hulpmiddelen

Gerelateerde wetten en normen

Norm OI.01 Aanwijzing en positie functionaris gegevensbescherming is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).

AVG

Afdrukken