Norm OI.02 Privacyorganisatie
Waarom is dit nodig?
Als er binnen de school voldoende (juridische) kennis is van privacy ben je beter in staat om de juiste beslissingen te nemen om conform de AVG persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. te verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. van leerlingen, medewerkers en anderen. Daarmee verklein je het risico op onrechtmatige verwerkingen en beveiligingsincidenten.
Volwassenheidsniveaus
1 Ad hoc
- Er is geen of weinig (juridische) kennis over privacy.
- Er is geen aanvullende privacyfunctionaris (of andere privacydeskundige) naast de FGIemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG)..
2 Herhaalbaar
- Er zijn één of enkele Privacy Officers (of adviseurs) die actief bijdragen aan het oplossen van (complexe) vraagstukken over privacy en de bescherming van persoonsgegevens.
- Er is incidenteel en/of informeel overleg en afstemming tussen de privacy– en informatiebeveiligingsfunctionarissen.
3 Bepaald (streefniveau)
- Er is een (virtueel) privacyteam waarbij de FG, Privacy Officer(s) en eventuele decentrale privacyambassadeurs/-coördinatoren zijn aangesloten
- Het privacyteam werkt nauw samen met de informatiebeveiligingsfunctionarissen om vraagstukken rond informatiebeveiliging zoveel mogelijk gezamenlijk of althans in overleg, op te lossen
- Medewerkers kunnen eenvoudig en makkelijk contact opnemen met het privacyteam. Het privacyteam reageert binnen een vooraf vastgestelde maximale reactietijd op vragen uit de organisatie.
- Het privacyteam heeft periodiek overleg om de werkzaamheden te bespreken en activiteiten af te stemmen, met betrokkenheid van relevante stakeholders.
4 Beheerst
Aanvullend op niveau 3:
- Privacy Officer(s) en eventuele decentrale privacyambassadeurs/-coördinatoren evalueren periodiek de privacygerelateerde werkzaamheden binnen de organisatie. De FG kan hier ook over adviseren. Daar waar nodig worden verbeteringen doorgevoerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Het initiatief tot verbeteringen van de privacygerelateerde werkzaamheden binnen de organisatie komt van de teams, afdelingen of het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. zelf in plaats van de privacyfunctionarissen.
- Organisatieonderdelen beschikken met betrekking tot de diensten die zij leveren over uitgebreide (juridische) kennis en ervaring over bescherming van persoonsgegevens en relevante wet- en regelgeving.
- Privacyfunctionarissen werken proactief samen met andere stakeholders voor de continue verbetering van de privacygerelateerde werkzaamheden.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Richt een (virtueel) privacyteam in waarbij de FG, Privacy Officer(s) en eventuele decentrale privacy ambassadeurs/coördinatoren zijn aangesloten.
- Zorg ervoor dat dit privacyteam nauw samenwerkt met de informatiebeveiligingsfunctionarissen om vraagstukken waarbij informatiebeveiliging speelt zoveel mogelijk gezamenlijk en in overleg op te lossen.
- Zorg ervoor dat medewerkers van de organisatie eenvoudig en makkelijk contact kunnen opnemen met het privacyteam en dat het privacyteam reageert binnen een vooraf vastgestelde tijd op vragen uit de organisatie.
- Zorg ervoor dat het privacyteam periodiek overlegt om de werkzaamheden te bespreken en activiteiten af te stemmen met stakeholders.
Gerelateerde wetten en normen
Norm OI.02 Privacyorganisatie is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).