Norm OI.02 Privacyorganisatie

Er is – naast de FG – ruime (juridische) kennis en ervaring binnen de organisatie beschikbaar over bescherming van persoonsgegevens en relevante wet- en regelgeving.

Waarom is dit nodig?

Als er binnen de school voldoende (juridische) kennis is van privacy ben je beter in staat om de juiste beslissingen te nemen om conform de AVG persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. te verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. van leerlingen, medewerkers en anderen. Daarmee verklein je het risico op onrechtmatige verwerkingen en beveiligingsincidenten.

Volwassenheidsniveaus

1 Ad hoc

Er is geen of weinig (juridische) kennis over privacy.
Er is geen aanvullende privacyfunctionaris (of andere privacydeskundige) naast de FGIemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG)..

2 Herhaalbaar

Er zijn één of enkele privacy officers (of adviseurs) die actief bijdragen aan het oplossen van (complexe) vraagstukken over privacy en de bescherming van persoonsgegevens.
Er is incidenteel en/of informeel overleg en afstemming tussen de privacy– en informatiebeveiligingsfunctionarissen.

3 Bepaald (streefniveau)

Er is een (virtueel) privacyteam waarbij de FG, privacy officer(s) en eventuele decentrale privacyambassadeurs/-coördinatoren zijn aangesloten
Het privacyteam werkt nauw samen met de informatiebeveiligingsfunctionarissen om vraagstukken rond informatiebeveiliging zoveel mogelijk gezamenlijk of althans in overleg, op te lossen
Medewerkers kunnen eenvoudig en makkelijk contact opnemen met het privacyteam. Het privacyteam reageert binnen een vooraf vastgestelde maximale reactietijd op vragen uit de organisatie.
Het privacyteam heeft periodiek overleg om de werkzaamheden te bespreken en activiteiten af te stemmen, met betrokkenheid van relevante stakeholders.

4 Beheerst

Aanvullend op niveau 3:

Privacy officer(s) en eventuele decentrale privacyambassadeurs/-coördinatoren evalueren periodiek de privacygerelateerde werkzaamheden binnen de organisatie. De FG kan hier ook over adviseren. Daar waar nodig worden verbeteringen doorgevoerd.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

Het initiatief tot verbeteringen van de privacygerelateerde werkzaamheden binnen de organisatie komt van de teams, afdelingen of het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. zelf in plaats van de privacyfunctionarissen.
Organisatieonderdelen beschikken met betrekking tot de diensten die zij leveren over uitgebreide (juridische) kennis en ervaring over bescherming van persoonsgegevens en relevante wet- en regelgeving.
Privacyfunctionarissen werken proactief samen met andere stakeholders voor de continue verbetering van de privacygerelateerde werkzaamheden.

Voorbeelddocumenten

Regeling Functionaris Gegevensbescherming – voorbeelddocument (docx)

Gerelateerde wetten en normen

Norm OI.02 Privacyorganisatie is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).

AVG

Artikel 24, lid 1

Afdrukken