Home » Privacy » Domein 4: Rechten van betrokkenen » Norm RB.01

Norm RB.01 Afhandeling rechten van betrokkenen

De organisatie heeft een procedure voor de afhandeling van rechten van betrokkenen waarin de technische en organisatorische maatregelen zijn vastgelegd en wie verantwoordelijk is om deze uit te voeren.

Waarom is dit nodig?

Passende procedures zijn voor de afhandeling van de rechten van betrokkenenDe personen van wie persoonsgegevens worden verwerkt. dragen bij aan een efficiënte en nauwkeurige verwerking van verzoeken binnen de wettelijke termijn. Leerlingen en medewerkers mogen van een school verwachten dat hun verzoeken adequaat worden afgehandeld en dat er helder wordt gecommuniceerd over hun rechten. Dit vergroot hun gevoel van veiligheid, vertrouwen en kwaliteit over je school.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

De organisatie heeft geen technische of organisatorische maatregelen genomen om de rechten van betrokkenen te waarborgen.
Er is geen proces voor het indienen en afhandelen van verzoeken.
Medewerkers herkennen AVG-verzoeken niet en weten niet naar wie ze deze moeten doorsturen voor afhandeling.
De organisatie houdt geen registratie bij van eerder behandelde verzoeken. Er bestaat geen procedure om, ten behoeve van consistentie en de waarborg van rechtsgelijkheid, nieuwe verzoeken te toetsen aan de hand van eerder afgehandelde verzoeken

2 Herhaalbaar

De organisatie heeft voor de afhandeling van rechten van betrokkenen enkele technische en organisatorische maatregelen genomen, maar de implementatie is onvolledig en inconsistent.
Verzoeken kunnen zowel analoog als digitaal worden ingediend, maar de communicatie hierover is gebrekkig.
Er zijn basisprocedures voor de afhandeling van verzoeken, maar de naleving van termijnen is inconsistent en/of de communicatie met betrokkenen is gebrekkig.
Er is een registratie van eerder behandelde verzoeken, maar deze wordt niet consequent gebruikt om, ten behoeve van consistentie en de waarborg van rechtsgelijkheid, nieuwe verzoeken te toetsen

3 Bepaald (streefniveau)

Er is een procedure voor de afhandeling van verzoeken van betrokkenen vastgesteld, waarin ten minste het volgende is opgenomen:
- op welke wijze verzoeken kunnen worden ingediend
- op welke wijze de identiteit van verzoeker wordt vastgesteld
- wie verantwoordelijk is voor de afhandeling
- de toepasselijke termijnen
- de criteria voor het toewijzen en afwijzen van een verzoek
- het informeren van ontvangers over een verzoek.
Verzoeken kunnen zowel analoog als digitaal worden ingediend en dit proces is duidelijk gecommuniceerd naar betrokkenen.
Betrokkenen ontvangen altijd een ontvangstbevestiging van hun verzoeken en worden tijdig geïnformeerd over de status van de behandeling.
Applicaties en systemen bevatten voldoende mogelijkheden om de rechten van betrokkenen effectief uit te voeren.
Er is een registratie van eerder behandelde verzoeken die consequent wordt bijgehouden en gebruikt om nieuwe verzoeken te beoordelen, met als doel de rechtsgelijkheid te waarborgen.
Medewerkers zijn goed getraind in het herkennen van AVG–verzoeken en weten precies naar wie ze deze moeten doorsturen.

4 Beheerst

Aanvullend op niveau 3:

Verzoeken van betrokkenen worden tijdig afgehandeld en er is een proces voor het signaleren, melden en analyseren van vertragingen.
Er is een duidelijke procedure voor de afhandeling van verzoeken, inclusief monitoring en verbetering van de reactietijden. Dit wordt periodiek geanalyseerd om verbetermaatregelen te treffen.
De organisatie houdt een gedetailleerde registratie bij van eerder behandelde verzoeken en gebruikt deze om nieuwe verzoeken consistent en nauwkeurig te toetsen

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

Alle applicaties en systemen bevatten geavanceerde en effectieve mogelijkheden voor de uitvoering van de rechten van betrokkenen.
Er worden benchmarks uitgevoerd (bijvoorbeeld binnen de onderwijssector) om te toetsen of de uitvoering van rechten van betrokkenen aansluit op wat algemeen gangbaar is.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

Stel een procedure vast voor de afhandeling van rechten betrokkenen. Beschrijf in deze procedure hoe iemand een verzoek kan indienen, hoe de identiteit van de verzoeker wordt vastgesteld, wie verantwoordelijk is voor de afhandeling, welke termijnen er gelden en wat de criteria voor toe- en afwijzing zijn. Neem in de procedure ook op hoe andere partijen die persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. hebben ontvangen – bijvoorbeeld verwerkers – worden geïnformeerd over toegewezen verzoeken tot rectificatie, verwijdering of beperking. Communiceer duidelijk naar de betrokkenen hoe verzoeken – digitaal en analoog – kunnen worden ingediend.
Informeer betrokkenen over de status en afhandeling en van hun verzoek.
Maak inzichtelijk of en hoe applicaties en systemen die worden gebruikt mogelijkheden bevatten om aan verzoeken van betrokkenen te kunnen voldoen.
Hou een centraal register bij van alle ingekomen en afgehandelde verzoeken.
Zorg ervoor dat medewerkers AVG-verzoeken herkennen en weten aan wie deze moeten worden doorgestuurd.

Hulpmiddelen

Gerelateerde wetten en normen

Norm RB.01 Afhandeling rechten van betrokkenen is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).

AVG

Afdrukken