Norm RB.02 Informatieplicht

Betrokkenen worden, zoveel als mogelijk, voorafgaand aan een verwerking op de hoogte gesteld van de wettelijk vereiste informatie over de verwerking van hun persoonsgegevens.

Waarom is dit nodig?

Door vooraf duidelijk te informeren over de verwerking van persoonsgegevens, weten leerlingen en medewerkers welke gegevens je over hen verwerkt en hoe en waarom je dat doet. Met deze informatie kunnen zij hun rechten uitoefenen. Bovendien laat je hiermee als school zien dat je persoonsgegevens op een behoorlijke en transparante manier verwerkt.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Betrokkenen worden niet of onvoldoende geïnformeerd over de verwerking van hun persoonsgegevens, alsmede hun rechten.
  • Er is geen informatie verstrekt aan betrokkenen van wie de persoonsgegevens niet rechtstreeks zijn verkregen.
  • De organisatie heeft geen algemene privacyverklaring gepubliceerd op de website of in applicaties en formulieren.
  • Er is geen cookiebeleid of uniforme afspraken over de toepassing van cookies.
  • Bezoekers van de website worden niet geïnformeerd over het gebruik van cookies.
2 Herhaalbaar
  • Betrokkenen worden geïnformeerd, maar de communicatie is soms niet adequaat of te laat.
  • Er is een algemene privacyverklaring, maar deze is mogelijk niet volledig of niet up–to–date, en is niet in eenvoudige en duidelijke op de doelgroep gerichte taal opgeschreven.
  • De informatie over de verwerking van persoonsgegevens in applicaties en formulieren is beperkt en niet altijd duidelijk.
  • Betrokkenen van wie de persoonsgegevens niet rechtstreeks zijn verkregen, worden niet altijd of niet volledig geïnformeerd.
  • Er zijn informele afspraken over het gebruik van cookies, maar deze voldoen niet (volledig) aan wet– en regelgeving en/of worden niet consequent geïmplementeerd.
3 Bepaald (streefniveau)
  • Er is beleid vastgesteld over het informeren van betrokkenen, inclusief de timing van de informatieverstrekking.
  • Betrokkenen worden adequaat en tijdig geïnformeerd in overeenstemming met de beginselen van behoorlijke en transparante verwerking.
  • Personen van wie de persoonsgegevens niet rechtstreeks zijn verkregen, worden binnen een maand geïnformeerd.
  • De organisatie heeft een privacyverklaring op de algemene website in eenvoudige en duidelijke taal (taalniveau B1) en een verwijzing in applicaties en formulieren waar verwerkingen plaatsvinden.
  • Er is cookiebeleid vastgelegd en dit voldoet aan wet– en regelgeving.
  • De website informeert gebruikers over het cookiebeleid.
4 Beheerst

Aanvullend op niveau 3:

  • Er wordt periodiek geëvalueerd of de procedures voor het informeren van betrokkenen adequaat zijn en worden nagekomen. Daar waar nodig worden aanpassingen doorgevoerd.
  • De privacyverklaring is up–to–date en de inhoud wordt afgestemd op de specifieke context van applicaties en formulieren.
  • Het cookiebeleid en de implementatie ervan worden periodiek geëvalueerd. Daar waar nodig worden aanpassingen doorgevoerd.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • Transparantie wordt beschouwd als een kwaliteitsaspect en een kans voor de organisatie om aan te tonen hoe zorgvuldig ze omgaat met persoonsgegevens van leerlingen, medewerkers en overige betrokkenen. Er is bijvoorbeeld een online gepubliceerd verwerkingsregister.
  • Applicaties en formulieren bieden uitgebreide uitleg over de verwerking van persoonsgegevens.
  • Er is een proactieve benadering om de gebruikerservaring van de website met betrekking tot de bescherming van persoonsgegevens te verbeteren, inclusief een transparant en begrijpelijk cookiebeleid.
  • Het cookiebeleid en de implementatie ervan worden proactief getoetst aan de nieuwste inzichten en richtlijnen.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

  • Leg – bijvoorbeeld als onderdeel van het IBP-beleid – vast hoe en wanneer betrokkenen worden geïnformeerd over de verwerking van hun persoonsgegevens.
  • Leg in een privacyreglement vast wat de rechten en verplichtingen zijn van de betrokkenen en het schoolbestuur met betrekking tot de verwerking van persoonsgegevens. Neem op de website en in de schoolgids een leesbare samenvatting op van dit privacyreglement in de vorm van een privacyverklaring.
  • Stel het privacyreglement, de privacyverklaring en communicatie over rechten van betrokkenen op in duidelijke en eenvoudige taal afgestemd op de doelgroep.
  • Zorg ervoor dat op plaatsen waar persoonsgegevens worden verzameld – bijvoorbeeld applicaties en formulieren – een duidelijke verwijzing staat naar de privacyverklaring.
  • Informeer bezoekers van de website over het cookiebeleid met een cookiemelding.

Hulpmiddelen

Gerelateerde wetten en normen

Norm BL.02 Informatieplicht is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).

AVG

Afdrukken

Op deze pagina