Home » Privacy » Domein 5: Samenwerking » Norm SW.01

Norm SW.01 AVG-rollen

De organisatie heeft de AVG-rol voor alle betrokken partijen die persoonsgegevens verwerken inzichtelijk en heeft conform de AVG met deze partijen afspraken gemaakt.

Waarom is dit nodig?

De school is verantwoordelijk voor alle gegevens die zij verwerkt of laat verwerken door andere partijen (leveranciers). Leerlingen, medewerkers en andere betrokkenen moeten erop kunnen vertrouwen dat jouw school goede afspraken heeft gemaakt met alle partijen waarmee ze samenwerkt, zodat er controle is op de verwerking van de gegevens. Met een helder vastgelegde rolverdeling kan de rechtmatige verwerking van persoonsgegevens worden beoordeeld, getoetst en gemonitord. Daarnaast stelt een goede rolverdeling de school in staat om de kwaliteit van processen te verbeteren.

1 Ad hoc
  • De organisatie heeft de AVG-rollen van de organisatie zelf en die van externe partijen die betrokken zijn bij verwerking van persoonsgegevens niet inzichtelijk gemaakt.
  • Voorafgaand aan een verwerking voert de organisatie geen beoordeling uit om te bepalen of een externe optreedt als gegevensverwerker, gezamenlijke verwerkingsverantwoordelijke of zelfstandige verwerkingsverantwoordelijke.
  • Er worden geen of nauwelijks afspraken gemaakt met verwerkers, gezamenlijke verwerkingsverantwoordelijken en eventueel zelfstandig verwerkingsverantwoordelijken.
2 Herhaalbaar
  • Medewerkers hebben beperkt bewustzijn van het belang van het onderscheiden van AVG–rollen.
  • De organisatie heeft de AVG-rollen van de organisatie en die van externe partijen deels inzichtelijk gemaakt, maar dit is gefragmenteerd en inconsistent.
  • Er wordt incidenteel een beoordeling uitgevoerd om te bepalen of de externe partij optreedt als gegevensverwerker, gezamenlijke verwerkingsverantwoordelijke, of zelfstandige verwerkingsverantwoordelijke, maar dit gebeurt niet systematisch en is sterk afhankelijk van individuen of afdelingen.
  • Er worden in sommige gevallen afspraken gemaakt met verwerkers, gezamenlijke verwerkingsverantwoordelijken en eventueel zelfstandig verwerkingsverantwoordelijken, maar dit is niet uniform.
  • Indien gebruik wordt gemaakt van externe verwerkers, is er geen of onvoldoende inzicht in subverwerkers en/of in de afspraken met de subverwerkers.
3 Bepaald (streefniveau)
  • De organisatie heeft de AVG-rollen van de organisatie en die van externe partijen duidelijk en inzichtelijk gemaakt en medewerkers zijn zich bewust van het belang om AVG–rollen te onderscheiden.
  • Er is een gestandaardiseerd proces om voorafgaand aan elke gegevensverwerking te beoordelen en vast te stellen of de externe partij optreedt als gegevensverwerker, gezamenlijke verwerkingsverantwoordelijke of zelfstandige verwerkingsverantwoordelijke.
  • Er worden consistent afspraken gemaakt met verwerkers, gezamenlijke verwerkingsverantwoordelijken en eventueel zelfstandig verwerkingsverantwoordelijken. De overeenkomsten bevatten de elementen die in de AVG, artikel 28 lid 3 zijn voorgeschreven en afspraken hoe wijzigingen (bijvoorbeeld wijziging van subverwerkers) worden gemeld.
  • Het beheer van overeenkomsten met verwerkers, zelfstandig verwerkingsverantwoordelijken en gezamenlijke verwerkingsverantwoordelijken is adequaat belegd binnen de organisatie.
4 Beheerst

Aanvullend op niveau 3:

  • AVG-rollen van externe partijen worden periodiek geëvalueerd. Indien noodzakelijk worden beleid en procedures aangepast.
  • Naleving van de afspraken die zijn gemaakt met verwerkers en gezamenlijke verwerkingsverantwoordelijken wordt periodiek getoetst of geaudit.
  • De afspraken met verwerkers, gezamenlijke verwerkingsverantwoordelijken en eventueel zelfstandig verwerkingsverantwoordelijken worden periodiek geëvalueerd en aangepast indien nodig.
  • Het beheer en evaluatie van overeenkomsten met verwerkers, zelfstandig verwerkingsverantwoordelijken en gezamenlijke verwerkingsverantwoordelijken is goed georganiseerd en wordt periodiek geëvalueerd en waar nodig aangepast.
  • Training en bewustwording over AVG-rollen zijn geïntegreerd in de processen en procedures van de organisatie.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • Er is een eenvoudig en toegankelijk tool/systeem dat een overzicht/rapportages biedt van de AVG-rollen van externe partijen.
  • De organisatie is in staat om snel en effectief te reageren op veranderingen in AVG-rollen van externe partijen, en past procedures en overeenkomsten dienovereenkomstig aan.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

  • Zorg ervoor dat de rollen van partijen die persoonsgegevens verwerken duidelijk zijn vastgelegd en beschreven.
  • Stel een procedure vast waarmee vooraf wordt beoordeeld of een partij waaraan gegevens worden verstrekt verwerker of (gezamenlijk) verwerkingsverantwoordelijke is.
  • Maak medewerkers bewust van de verschillende rollen en het belang van het onderscheid daarvan.
  • Maak afspraken met verwerkers, gezamenlijke verwerkingsverantwoordelijken en eventueel zelfstandig verwerkingsverantwoordelijken. Zorg ervoor dat deze afspraken voldoen aan de eisen die hiervoor gelden op grond van de AVG.
  • Beleg het beheer van de afspraken goed binnen de organisatie.

Hulpmiddelen

Gerelateerde wetten en normen

Norm SW.01 AVG-rollen is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG) en de informatiebeveiligingsnormen.

AVG

Informatiebeveiligingsnormen

Afdrukken

Op deze pagina