Norm SW.01 AVG-rollen
Waarom is dit nodig?
De school is verantwoordelijk voor alle gegevens die zij verwerkt of laat verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. door andere partijen (leveranciersAanbieders van ict- of leermiddelen.). Leerlingen, medewerkers en andere betrokkenenDe personen van wie persoonsgegevens worden verwerkt. moeten erop kunnen vertrouwen dat jouw school goede afspraken heeft gemaakt met alle partijen waarmee ze samenwerkt, zodat er controle is op de verwerking van de gegevens. Met een helder vastgelegde rolverdeling kan de rechtmatige verwerking van persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. worden beoordeeld, getoetst en gemonitord. Daarnaast stelt een goede rolverdeling de school in staat om de kwaliteit van processen te verbeteren.
1 Ad hoc
- De organisatie heeft de AVG-rollen van de organisatie zelf en die van externe partijen die betrokken zijn bij verwerking van persoonsgegevens niet inzichtelijk gemaakt.
- Voorafgaand aan een verwerking voert de organisatie geen beoordeling uit om te bepalen of een externe optreedt als gegevensverwerker, gezamenlijke verwerkingsverantwoordelijkeTwee of meer verwerkingsverantwoordelijken die gezamenlijk verantwoordelijk zijn voor de verwerking van persoonsgegevens. Zij bepalen samen het doel en de middelen van de verwerking. Bijvoorbeeld als een school samen met een andere organisatie opdrachtgever is van een onderzoek. of zelfstandige verwerkingsverantwoordelijkeDegene die het doel en de middelen bepaalt bij het verwerken van persoonsgegevens, zoals een schoolbestuur..
- Er worden geen of nauwelijks afspraken gemaakt met verwerkers, gezamenlijke verwerkingsverantwoordelijken en eventueel zelfstandig verwerkingsverantwoordelijken.
2 Herhaalbaar
- Medewerkers hebben beperkt bewustzijn van het belang van het onderscheiden van AVG–rollen.
- De organisatie heeft de AVG-rollen van de organisatie en die van externe partijen deels inzichtelijk gemaakt, maar dit is gefragmenteerd en inconsistent.
- Er wordt incidenteel een beoordeling uitgevoerd om te bepalen of de externe partij optreedt als gegevensverwerker, gezamenlijke verwerkingsverantwoordelijke, of zelfstandige verwerkingsverantwoordelijke, maar dit gebeurt niet systematisch en is sterk afhankelijk van individuen of afdelingen.
- Er worden in sommige gevallen afspraken gemaakt met verwerkers, gezamenlijke verwerkingsverantwoordelijken en eventueel zelfstandig verwerkingsverantwoordelijken, maar dit is niet uniform.
- Indien gebruik wordt gemaakt van externe verwerkers, is er geen of onvoldoende inzicht in subverwerkers en/of in de afspraken met de subverwerkers.
3 Bepaald (streefniveau)
- De organisatie heeft de AVG-rollen van de organisatie en die van externe partijen duidelijk en inzichtelijk gemaakt en medewerkers zijn zich bewust van het belang om AVG–rollen te onderscheiden.
- Er is een gestandaardiseerd proces om voorafgaand aan elke gegevensverwerking te beoordelen en vast te stellen of de externe partij optreedt als gegevensverwerker, gezamenlijke verwerkingsverantwoordelijke of zelfstandige verwerkingsverantwoordelijke.
- Er worden consistent afspraken gemaakt met verwerkers, gezamenlijke verwerkingsverantwoordelijken en eventueel zelfstandig verwerkingsverantwoordelijken. De overeenkomsten bevatten de elementen die in de AVG, artikel 28 lid 3 zijn voorgeschreven en afspraken hoe wijzigingen (bijvoorbeeld wijziging van subverwerkers) worden gemeld.
- Het beheer van overeenkomsten met verwerkers, zelfstandig verwerkingsverantwoordelijken en gezamenlijke verwerkingsverantwoordelijken is adequaat belegd binnen de organisatie.
4 Beheerst
Aanvullend op niveau 3:
- AVG-rollen van externe partijen worden periodiek geëvalueerd. Indien noodzakelijk worden beleid en procedures aangepast.
- Naleving van de afspraken die zijn gemaakt met verwerkers en gezamenlijke verwerkingsverantwoordelijken wordt periodiek getoetst of geaudit.
- De afspraken met verwerkers, gezamenlijke verwerkingsverantwoordelijken en eventueel zelfstandig verwerkingsverantwoordelijken worden periodiek geëvalueerd en aangepast indien nodig.
- Het beheer en evaluatie van overeenkomsten met verwerkers, zelfstandig verwerkingsverantwoordelijken en gezamenlijke verwerkingsverantwoordelijken is goed georganiseerd en wordt periodiek geëvalueerd en waar nodig aangepast.
- Training en bewustwording over AVG-rollen zijn geïntegreerd in de processen en procedures van de organisatie.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Er is een eenvoudig en toegankelijk tool/systeem dat een overzicht/rapportages biedt van de AVG-rollen van externe partijen.
- De organisatie is in staat om snel en effectief te reageren op veranderingen in AVG-rollen van externe partijen, en past procedures en overeenkomsten dienovereenkomstig aan.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Zorg ervoor dat de rollen van partijen die persoonsgegevens verwerken duidelijk zijn vastgelegd en beschreven.
- Stel een procedure vast waarmee vooraf wordt beoordeeld of een partij waaraan gegevens worden verstrekt verwerkerDegene of de organisatie die handelt in opdracht van de verwerkingsverantwoordelijke, zoals de leverancier van het leerlingadministratiesysteem. Deze mag alleen verwerkingen doen waarvoor hij uitdrukkelijk opdracht krijgt. of (gezamenlijk) verwerkingsverantwoordelijke is.
- Maak medewerkers bewust van de verschillende rollen en het belang van het onderscheid daarvan.
- Maak afspraken met verwerkers, gezamenlijke verwerkingsverantwoordelijken en eventueel zelfstandig verwerkingsverantwoordelijken. Zorg ervoor dat deze afspraken voldoen aan de eisen die hiervoor gelden op grond van de AVG.
- Beleg het beheer van de afspraken goed binnen de organisatie.
Hulpmiddelen
Gerelateerde wetten en normen
Norm SW.01 AVG-rollen is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG) en de informatiebeveiligingsnormen.