Norm SW.02 Toetsing gegevensverstrekking aan derden
Waarom is dit nodig?
Door de gegevensverstrekking vooraf te toetsen aan relevante wet- en regelgeving, zorg je ervoor dat alleen die persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. worden verwerkt die relevant zijn, overeenkomstig het vooraf vastgestelde doel en gebaseerd op de juiste grondslagDe (wettelijke) basis waarop je persoonsgegevens verwerkt. Er zijn 6 mogelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang.. Als je dit procesmatig inregelt, vergroot je de validiteit en de kwaliteit van de gegevensuitwisseling.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- De organisatie heeft geen eenduidige, gestandaardiseerde procedure vastgesteld voor de toetsing van gegevensverstrekking aan derden.
- Het delen van persoonsgegevens met externe partijen gebeurt zonder voorafgaande toetsing of er is weinig tot geen bewustzijn van het belang van deze toetsing.
2 Herhaalbaar
- De organisatie voert sporadisch en ongestructureerd toetsingen uit op voorgenomen gegevensverstrekking aan externe partijen, zonder een systematische benadering en in overeenstemming met de toepasselijke (privacy)wetgeving.
- Een coherente, organisatiebrede procedure ontbreekt, wat leidt tot inconsistenties en variatie in de kwaliteit van de toetsingen.
- Medewerkers en/of afdelingen zoals inkoop, management en control of onderzoekers, hebben beperkt bewustzijn van het belang van het toetsen van de gegevensverstrekking aan externe partijen.
3 Bepaald (streefniveau)
- De organisatie heeft een uniform, organisatiebreed kader geïmplementeerd voor het toetsen van gegevensverstrekking aan externe partijen, dat consequent wordt toegepast in de gehele organisatie.
- De organisatie heeft het kader met daarin zowel het toetsingsproces als de besluitvorming daaromtrent gedocumenteerd.
- Alle medewerkers zijn goed geïnformeerd over het belang van voorafgaande toetsing van de gegevensverstrekking aan externe partijen en zijn actief betrokken bij deze processen.
- Medewerkers weten wie ze kunnen benaderen om te toetsen of een eenmalige gegevensverstrekking in overeenstemming is met de wet- en regelgeving.
4 Beheerst
Aanvullend op niveau 3:
- De organisatie voert periodiek systematische controles uit om ervoor te zorgen dat de gegevensverstrekking aan externe partijen steeds voldoet aan de meest recente wet- en regelgeving.
- De toetsingsprocedures worden periodiek geëvalueerd en indien nodig aangepast.
- Training en bewustmaking over gegevensverstrekking aan externe partijen zijn geïntegreerd in de reguliere bedrijfsprocessen en -procedures.
- Er is een gemakkelijk vindbaar overzicht van alle gegevensverstrekkingen aan externe partijen beschikbaar, bijvoorbeeld via een specifieke interne tool of systeem.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- De organisatie is in staat om snel te reageren op wijzigingen in wet- en regelgeving die de gegevensverstrekking aan externe partijen kunnen beïnvloeden, en ze kan procedures en praktijken dienovereenkomstig aanpassen.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Stel een kader vast waarmee het verstrekken van persoonsgegevens aan externe partijen kan worden getoetst.
- Zorg ervoor dat dit kader bekend is en consequent wordt toegepast binnen de hele schoolorganisatie.
- Zorg ervoor dat bij medewerkers bekend is bij wie ze terecht kunnen om te beoordelen of een (eenmalige) verstrekking van persoonsgegevens is toegestaan.
- Documenteer besluiten die worden genomen over het verstrekken van persoonsgegevens aan externe partijen.
Voorbeelddocumenten
Gerelateerde wetten en normen
Norm SW.02 Toetsing gegevensverstrekking aan derden is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG) en aan informatiebeveiligingsnormen.