Home » Privacy » Domein 7: Verantwoording » Norm VW.01

Norm VW.01 Rapportage naleving AVG

De organisatie houdt periodiek interne en externe stakeholders op de hoogte over de naleving van de AVG.

Waarom is dit nodig?

Met een duidelijke, toegankelijke en regelmatige rapportage aan in- en externe belanghebbenden over de wijze waarop de school zorgt voor een zorgvuldige verwerking en adequate beveiliging van persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres., legt het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. verantwoording af over naleving van de AVG. Zo kunnen betrokkenenDe personen van wie persoonsgegevens worden verwerkt. als leerlingen en medewerkers vertrouwen op een goede naleving van de AVG binnen je school. Schoolbesturen zijn verplicht om vanaf schooljaar 2023-2024 in hun jaarverslag aandacht te besteden aan informatiebeveiliging en privacy.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Er wordt geen periodiek verslag gemaakt om interne (inclusief het schoolbestuur) en externe stakeholders te informeren over de omgang met en bescherming van persoonsgegevens binnen de organisatie.
Informatie van afdelingen over de omgang met en bescherming van persoonsgegevens binnen hun afdeling of hun processen wordt niet periodiek (centraal) verzameld. Hierdoor kan er geen organisatiebreed inzicht worden verschaft over de naleving van de AVG.

2 Herhaalbaar

Er wordt periodiek een verslag opgesteld voor zowel interne (inclusief het schoolbestuur) als externe stakeholders over de omgang met en bescherming van persoonsgegevens binnen de organisatie, maar dit proces is niet gedocumenteerd en de FGIemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG). wordt niet consequent betrokken.
Informatie van afdelingen over de omgang met en bescherming van persoonsgegevens wordt periodiek (centraal) verzameld, maar dit proces is niet volledig gedocumenteerd en gebeurt niet op een structurele en georganiseerde manier.

3 Bepaald (streefniveau)

Er wordt een gestructureerd en gedocumenteerd proces gevolgd voor het opstellen van een periodiek verslag waarin zowel interne (inclusief het schoolbestuur) als externe stakeholders worden geïnformeerd over de omgang met en bescherming van persoonsgegevens binnen de organisatie. De FG wordt betrokken en geraadpleegd bij het opstellen van dit verslag.
Informatie van afdelingen over de omgang met en bescherming van persoonsgegevens wordt periodiek centraal verzameld op een gestructureerde manier, waardoor de bestuursorganen organisatiebreed inzicht kunnen krijgen in de naleving van de AVG.
Dit proces omvat het periodiek opstellen van een organisatieverslag waarin verschillende aspecten worden behandeld, bijvoorbeeld het globale overzicht van het verwerkingsregister, uitgevoerde DPIA’s, verslag over datalekken, verzoeken rechten van betrokkenen, (evt. resultaten van een privacy benchmark), klachten, en verbeterplannen.
De verantwoordelijkheden voor het opstellen en verspreiden van dit verslag zijn duidelijk aantoonbaar toegewezen.

4 Beheerst

Aanvullend op niveau 3:

De inhoudelijke elementen van de rapportage en het rapportageproces worden periodiek geëvalueerd en indien nodig aangepast.
Op basis van rapportage worden verbeterplannen opgesteld en wordt gerapporteerd over de uitvoering hiervan.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

Er is een volledig geïntegreerd proces voor het opstellen van periodieke rapportages en het centraal verzamelen van informatie van afdelingen. Dit proces wordt systematisch nageleefd en continu geëvalueerd en verbeterd.
Naast de reguliere periodieke rapportage, worden interne en externe stakeholders ook ad hoc geïnformeerd over belangrijke in- en externe ontwikkelingen met betrekking tot de bescherming van persoonsgegevens.
Er wordt gebruik gemaakt van tools en methodes om informatie op een toegankelijke en begrijpelijke manier te presenteren, bijvoorbeeld via infographics of animaties.
Er vindt periodiek uitwisseling plaats met andere organisatie om ervaringen, best practices en leerpunten te delen op het gebied van AVG-naleving en transparantieHelder zijn over de persoonsgegevens die je verzamelt en wat je er mee doet., verantwoording en rapportage.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

Stel een periodiek verslag op waarin zowel het schoolbestuur als de Raad van Toezicht en (G)MR worden geïnformeerd over de omgang met en bescherming van persoonsgegevens binnen de organisatie. Betrek de FG bij het opstellen van dit verslag. Neem het verslag over de naleving van de AVG op in het (jaarlijkse) organisatieverslag. Verwerk hierin informatie over het verwerkingsregister, uitgevoerde DPIA’s, datalekken, verzoeken van uitoefening van rechten van betrokkenen, resultaten van de privacy self assessment en verbeterplannen.
Verzamel informatie van scholen over de omgang met en bescherming van persoonsgegevens periodiek en op een gestructureerde manier, zodat het schoolbestuur organisatiebreed inzicht krijgt over de naleving van de AVG.

Gerelateerde wetten en normen

Norm VW.01 Rapportage naleving AVG is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).

AVG

Afdrukken