Privacy en beveiliging
●
Privacy en beveiliging in het onderwijs●
Verantwoordelijkheden schoolbestuur en rol interne toezichthouder●
Ondersteuning schoolbesturen door SIVON en KennisnetPrivacy en beveiliging in het onderwijs
●
Persoonsgegevens van leerlingen, hun ouders/verzorgers en medewerkers●
Leerlingen zijn een kwetsbare doelgroep●
Naast namen, adressen, etc. ook bijzondere persoonsgegevens (thuissituatie, medische gegevens)●
Digitale leermiddelen generen leerresultaten en slaan deze opVerantwoordelijkheden
●
Het schoolbestuur is verantwoordelijk is voor omgang met persoonsgegevens van leerlingen, ouders/verzorgers en medewerkers●
Verantwoordelijkheid voor leerlinggegevens komt voort uit de verantwoordelijkheid van de school voor het geven van goed onderwijs●
Schoolbestuur bepaalt:○
Of persoonsgegevens worden verwerkt○
Met welk doel persoonsgegevens worden verwerkt○
Door wie persoonsgegevens worden verwerkt○
Onder welke voorwaarden de gegevensverwerking gebeurt●
De school heeft een verantwoordingsplicht○
aantonen dat de organisatie aan de privacyregels voldoet○
waaronder aantonen welke technische en organisatorische maatregelen zij hebben genomen om de persoonsgegevens van leerlingen te beschermen○
op elk moment dat de Autoriteit Persoonsgegevens daarom vraagtIntern toezicht: de functionaris gegevensbescherming (FG)
●
Interne toezichthouder o.b.v. wettelijke basis en afgebakend domein●
Onafhankelijke positie en rapporteert direct aan bestuur●
Taken○
Toezicht houden op naleving privacywetgeving○
Adviseren over beleid en naleving van de AVG○
Voorlichting privacy geven en stimuleren van bewustwording○
Afwikkeling IBP-klachten en -incidenten●
Formeel ook rapportage via de accountant●
Rol raad van toezicht○
toezicht op beleid t.a.v. privacy en beveiliging○
zijn risico’s in beeld en is daar op de juiste wijze actie op ondernomen○
privacy en beveiliging als onderdeel van risicomanagementEr is een grote verantwoordelijkheid voor het schoolbestuur
·
IBP-beleid hebben voor allerlei processen·
interne processen goed regelen, ook bewaartermijnen etc·
bewustwording medewerkers·
goede afspraken en informatie naar ouders·
inzicht hebben in je verwerkingen·
risicoinschattingen en -afwegingen maken·
goede afspraken maken met leveranciers·
en die ook nog controleren·
technische en organisatorische maatregelen nemen·
zoals veilige internetverbindingen regelen·
goed reageren als het mis gaat·
en aan de Autoriteit Persoonsgegevens kunnen laten zien dat je alles onder controle hebt·
etc.·
...Goed nieuws!
●
Scholen willen zich niet onderscheiden op privacy en beveiliging●
Scholen willen niet dat leveranciers zich onderscheiden op het gebied van privacy en beveiliging●
Het moet gewoon goed geregeld zijn●
Veel kansen voor samenwerking: het portfolio van SIVONWoninginbraken
Herstellen Identificeren Beschermen Detecteren Reageren
Professionali -seren
Huidig portfolio
Herstellen Identificeren Beschermen Detecteren Reageren
Professionali -seren
Kennisbasis:
Aanpak IBP
Samenwerking:
Netwerk IBP
Bewustwording
en kennisdeling Veilig internet
Functionaris gegevens- bescherming
Gezamenlijke uitvoering DPIA’s
De volgende stap
Herstellen Identificeren Beschermen Detecteren Reageren
Professionali -seren
Kennisbasis:
Aanpak IBP
Samenwerking:
Netwerk IBP
Bewustwording
en kennisdeling Veilig internet
Gezamenlijke uitvoering DPIA’s
Webinars
Inzicht aanbod IBP-tooling
Inkoopeisen en onderhandeling
Dreigingsbeeld onderwijs
Incidenten- verzekering of
calamiteiten- fonds Functionaris
gegevens- bescherming
Toetsingskader
De stip op de horizon
Herstellen Identificeren Beschermen Detecteren Reageren
Professionali -seren
Kennisbasis:
Aanpak IBP
Samenwerking:
Netwerk IBP
Bewustwording
en kennisdeling Veilig internet
Webinars
Inzicht aanbod IBP-tooling
Inkoopeisen en onderhandeling
Dreigingsbeeld onderwijs
Toetsingskader
Workshops DPIA (risicoanalyse)
Inkopen beveiligings-
tests
Doorontwikkeling portfolio Veilig internet
Certificering leveranciers
Incidenten- monitoring
(SOC)
Beveiligings- oefeningen
Incidenten- coördinatie
Beveiligings- crisisdienst
(CERT)
Incidenten- verzekering of
calamiteiten- fonds Functionaris
gegevens- bescherming
Gezamenlijke uitvoering DPIA’s
Scholing
Oproep
●
Vraag uw bestuur naar het beleid t.a.v. privacy en beveiliging●
Nodig de functionaris gegevensbescherming eens uit voor een gesprek●
Schoolbesturen hoeven dit niet alleen te doen●
Uitstekend onderwerp voor samenwerkingStelling
De school is een datafabriek. Daarom zou elke raad van toezicht jaarlijks een gesprek moeten hebben met de bestuurder en/of de functionaris gegevensbescherming over privacy en beveiliging.