Aan welke spelregels moet het onderwijs voldoen?

Steeds vaker worden data van leerlingen, leerkrachten en onderwijsondersteunend personeel digitaal opgeslagen en verwerkt. Deze verwerking moet aan veel spelregels voldoen. In mei 2018 worden die spelregels strenger door de introductie van de GDPR (ook wel bekend als de AVG). De GDPR bevat veel Europees geldende wetten die vragen om actie. Niet alleen om boetes te vermijden, maar ook uit plichtsbesef. Wie de privacy van leerlingen, medewerkers en ouders niet serieus neemt, kan in de problemen komen. Aan welke spelregels moeten organisaties voldoen? Een greep uit de verplichtingen:

Duidelijk omschreven doel

Geen enkele organisatie mag ‘zomaar’ persoonsgegevens verwerken. Er moet een duidelijk doel zijn. Vertaald in de onderwijssector betekent dat de schoolorganisatie niet meer gegevens van de leerling mag verwerken dan noodzakelijk voor het leertraject. Zo is de politieke of seksuele voorkeur van een leerling voor een schoolorganisatie volstrekt irrelevant.

Toestemming

Voor de verwerking is altijd uitdrukkelijke toestemming van de betrokkene nodig. Betrokkenen moet dus altijd toestemming geven op het feit dat zijn persoonsgegevens worden verwerkt.

Recht van inzage, correctie en verzet

Betrokkenen hebben het recht hun persoonsgegevens te allen tijde in te zien en waar nodig te corrigeren. Ook mogen ze verzet aantekenen tegen het gebruik van hun persoonsgegevens

Technische maatregelen

Naast organisatorische maatregelen verplicht de privacywetgeving tot het nemen van serieuze technische veiligheidsmaatregelen om bewust misbruik van gegevens door derden zoveel mogelijk te voorkomen. Daarbij valt te denken aan firewall, IDS/IPS-systemen en antivirus- en encryptievoorzieningen.

Organisatorische maatregelen

De (verwerkings)verantwoordelijke moet daarnaast allerlei organisatorische maatregelen treffen voor een rechtsgeldige verwerking van persoonsgegevens. Denk aan een goede documentatie van het privacybeleid. Wanneer persoonsgegevens worden verwerkt door een derde partij, dan moet met deze partij een vewerkersovereenkomst worden opgesteld. Ook moet je als schoolorganisatie een soort draaiboek hebben klaarliggen, mocht een datalek zich voordoen. Dit is overigens maar een kleine greep uit de te nemen maatregelen.


Hoe helpt Heutink ICT?

Heutink ICT heeft eigen security officers die schoolorganisaties helpen om de privacy en digitale veiligheid van hun leerlingen en medewerkers te beschermen. Dat doen we niet met vage adviezen of dure consultancyuren, maar in 3 eenvoudig stappen en een kant-en-klare turn-key oplossing:

Stap 1: Beleid analyseren

De eerste stap richting een privacy-beschermende inrichting van de schoolorganisatie is een analyse van het huidige privacybeleid. Dat doen we aan de hand van de zogenoemde GAP-analyse die € 599,- kost. De school krijgt een intakegesprek met de security specialist van Heutink ICT waarin we een inventarisatie maken van de te treffen maatregelen. Het huidige privacy-en ICT-gebruiksbeleid wordt ook onder de loep genomen.

Stap 2: Beleid bepalen

Na de analyse van het huidige beleid is het noodzakelijk om passende technische- en organisatorische maatregelen te treffen. U kunt kiezen om het beleid uit te laten voeren door Heutink ICT (stap 2a), zelfstandig uit te voeren met behulp van YourSafetynet (stap 2b) of zelf aan de slag te gaan met de aanbevelingen uit het rapport (stap 2c). In dat geval staat u voor de keuze om alles zelf te regelen of een andere partij in te schakelen.

Stap 3: Beleid borgen

Om van deze borgingsfase een actief beleid te maken, biedt Heutink ICT een onderhoudscontract. U kunt dan altijd terugvallen op onze security specialisten. Bovendien komen we jaarlijkse langs voor een audit en voortgangsrapportage waarmee u direct weet waar de zwakke plekken in uw informatiebeveiliging zitten en welke maatregelen u moet nemen.



Is jouw organisatie GDPR-compliant? 

Vraag een intakegesprek aan!

  • *
  • *
  • *
  • *