Opleiding Aanspreekpunt Informatieveiligheid

Slides:



Advertisements
Verwante presentaties
Privacywetgeving - toegang tot het schooldossier
Advertisements

Toepassing van de privacywet en andere reglementering bij het gebruik van adresinformatie Katleen Janssen ICRI – K.U.Leuven.
relevante wetgeving en achtergrondinformatie
Verhoor door AIG Uw rechten en plichten
Inkomenstarief en kindcode voor ouders en opvang 22 november 2013
Beroepsgeheim in de Bijzondere Jeugdbijstand Antwerpen, 14 oktober 2008 Beroepsgeheim: we zwijgen erover?! Axel Liégeois K.U.Leuven – Broeders van Liefde.
auteursrechtprivacyarchiefwet Krant: Krant: – Een krant publiceren is een economische transactie met bijzondere eigenschappen: Nieuwsberichten zijn extreem.
De juridische context van de digitale factuur.
Een zorgsysteem voor betere arbeidsomstandigheden
E-invoicing – Juridische spelregels Korneel Decroix/Wouter Claes Advocaten Algemene titel/welkomslide.
Persoonsgegevens en de Wbp
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
Vlaams Agentschap voor Personen met een Handicap1 Minimale kwaliteitseisen voor multidisciplinaire teams provinciale informatiesessie.
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
Gids door Doccle Doccle. De Cloud 2 1.Wat is de Cloud? 2.Voordelen van de Cloud 3.Nadelen van de Cloud 4.Doccle is geen cloudapplicatie.
PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € ,-  Toezichthouder: Autoriteit Persoonsgegevens.
De rechten en Verantwoordelijkheden in Jean-Marc Van Gyseghem
Gij zult openbaren: privacy en de open overheid
Datacenter versus Cloud
Opleiding Hiërarchische lijn Onthaalbeleid
28 september 2017.
Vraag en antwoord Datum: 28 september 2017.
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
Stichting van de Arbeid
Juridische aspecten van een webshop
INFORMATIEBEVEILIGING EN pRIVACY Borgesiusstichting
Autoriteit Persoonsgegevens Toezicht onder de AVG
DAGINDELING (Elke sessie duurt ca. 1,5 uur)
DAGINDELING (Elke sessie duurt ca. 1,5 uur)
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
HR in tijden van GDPR/AVG – 6 februari 2018 – VAC Gent
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
Een website. Wat komt daar eigenlijk allemaal bij kijken
In 7 stappen uw organisatie klaar voor AVG
GDPR online GDPR sessie
Regeling structureel telewerk Dirk Laerte & Matthias Roman
Presentatie ‘Privacy & CRM’
Algemene Verordening Gegevensbescherming youtube
Mw. mr. S. (Sanne) Kleerebezem
Algemene verordening gegevensbescherming
Hergebruik van overheidsinformatie
Algemene Verordening Gegegevensbescherming (AVG)
Privacy en Leerplicht/RMC
Wet op de gegevensbescherming
Mr. I.W. van Osch 360|Advocaten
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
Na vanavond: weet u wat de GDPR inhoudt; weet u wat de GDPR betekent voor uw vereniging en voor uzelf; kunt u aan de slag met het dataregister en.
AVG, wat moet ik ermee?.
Privacy: Over de grenzen van big data verzamelen, gebruiken en delen bij fraude en criminaliteitsbestrijding. En de gevolgen van de nieuwe AVG Bart van.
Volmacht data goud waard: De grenzen aan het gebruik van persoonsgegevens Bart van der Sloot Tilburg Institute for Law, Technology, and Society (TILT)
GDPR/AVG General Data Protection Regulation /
De nieuwe privacyverordening
Privacy en Leerplicht/RMC
LOP Antwerpen Basisonderwijs 03/02/2016
Privacy Wat moet je weten van de nieuwe privacyverordening
Gemeente Katwijk. Annerine Blufpand Periklesinstituut
Handleiding VVLE template verwerkingsregister
Functionaris Gegevensbescherming a.i Gemeente Katwijk
Privacy en bescherming persoonsgegevens 2018
Algemene verordening Gegevensbescherming AVG
GDPR.
Wim Van Holder.
DE AVG EN DE RECHTEN VAN DE BETROKKENE - RECHT VAN TOEGANG
Nils Broeckx Advocaat Dewallens & partners
het Naoberhuis Algemene Verordening Gegevensbescherming
IBP en AVG, wat moet wij er op school mee?
Passende technische en organisatorische beveiliging:
Transcript van de presentatie:

Opleiding Aanspreekpunt Informatieveiligheid 26 januari 2017 Opleiding Aanspreekpunt Informatieveiligheid gino.demeester@katholiekonderwijs.vlaanderen bert.cauwenberg@katholiekonderwijs.vlaanderen peter.declerck@katholiekonderwijs.vlaanderen GELIEVE HET TOELATINGSFORMULIER IN TE VULLEN EN AF TE GEVEN BIJ HET BEGIN AUB !  Gino De Meester

Informatieveiligheid 26 januari 2017 “Disclaimer” Instellingen / schoolbesturen met veel vragen Gevolgen i.d. praktijk? Organisatie i.d. praktijk Middelen / uren ter beschikking stellen Opleiding voor AIV – ondersteuning vanuit dienst Bestuur & Organisatie Wetgeving is nuttig, nodig en doordacht; mentaliteitswijziging is aangewezen; maar ze “komt niet van ons” … Gino De Meester

Informatieveiligheid 26 januari 2017 DAGINDELING (Elke sessie duurt ca. 1,5 uur) Inleiding De wetgeving praktisch & in een notendop Vragenronde Case studies Een inventaris van persoonsgegevens en een risicoanalyse opstellen voor uw school Gino De Meester

Informatieveiligheid 26 januari 2017 INLEIDING Gino De Meester

Informatieveiligheid 26 januari 2017 Wat is / doet een AIV? Affiniteit met ICT, persoonsgegevens ICT, preventieadviseur, directie bijstaan inzake informatieveiligheid en privacy In orde stellen met nieuwe wetgeving, uiterlijk tegen 25 mei 2018 Meewerken aan sensibilisering Allerhande vragen en problemen inzake informatieveiligheid en privacy oplossen Beheer van toestemmingen Wat te doen bij en opvolging datalekken Wil niet zeggen dat AIV dit alleen moet doen … Gino De Meester

Informatieveiligheid 26 januari 2017 Opleidingstraject Verdere sessies (en reeksen) Te vinden op nascholing.be: “aanspreekpunt” http://nascholing.be/2017-2018/index.aspx?modID=2248107 Gino De Meester

Informatieveiligheid 26 januari 2017 Opleidingstraject 2017-2018: 3 volledige dagen Wetgeving + waarom / Voorbereidingen In regel met administratieve verplichtingen Interne en externe communicatie 2018-2019: vervolgtraject Sensibilisering / interne opleiding personeel Best practices inzake (betere) beveiliging Opvolging, (zelf)auditing, … Gino De Meester

Informatieveiligheid 26 januari 2017 MATERIAAL Syllabus Notitie nemen bij presentaties Bijkomende documentatie Vervolg i.d. reeks  meebrengen aub Sessie 3 & 4: laptop is aangewezen Portaal Tijdelijk! http://opleiding-aiv.weebly.com/ http://www.privacyopschool.be Originele presentaties Digitale versies van documentatie en bijlagen Gino De Meester

AVG in een notendop Toegepast op scholen

Informatieveiligheid 26 januari 2017 Bronnen http://www.privacy-regulation.eu/nl/ https://www.privacycommission.be/ https://www.kennisnet.nl/organiseren-ict/informatiebeveiliging-privacy-ibp/ Gino De Meester

Informatieveiligheid 26 januari 2017 Algemene principes “ Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens. Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens. ” [NOTITIES PAG, 7 E.V.] Artikel 1 Gino De Meester

Informatieveiligheid 26 januari 2017 Toepassingsbereik Niet voor huishoudelijk gebruik (art. 2) Identificeerbare gegevens van natuurlijke personen (art. 4) Verwerking met het oog op opslag (art. 2) Losse post-it’s versus fichebak of geordende kaft Verzamelen (vragen) is ook verwerken Gino De Meester

Informatieveiligheid 26 januari 2017 Gegevens van wie? Gegevens over en van natuurlijke personen (art. 1) Die opgeslagen worden in een bestand (art. 2 en 4) Bestand: bevat een structuur Alles op elektronisch toestel / locatie Maar bv. ook fichebak Alle EU-burgers (art. 3) Ongeacht waar gegevens bewaard worden Activiteiten: enkel indien die zich voordoen in EU Ook niet-EU-burgers (art. 3) Indien gegevens bewaard in EU Gino De Meester

Informatieveiligheid 26 januari 2017 Algemene principes Rechtmatig, behoorlijk en transparant Doelbinding Data minimalisatie Juistheid opslagbeperking integriteit en vertrouwelijkheid De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving ervan en kan deze aantonen Gino De Meester

Informatieveiligheid 26 januari 2017 Wie speelt een rol? Betrokkene Verwerkingsverantwoordelijke Verwerker (Art. 4) Gino De Meester

Informatieveiligheid 26 januari 2017 Wat is verwerken? Verzamelen, vragen Bewaren Raadplegen Analyseren Aanpassen Verwijderen Archiveren Doorgeven …  met de bedoeling om de gegevens in een bestand op te nemen (Art. 4, definitie 2) Gino De Meester

Welke gegevens mag je verwerken? Informatieveiligheid 26 januari 2017 Welke gegevens mag je verwerken? GRONDSLAGEN [NOTITIES PAG. 10 E.V.] Gino De Meester

Informatieveiligheid 26 januari 2017 Gino De Meester

Informatieveiligheid 26 januari 2017 Verwerking van persoonsgegevens dient altijd te gebeuren met inachtneming van een rechtmatigheid (een grondslag). Art. 6 Gino De Meester

Grondslagen voor de verwerking (art. 6) Informatieveiligheid 26 januari 2017 Grondslagen voor de verwerking (art. 6) Enkel met toestemming In het kader van een overeenkomst die aangegaan werd Indien je een wettelijke verplichting moet nakomen Als het gaat om vitaal belang Als het gaat om openbaar belang Als er een gerechtvaardigd belang is NIET: Gegevens met bijzondere bescherming (art. 9) . [NOTITIES PAG. 10 E.V. Gino De Meester

3. Wettelijke verplichting Informatieveiligheid 26 januari 2017 3. Wettelijke verplichting Voorbeelden (leerlingen) Heeft moeder diploma / getuigschrift secundair? (decreet Gelijke OnderwijsKansen) Identificatie leerling: AgODi Naamgegevens, adres, aanwezigheden: verificateur Zorggegevens, gezinssituatie: CLB BuO / BuSO: multidisciplinair team Loopbaan en identiteit personeelslid: Agodi (werkstation) en SG Gino De Meester

3. Wettelijke verplichting Informatieveiligheid 26 januari 2017 3. Wettelijke verplichting Voorbeelden (pedagogische begeleiding) Loopbaan, i.h.b. beginnende leerkrachten of specifieke opdracht Gino De Meester

2. In het kader van een overeenkomst Informatieveiligheid 26 januari 2017 2. In het kader van een overeenkomst Inschrijven van een leerling Ondertekenen schoolreglement Les geven Leerlingadministratie Leerling volgen Leerling evalueren Gino De Meester

2. In het kader van een overeenkomst Informatieveiligheid 26 januari 2017 2. In het kader van een overeenkomst Aannemen van een personeelslid Ondertekenen arbeidsovereenkomst Te werk stellen Identificatie Loopbaan Loonadministratie Gino De Meester

2. In het kader van een overeenkomst Informatieveiligheid 26 januari 2017 2. In het kader van een overeenkomst Bijkomende voorbeelden: Noodtelefoon: nabewaking / secretariaat Klas, identiteit > uitgeverij voor bv. login op digitaal platform Vgl. voor deze nascholing: Algemene opsomming  informatie die nodig is om nascholingen te organiseren, geven en op te volgen Gino De Meester

Informatieveiligheid 26 januari 2017 1. Enkel met toestemming Vooraf te geven Hangt samen met duidelijk(e) omschreven doel(en) Actieve handeling & aantoonbaar Ten allen tijde intrekbaar > 16: zelf < 16 of niet-bekwaam: ouder(s) of voogd Leeftijdsgrens voor BE nog niet definitief… Sowieso tussen 13 en 16 (Art. 7) (Art. 8) Gino De Meester

Informatieveiligheid 26 januari 2017 1. Enkel met toestemming Toestemmingsformulier / -strookje (art. 4, def. 11) Niet meer “stilzwijgend” Vinkje of dergelijke zetten, opgesplitst naar doel toe, bv. in een rooster (art. 7, lid 2) Naam / contactgegevens op website Foto op afgeschermd platform Foto op website Foto op Facebook … Te ondertekenen – bijhouden (art. 7, lid 1) [SPECIMEN PAG. 24] Gino De Meester

Informatieveiligheid 26 januari 2017 4. Vitaal belang Omwille van dwingende nood (levensbedreigende situaties) Cf procedure(s) Preventie(verantwoordelijke) Dan mag informatie wel doorgegeven worden Epilepsieaanval, diabetes, … Gino De Meester

Informatieveiligheid 26 januari 2017 5. Openbaar belang Voorbeeld Epidemie (TBC, meningitis) Gino De Meester

6. Gerechtvaardigd belang Informatieveiligheid 26 januari 2017 6. Gerechtvaardigd belang De verwerking van gegevens is nodig omdat de activiteit anders niet uitvoerbaar is. Welke gegevens heb je nodig om de praktische werking te kunnen garanderen op school? Verwerkingen die voor de bedrijfs-continuïteit essentieel zijn. Gino De Meester

6. Gerechtvaardigd belang Informatieveiligheid 26 januari 2017 6. Gerechtvaardigd belang Voorbeelden Gegevens voor (digitale) leermiddelen (zodat er kan worden gewerkt met hetzelfde boek in de klas) CLB-dossier versus Schooldossier (art. 9, lid 1, punt h) “Kringen van vertrouwelijkheid” (betekent dat er een beperking is op het aantal personen dat toegang heeft tot de gegevens) Beveiligingslagen Dit is een beleidskeuze / beleidsmaterie ! [NOTITIES PAG. 13] Gino De Meester

CLB- versus schooldossier Informatieveiligheid 26 januari 2017 CLB- versus schooldossier CLB-dossier Schooldossier Beroepsgeheim Ambtsgeheim [NOTITIES PAG. 14] § 3.6.2 Gino De Meester

CLB- versus schooldossier Informatieveiligheid 26 januari 2017 CLB- versus schooldossier CLB-dossier Schooldossier Beroepsgeheim Meest gevoelige info (gezin, medisch, zorg, …) Geen toegang personeel school Discretieplicht Enkel info, nodig om les te geven & leerling op te volgen Eventueel leestoegang personeel CLB (Enkel lln. onder hun begeleiding) [NOTITIES PAG. 14] § 3.6.2 Gino De Meester

“Kringen van vertrouwelijkheid” Informatieveiligheid 26 januari 2017 “Kringen van vertrouwelijkheid” Ouder(s) Leerkrachten & secretariaat Leerling zelf Derden Leerkrachten met les aan ll Verlofstelstels Extern(e partijen) Tucht (“prefect”) Zorg Leerlingen-begeleiding [NOTITIES PAG. 14] § 3.6.3 (Directie) CLB (Zorg) ICT ? Gino De Meester

Omgaan met gevoelige info Informatieveiligheid 26 januari 2017 Omgaan met gevoelige info Belang van de leerling dienen Samenspraak met leerling / ouders Personeelsleden: discretieplicht Arbeidsreglement, maar geldt ook na vertrek CLB-medewerkers: beroepsgeheim Externe begeleiding: Statuut? Desgevallend overeenkomst sluiten… [NOTITIES PAG. 15] § 3.6.4 Gino De Meester

Omgaan met gevoelige info Informatieveiligheid 26 januari 2017 Omgaan met gevoelige info Privacywetgeving steeds van toepassing (art. 9, lid 4) Extra bescherming: minderjarigen GEB (gegevensbeschermingseffectbeoordeling): Verplicht voor CLB (art. 35) Scholen: verplicht voor LVS (Privacy Commissie) (aanbeveling met betrekking tot de gegevensbeschermingseffectbeoordeling) [NOTITIES PAG. 15] § 3.6.4 Gino De Meester

Informatieveiligheid 26 januari 2017 Bijzondere gegevens Mogen in principe NIET verwerkt worden !!! (art. 9) Gevoelige gegevens Rijksregisternummer (art 87) Strafrechterlijke informatie Niet van toepassing voor onderwijs (Uittreksel strafregister is iets anders!) [NOTITIES PAG. 16] Gino De Meester

Informatieveiligheid 26 januari 2017 Gevoelige gegevens Niet !!! verwerken, tenzij: Uitdrukkelijke toestemming voor een een welbepaald doel (art. 9, lid 2, punt a) Niet oplijsten [NOTITIES PAG. 16] Gino De Meester

Informatieveiligheid 26 januari 2017 Gevoelige gegevens Raciaal / etnische afkomst Politieke overtuiging Levensbeschouwelijke aspecten Lidmaatschap vakvereniging (vakbond) Genetische of biometrische gegevens Medische informatie Seksuele geaardheid of voorkeur [NOTITIES PAG. 16] Gino De Meester

Informatieveiligheid 26 januari 2017 Medische informatie Expliciete toestemming nodig Zelf periodiek bijwerken / verwijderen Voorbeelden (leerlingen) (Tijdelijk) verminderde mobiliteit Allergie Medicatie Epilepsie, diabetes, … [NOTITIES PAG. 16] – § 3.7.3. Gino De Meester

Informatieveiligheid 26 januari 2017 Rijksregisternummer Is wettelijk beschermd; machtiging nodig (wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen) Beheer: Vlaamse Toezichtscommissie (VTC) Er moet een veiligheidsplan en een –consulent aangesteld zijn Schoolinstellingen gemachtigd om: Doorgeven aan AgODi (mag leerling weigeren) Controle door verificateur Opvraging schoolloopbaan door overheid Dus niet gemachtigd om: (interne) identificatie / pseudonimisering TIP: gebruik WISA of stamboeknummer [NOTITIES PAG. 17] – § 3.7.4. Gino De Meester

Hoe moet je gegevens correct verwerken? Informatieveiligheid 26 januari 2017 Hoe moet je gegevens correct verwerken? VOORWAARDEN [NOTITIES PAG. 18 E.V.] Gino De Meester

Informatieveiligheid 26 januari 2017 “Accountability” Verantwoordingsplicht (art. 5) Een van de centrale principes Communiceren, informeren IVPB opstellen (InformatieVeiligheid- en PrivacyBeleid) Register kunnen voorleggen (art. 30) Sommige gevallen: GEB (art. 35, lid 4 en 5) (GegevensbeschermingsEffectBeoordeling - Data Protection Impact Assessment) [NOTITIES PAG. 18 E.V.] – § 4.0.1 Gino De Meester

Informatieveiligheid 26 januari 2017 Hoe? => zorgen voor: Rechtmatigheid en transparantie (art. 5, lid 1, punt a) Steeds in overeenstemming met het doel (art. 5, lid 1, punt b) Proportioneel (art. 5, lid 1, punt c) Juistheid en integriteit (art. 5, lid 1, punt d) Opslagbeperking (art. 5, lid 1, punt e) Beveiliging waarborgen (art. 5, lid 1, punt f) [NOTITIES PAG. 18 E.V.] – § 4.0.2 (Art. 5) Gino De Meester

Rechtmatigheid en transparantie Informatieveiligheid 26 januari 2017 Rechtmatigheid en transparantie Rechtmatigheid Enkel gegevens die je nodig hebt Cf. grondslagen (6) / doelbinding Moet je verantwoorden Transparantie Communicatie met betrokkenen Kennisgeving (1 keer) Aanpassingen, wijzigingen, …  melden / vragen Moet in begrijpelijke taal [NOTITIES PAG. 19] Gino De Meester

Informatieveiligheid 26 januari 2017 Doelbinding Steeds verantwoorden waarom je verwerkt Voorbeelden (doelen): Financiële gegevens  facturatie Leerlingenadministratie Leerlingen volgen Leerlingen evalueren Kleding/schoenmaat [NOTITIES PAG. 19] Gino De Meester

Informatieveiligheid 26 januari 2017 Doelbinding Steeds verantwoorden waarom je verwerkt Voorbeelden (doelen): Financiële gegevens  facturatie Leerlingenadministratie Leerlingen volgen Leerlingen evalueren Kleding/schoenmaat  werkplekleren [NOTITIES PAG. 19] Gino De Meester

Informatieveiligheid 26 januari 2017 Doelbinding Steeds verantwoorden waarom je verwerkt Voorbeelden (doelen): Financiële gegevens  facturatie Leerlingenadministratie Leerlingen volgen Leerlingen evalueren Kleding/schoenmaat  werkplekleren Allergie of dergelijke [NOTITIES PAG. 19] Gino De Meester

Informatieveiligheid 26 januari 2017 Doelbinding Steeds verantwoorden waarom je verwerkt Voorbeelden (doelen): Financiële gegevens  facturatie Leerlingenadministratie Leerlingen volgen Leerlingen evalueren Kleding/schoenmaat  werkplekleren Allergie of dergelijke  opvang, reis [NOTITIES PAG. 19] Gino De Meester

Informatieveiligheid 26 januari 2017 Proportioneel Enkel gegevens die strikt nodig zijn voor Doelbinding Nakomen overeenkomst “Nice to know” / “Need to know” Voorbeeld Diploma moeder, vader [NOTITIES PAG. 20] Gino De Meester

Informatieveiligheid 26 januari 2017 Juistheid Ten allen tijde up-to-date en juist (bv. gegevens aanpassen na het ontvangen van een adreswijziging) Procedures / afspraken & audit nodig (?) (is een verplichting bij medische informatie) Cf. recht op inzage [NOTITIES PAG. 20] Gino De Meester

Informatieveiligheid 26 januari 2017 Opslagbeperking Per gegeven dat je verwerkt moet je vastleggen (en informeren): Doelbinding Tijdsduur Welke groepen toegang hebben Beveiligingsmaatregel(en) [NOTITIES PAG. 20 & 21] Gino De Meester

Informatieveiligheid 26 januari 2017 Opslagbeperking Beperking in de tijd Hoe lang worden de gegevens verwerkt Worden ze daarna gearchiveerd of verwijderd Gearchiveerd: voor hoe lang Verwijderen in databank … [NOTITIES PAG. 20 & 21] Gino De Meester

Informatieveiligheid 26 januari 2017 Opslagbeperking Anonimiseren Identiteit kan onmogelijk terug achterhaald worden (anonimiseren voor statistische of onderzoeksdoeleinden) Pseudonimiseren (bv. met een nummer) Code/sleutel zorgt ervoor dat personen niet rechtstreeks achterhaald kunnen worden Code/sleutel moet apart bijgehouden en extra beveiligd worden (bv. encryptie) Sleutelbeheer (en beveiliging) moet gedocumenteerd worden [NOTITIES PAG. 20 & 21] Gino De Meester

Informatieveiligheid 26 januari 2017 Opslagbeperking Voor leerlingengegevens Wettelijke bewaartermijnen leerlinggebonden documenten: http://data-onderwijs.vlaanderen.be/edulex/document.aspx?docid=13572 Omzendbrief Bewaartermijn van leerlinggebonden documenten Gedurende schoolloopbaan op die instelling Gestart schooljaar “uitdoen” Oud-leerlingen (bv. contactgegevens)  toestemming vragen [NOTITIES PAG. 20 & 21] Gino De Meester

Informatieveiligheid 26 januari 2017 Opslagbeperking Voor personeelsgegevens Wettelijke bewaartermijnen … Gedurende werkloopbaan op die instelling Langer bewaren  toestemming vragen Sollicitatiebrieven / CV’s (?) [NOTITIES PAG. 20 & 21] Gino De Meester

Beveiliging waarborgen Informatieveiligheid 26 januari 2017 Beveiliging waarborgen Organisatorisch Preventieadviseur Technisch ICT Voorbeelden: Fysieke beveiligingsmaatregelen (bv. sloten en alarm) Backups, encryptie “Privacy by design” (bv. login en encryptie) en “Privacy by default” (bv. starten met minimale rechten) Two-factor authentication (bv. wachtwoord en vingerafdruk) [NOTITIES PAG. 21] Gino De Meester

Rechten van de betrokkene Informatieveiligheid 26 januari 2017 Rechten van de betrokkene [NOTITIES PAG. 22 E.V.] Gino De Meester

Rechten van de betrokkene (vervolg) Informatieveiligheid 26 januari 2017 Rechten van de betrokkene (vervolg) Toestemming geven en ten allen tijde kunnen intrekken (art. 7, lid 3) Inzagerecht (kennisnemen) (art. 15) Verschil met kennisgeving Verbeteren / betwisten gegevens (art. 16) Recht om vergeten te worden (art. 17) [NOTITIES PAG. 22 E.V.] Gino De Meester

Toestemmingen (herhaling) Informatieveiligheid 26 januari 2017 Toestemmingen (herhaling) Vooraf te geven + Actieve handeling Hangt samen met duidelijk omschreven doel(en) Leeftijdsgrens 16 (en bekwaam) Sowieso tussen 13 en 16 Aantoonbaar D.w.z. bijhouden Digitaal kan ook! [NOTITIES PAG. 22 – SPECIMEN § 5.1.5 PAG. 24] Gino De Meester

Enkele praktijkvoorbeelden Informatieveiligheid 26 januari 2017 Enkele praktijkvoorbeelden Foto’s en beeldmateriaal: In principe: telkens apart Algemene toelating kan, maar: Splitsen waarvoor gebruikt (cf. doelbinding) Bijv. m.b.v. een rooster (ja / nee) Intern platform, website, Facebook, …  apart Gegevens van ouders delen Adres, telefoon, email Iedere ouder apart [NOTITIES PAG. 22 – SPECIMEN § 5.1.5 PAG. 24] Gino De Meester

Enkele praktijkvoorbeelden Informatieveiligheid 26 januari 2017 Enkele praktijkvoorbeelden Gegevens doorgeven aan derden Bv. tijdschrift, parochie (bv. communie), uitgevers, secundaire scholen, … Mag NIET Tenzij: Afzonderlijke (!) toestemming vragen Doel duidelijk vermelden (en dan ook enkel voor dat doel) [NOTITIES PAG. 23 – SPECIMEN § 5.1.5 PAG. 24] Gino De Meester

Enkele praktijkvoorbeelden Informatieveiligheid 26 januari 2017 Enkele praktijkvoorbeelden Gegevens personeel publiceren GSM: wel indien werknummer Email: mag, maar enkel werkadres, niet privé Foto’s: eigenlijk niet, zonder toestemming In overeenstemming met uit te oefenen taak [NOTITIES PAG. 23 – SPECIMEN § 5.1.5 PAG. 24] Gino De Meester

Intrekken toestemming Informatieveiligheid 26 januari 2017 Intrekken toestemming Kan ten allen tijde Schriftelijk Via email of andere elektronische weg Geldt niet “terugwerkend” ! Vanaf moment intrekking is verwerking niet meer toegelaten “Zonder onredelijke vertraging” Verwerkte gegevens van voor dat moment, dienen daarom niet verwijderd of teruggeroepen te worden [NOTITIES PAG. 23 – SPECIMEN § 5.1.5 PAG. 24] Gino De Meester

Niet geven toestemming Informatieveiligheid 26 januari 2017 Niet geven toestemming Er mag geen “dwang” zijn Enkel opnemen in schoolreglement (als “veronderstelling”) volstaat niet !! Inschrijving weigeren wegens niet geven van toestemming(en) mag niet !! [NOTITIES PAG. 23 – SPECIMEN § 5.1.5 PAG. 24] Gino De Meester

Inzagerecht (kennisnemen) Informatieveiligheid 26 januari 2017 Inzagerecht (kennisnemen) Gegevens opvragen Identificatie, contact, punten, LVS, … Cf. leeftijdsgrens Vanaf 16 leerling zelf, anders ouders Kan op eender welk moment Moet binnen bewaartermijn Als school te bepalen (uitz. wettelijk vereist) Moet wel vooraf gecommuniceerd zijn [NOTITIES PAG. 25] Gino De Meester

Inzagerecht (kennisnemen) Informatieveiligheid 26 januari 2017 Inzagerecht (kennisnemen) Mag geanonimiseerd worden, bv. LVS (namen van leerkrachten en/of andere leerlingen) Mag niet “geschrapt” worden Binnen 1 maand Mits motivatie, 2 maanden extra Kan geweigerd worden (bv. bij gescheiden ouders) Motiveren Betwisting: Privacy Commissie [NOTITIES PAG. 25] Gino De Meester

Inzagerecht (kennisnemen) Informatieveiligheid 26 januari 2017 Inzagerecht (kennisnemen) Kosten aanrekenen kan Bijkomende kopie(ën) – 1 kopie sowieso gratis Moet billijk / in verhouding zijn Cf. externen die gegevens verwerken Zie verder [NOTITIES PAG. 25] Gino De Meester

Verbeteren / betwisten gegevens Informatieveiligheid 26 januari 2017 Verbeteren / betwisten gegevens Updaten, verbeteren, schrappen bepaalde gegevens Kosteloos Indien door verwerker zelf, of andere betrokkenen Alle betrokkenen moeten ingelicht worden Kan niet indien in strijd met een (andere) wetgeving of decreet (bv. om punten te veranderen, om afwezigheden te betwisten, …) [NOTITIES PAG. 26] Gino De Meester

Recht om vergeten te worden Informatieveiligheid 26 januari 2017 Recht om vergeten te worden Niet langer nodig Onrechtmatigheid “Zonder onredelijke vertraging” Definitief verwijderen Voorbeelden Mailinglijsten Afstuderende leerling Kan nooit voor een leerling /personeelslid, nog op de school [NOTITIES PAG. 26] Gino De Meester

Informatieveiligheid 26 januari 2017 Uitoefenen rechten Moet men schriftelijk aanvragen Communicatie misschien efficiënt via email Cf. transparante en eenvoudige communicatie Suggestie: privacy@instelling.be privacy@schoolbestuur.be (Ook als meldpunt datalekken gebruiken) [NOTITIES PAG. 26] Gino De Meester

Plichten van de verwerkings-verantwoordelijke Informatieveiligheid 26 januari 2017 Plichten van de verwerkings-verantwoordelijke [NOTITIES PAG. 27 E.V.] Gino De Meester

Informatieveiligheid 26 januari 2017 Gino De Meester

Plichten van de verwerkings-verantwoordelijke Informatieveiligheid 26 januari 2017 Plichten van de verwerkings-verantwoordelijke Kennisgeving Verschil met inzagerecht (kennisneming) Eerlijk beheer Beveiliging Cf. IVPB en register Voortdurend mee bezig zijn Best practices (volgen) [NOTITIES PAG. 27 E.V.] (Art. 5) Gino De Meester

Informatieveiligheid 26 januari 2017 Kennisgeving Welke gegevens je verwerkt, waarvoor (doelbinding) en hoe lang Moet éénmalig gecommuniceerd worden Kan via (bijlage bij) schoolreglement Ook informeren indien: Andere gegevens Voor een ander doel Ook indien door externe verwerkers Kenniswetgeving niet nodig indien wetgeving / decreet (wettelijke grondslag 3) [NOTITIES PAG. 27] Gino De Meester

Informatieveiligheid 26 januari 2017 Eerlijk beheer Bijwerken, verbeteren, verwijderen indien nodig of volgens eigen beleid Toegang beperken tot personen waar het echt voor nodig is Bijhouden in Register van verwerkings-activiteiten !!! [NOTITIES PAG. 27] Gino De Meester

Informatieveiligheid 26 januari 2017 Eerlijk beheer Betrokken personeel ook informeren en sensibiliseren Zie ook algemeen reglement: 1/09/2012 art. 7 lid 7 Zie ook arbeidsreglement: art. 6, lid 8 en 9 [NOTITIES PAG. 27] Gino De Meester

Informatieveiligheid 26 januari 2017 Beveiliging Uitvoeren risicoanalyse Gebaseerd op ISO 27000 / ITIL Bepalen eigen maatregelen Er aan houden Bijsturen en manier van werken aanpassen Cf. auditing [NOTITIES PAG. 28] Gino De Meester

Informatieveiligheid 26 januari 2017 Beveiliging Enkele voorbeelden Noodstroomvoorziening Backups Antivirus Wachtwoordbeleid (eventueel 2-factor) Encryptie Gebruikersrechtenbeleid [NOTITIES PAG. 28] Gino De Meester

Informatieveiligheid 26 januari 2017 Beveiliging Opletten voor Buiten gebruik gesteld materiaal (pc’s) Archief en backups onderhouden Cloud toepassingen / externe datacenters Duidelijke afspraken maken (op papier) Verwerkersovereenkomsten sluiten [NOTITIES PAG. 28] Gino De Meester

Plichten van de verwerkings-verantwoordelijke (vervolg) Informatieveiligheid 26 januari 2017 Plichten van de verwerkings-verantwoordelijke (vervolg) Ook verantwoordelijk voor VERWERKERS Externe partijen, platformen, leveranciers Verwerkersovereenkomst(en) afsluiten !!! KathOndVla & Go!  Intentieverklaring Moet niet indien wettelijke verplichting (wel opnemen in Register) [NOTITIES PAG. 28] Gino De Meester

Plichten van de verwerkings-verantwoordelijke (vervolg) Informatieveiligheid 26 januari 2017 Plichten van de verwerkings-verantwoordelijke (vervolg) Melden van datalekken Meldpunt voorzien Suggestie: privacy@instelling.be of privacy@schoolbestuur.be Van wie zijn welke gegevens (mogelijk) “gelekt” Niet nodig indien: Geanonimiseerd Gepseudonimiseerd (zonder sleutel) Geëncrypteerd [NOTITIES PAG. 29] Gino De Meester

Plichten van de verwerkings-verantwoordelijke (vervolg) Informatieveiligheid 26 januari 2017 Plichten van de verwerkings-verantwoordelijke (vervolg) Melden van datalekken Melden aan privacycommissie Betrokkenen informeren Indien persoonlijke rechten en vrijheden in gevaar Beleid opstellen  voorkomen Sensibiliseren [NOTITIES PAG. 29] Gino De Meester

Feedback: Privacy Policy Feedback
Over het project: SlidePlayer Gebruiksaanwijzing

© 2024 SlidePlayer.nl Inc. All rights reserved.