Algemene verordening Gegevensbescherming AVG 25 – 06 – 2018
Wat betekent dit voor onderwijs? Wat betekent dit voor u? Inhoud Algemeen AVG Wat betekent dit voor onderwijs? Wat betekent dit voor u? Wat betekent dit voor de leerling?
Algemeen AVG Van toepassing 25 mei 2018 Vervanging Wet bescherming persoonsgegevens Verandert het juridisch kader Wbp Introduceert aanzienlijke boetes Implicaties voor alle organisaties
AVG algemeen 25 mei 2018: Na 25 mei 2018 FG benoemd + gemeld bij Autoriteit Risicoanalyse Op hoofdlijnen een plan van aanpak Het hoeft niet op 25 mei “af” te zijn Coulance van de AP Na 25 mei 2018
Wat betekent dit voor onderwijs? Risicoanalyse en Plan van Aanpak Benoemen of aanstellen Functionaris gegevensbescherming Beleid Data Protection Impact Assessment (DPIA) Beschrijven processen / procedures Verwerkingsregisters Protocol datalekken
Wat betekent dit voor u? FG functie Data Protection Impact Assessment (DPIA) Beleid Procedures / protocollen Registers Overig
Wat betekent dit voor de leerling? Recht op inzage, wijzigen en verwijderen van persoonsgegevens Recht op het opvragen en ontvangen van uitgebreide informatie Recht op dataportabiliteit Recht op het ontvangen van informatie over beleid, procedures, verwerkingsregisters etc. Recht van toestemming
FG functie Aanwijzen of benoemen en registratie bij de Autoriteit Aanspreekpunt en informeren Onafhankelijk Rol van “interne toezichthouder” Intern adviseur (gevraagd/ongevraagd) Rapporteur opdrachtgever, RvT en externe instanties Ronde langs teams en stakeholders, informeren en bewustmaking Periodieke risicoanalyse op basis van data protection impact assessments (DPIA / PIA) FG is een compleet nieuwe functie
Beleid actualiseren Privacybeleid (bijvoorbeeld: IBP) Privacyverklaring Autorisatiematrix eis vanuit AVG ICT Etc.
Procedures/protocollen Privacyverklaring, gegevens sollicitanten, nieuwe medewerkers, bestaande medewerkers, gegevens leerlingen, gegevens ouders, beeld- en geluidsmateriaal, sociale mediabeleid, etc. Protocol datalekken
Registers Verwerkingsregister persoonsgegevens Register verzoeken van betrokkenen (inzageverzoeken, verwijderingsverzoeken, etc.) Register datalekken en beveiligingsincidenten Overzicht procedures en werkinstructies "AVG-proof" checklist vastleggen Beheer van ketenpartners, systemen en verwerkersovereenkomsten
AVG in 10 stappen 1. Verantwoordelijke personen benoemen 2. Inventariseren verwerkingen van persoonsgegevens 3. Data privacy impact assessment (DPIA) 4. Dataminimalisatie toepassen 5. Aanleggen registers
AVG in 10 stappen 6. Beveiligingsbeleid opstellen of actualiseren 7. Hulpmiddelen selecteren voor ondersteuning AVG-onderdelen 8. Huidige privacybeleid actualiseren 9. Protocol datalekken opstellen 10. Registreren verwerkersovereenkomsten
1ste stap in het AVG-verandertraject Bewustwording
Situatie op school, wat heb je allemaal…
(Jaarlijks) een risicoanalyse … Waarom? Het geeft inzicht en overzicht Een risicoworkshop laat je nadenken Jaarlijks…? Ja, om de effectiviteit van de maatregelen te beoordelen en nieuwe ontwikkelingen te beoordelen.
Vragen?
Het bewustwordingstraject is begonnen. Bedankt