Op de IPON 2016 presenteerde Joni Wagner op beide dagen 'Voorproefje Privacy goed geregeld'. Exclusief voor het onderwijs heeft zij een Privacy training ontwikkeld. In verband met de aangescherpte Wet Bescherming Persoonsgegevens stelde zij de aanwezigen een aantal vragen. Hoe is het bij u op school geregeld? Joni verzorgt een aantal workshops, u vindt deze op de site van SLBdiensten.nl. Wij zijn in de veronderstelling dat dit voor elke school een bruikbare workshop is!
3. Artikel 10 van de Grondwet
1. Ieder heeft, behoudens bij of krachtens de wet te stellen
beperkingen, recht op eerbiediging van zijn persoonlijke
levenssfeer.
2. De wet stelt regels ter bescherming van de persoonlijke
levenssfeer in verband met het vastleggen en
verstrekken van persoonsgegevens.
3. De wet stelt regels inzake de aanspraken van personen
op kennisneming van over hen vastgelegde gegevens en
van het gebruik dat daarvan wordt gemaakt, alsmede op
verbetering van zodanige gegevens.
4. Van grondwet naar praktijk
Huidig:
• Europese Privacy richtlijn
• Vertaling in Wet bescherming persoonsgegevens (Wbp)
• Meldingplicht datalekken, ingangsdatum 1 januari 2016
In ontwikkeling:
• Europese Algemene Verordening Gegevensbescherming – concept
5. Wbp - rollen
Betrokkene Verantwoordelijke Bewerker
de natuurlijke persoon
over wie de gegevens
worden verzameld. Bij
kinderen onder de 16
jaar beslissen de
ouders/voogd
directie/bestuur van de
organisatie die de
gegevens verzamelt
de organisatie die
namens de
verantwoordelijke de
gegevens bewerkt
Context school:
Leerlingen,
personeelsleden
Context school:
Bevoegd gezag
Context school:
Leveranciers van ICT
systemen
6. Wbp – vereisten verantwoordelijke
Nieuw ICT middel:
1. Omschrijf het doel van de verwerking van persoonsgegevens
2. Bepaal welke gegevens van welke personen nodig zijn om het doel
te bereiken
3. Onderzoek welke wettelijke grondslag van toepassing is
4. Is er sprake van bijzondere gegevens, check of deze verwerkt mogen
worden
5. Sluit een bewerkersovereenkomst met de leverancier
6. Meld de verwerking bij de Autoriteit Persoonsgegevens, uitzondering
Vrijstellingsbesluit
7. Wbp – vereisten verantwoordelijke
Belang
school
Belang
betrokkene
Zorgtaken
Goede begeleiding
Goed onderwijs
Duidelijk wat,
waarom en op
welke wijze
Niet meer dan
noodzakelijk
8. Vraag 1
• Welke school stelt privacy eisen bij de inkoop
van ICT?
9. Beter voorkomen dan genezen
• Vooraf stilstaan bij privacyaspecten – privacy by design
• Makkelijker om vooraf maatregelen te nemen, dan achteraf
schade – ook in reputatie – repareren
• Weten wat de systemen doen: voor afweging én transparantie
• Privacy Impact Assessment -> ook in Algemene Verordening
Gegevensbescherming
• Schatting van concrete risico’s en gevolgen
• Maatregelen ter verlaging of verminderen van impact daarvan
10.
11. Convenant Digitale Onderwijsmiddelen en Privacy
1. Convenant zelf: wat vinden we goed gedrag?
2. Model bewerkersovereenkomst: te vertalen naar
afspraken tussen een specifieke school en een
specifieke leverancier
3. Bijlage: privacy bijsluiter – hoe omgang met privacy
4. Bijlage: technische en organisatorische
beveiligingsmaatregelen – hoe specifiek geregeld
12. Technische en organisatorische beveiligingsmaatregelen
• Hoe alleen bevoegd personeel toegang? Welke
handelingen mogen zij verrichten?
• Hoe bescherming tegen onopzettelijke of onrechtmatige
vernietiging, onopzettelijk verlies of wijziging, onbevoegde
of onrechtmatige opslag, verwerking, toegang op
openbaarmaking?
• Hoe controle op zwakke plekken in systemen?
• Hoe rapportage aan verantwoordelijke?
• Hoe beveiligingsincidenten melden?
15. Informatieplicht verantwoordelijke
• Voor het moment van verkrijging van
persoonsgegevens van de betrokkene
• Nadere informatie over de verwerking voor
zover dat ‘nodig is om tegenover de betrokkene
een behoorlijke en zorgvuldige verwerking te
waarborgen’
17. Vraag 4
• Welke school heeft een klachten- en/of
inzageprocedure?
18. Workshop Privacy goed geregeld!
Interesse in deelname aan volledige workshop?
Data:
• Dinsdag 15 maart (Zwolle)
• Woensdag 23 maart (Amsterdam)
• Woensdag 6 april (Utrecht)
• Dinsdag 24 mei (Eindhoven)
• Inschrijven via de website van APS IT-diensten of slb diensten.