Privacy goed geregeld

Voorproefje Privacy goed geregeld! Workshop IPON 3 en 4 februari 2016

Artikel 10 van de Grondwet 1.  Ieder heeft, behoudens bij of krachtens de wet te stellen

beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.

2.  De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.

3.  De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.

Van grondwet naar praktijk Huidig: •  Europese Privacy richtlijn •  Vertaling in Wet bescherming persoonsgegevens (Wbp) •  Meldingplicht datalekken, ingangsdatum 1 januari 2016 In ontwikkeling: •  Europese Algemene Verordening Gegevensbescherming – concept

Wbp - rollen Betrokkene Verantwoordelijke Bewerker de natuurlijke persoon over wie de gegevens worden verzameld. Bij kinderen onder de 16 jaar beslissen de ouders/voogd

directie/bestuur van de organisatie die de gegevens verzamelt

de organisatie die namens de verantwoordelijke de gegevens bewerkt

Context school: Leerlingen, personeelsleden

Context school: Bevoegd gezag

Context school: Leveranciers van ICT systemen

Wbp – vereisten verantwoordelijke Nieuw ICT middel: 1.  Omschrijf het doel van de verwerking van persoonsgegevens 2.  Bepaal welke gegevens van welke personen nodig zijn om het doel

te bereiken 3.  Onderzoek welke wettelijke grondslag van toepassing is 4.  Is er sprake van bijzondere gegevens, check of deze verwerkt mogen

worden 5.  Sluit een bewerkersovereenkomst met de leverancier 6.  Meld de verwerking bij de Autoriteit Persoonsgegevens, uitzondering

Vrijstellingsbesluit

Wbp – vereisten verantwoordelijke Belang school

Belang betrokkene

Zorgtaken

Goede begeleiding

Goed onderwijs

Duidelijk wat, waarom en op

welke wijze

Niet meer dan noodzakelijk

Vraag 1 •  Welke school stelt privacy eisen bij de inkoop

van ICT?

Beter voorkomen dan genezen •  Vooraf stilstaan bij privacyaspecten – privacy by design •  Makkelijker om vooraf maatregelen te nemen, dan achteraf

schade – ook in reputatie – repareren •  Weten wat de systemen doen: voor afweging én transparantie •  Privacy Impact Assessment -> ook in Algemene Verordening

Gegevensbescherming •  Schatting van concrete risico’s en gevolgen •  Maatregelen ter verlaging of verminderen van impact daarvan

Convenant Digitale Onderwijsmiddelen en Privacy

1.  Convenant zelf: wat vinden we goed gedrag? 2.  Model bewerkersovereenkomst: te vertalen naar

afspraken tussen een specifieke school en een specifieke leverancier

3.  Bijlage: privacy bijsluiter – hoe omgang met privacy 4.  Bijlage: technische en organisatorische

beveiligingsmaatregelen – hoe specifiek geregeld

Technische en organisatorische beveiligingsmaatregelen

•  Hoe alleen bevoegd personeel toegang? Welke handelingen mogen zij verrichten?

•  Hoe bescherming tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang op openbaarmaking?

•  Hoe controle op zwakke plekken in systemen? •  Hoe rapportage aan verantwoordelijke? •  Hoe beveiligingsincidenten melden?

Vraag 2 •  Welke school heeft een privacyreglement?

Transparant

Informatieplicht verantwoordelijke •  Voor het moment van verkrijging van

persoonsgegevens van de betrokkene •  Nadere informatie over de verwerking voor

zover dat ‘nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen’

Vraag 3 •  Welke school betrekt de MR en ouders bij

privacy?

Vraag 4 •  Welke school heeft een klachten- en/of

inzageprocedure?

Workshop Privacy goed geregeld! Interesse in deelname aan volledige workshop? Data: •  Dinsdag 15 maart (Zwolle) •  Woensdag 23 maart (Amsterdam) •  Woensdag 6 april (Utrecht) •  Dinsdag 24 mei (Eindhoven)

•  Inschrijven via de website van APS IT-diensten of slb diensten.

Aan de slag!