Onderwijsbewijs

Dingen over lesgeven

De hoeveelheid werk die AVG met zich meebrengt kan behoorlijk intimiderend zijn. Het doel is dat AVG vooral verankerd is in de manier van denken en werken, er moet een cultuur van gegevensbescherming worden gecreëerd. Bewustwording is eigenlijk het belangrijkste onderdeel van AVG, van daaruit worden veel zaken heel logisch.

Opleiding

Maak een overzicht van alle persoonlijke gegevens die u verwerkt
Dit gebeurt in een zogenaamd verwerkingsregister. U moet inzicht geven in welke informatie u verzamelt binnen uw organisatie, waar deze wordt opgeslagen, waar ze vandaan komt en met wie ze wordt gedeeld. Ook moet u aangeven waarvoor de gegevens nodig zijn. Denk niet alleen aan gegevens van kinderoppas, ouders en kinderen, maar ook aan gegevens van medewerkers.

Voldoet uw website aan de eisen?
Als klanten zich via uw website kunnen registreren (bijvoorbeeld in een contactformulier), dan moet u bekend maken wat er met de ingevoerde gegevens gebeurt. Dit kan bijvoorbeeld in een privacyverklaring op uw website. Gebruikt uw website cookies, dan bent u verplicht om dit aan uw bezoekers te melden (dit is al enige tijd het geval).

Welke gegevens worden verzameld?
Verzamel niet meer gegevens dan nodig is. De gegevens die u verzamelt moeten een wettelijke basis hebben, of: de reden voor het verzamelen moet eenvoudig uit te leggen zijn. Verzamel ook alleen gegevens wanneer dat nodig is. Vraag bijvoorbeeld alleen naar het BSN of medische informatie wanneer een kind daadwerkelijk via uw organisatie wordt geplaatst. Wees voorzichtig met de grens tussen gewone en bijzondere persoonsgegevens.

Zijn de betrokkenen op de juiste manier geïnformeerd?
Personen van wie de gegevens worden opgeslagen, moeten worden geïnformeerd over de opslag van de gegevens. Dit kan bijvoorbeeld door een link naar de privacyverklaring op het registratieformulier op uw website, maar ook door in een telefoongesprek te vermelden dat u gegevens in het systeem gaat opnemen.

Ontwikkeling

Het is nuttig om in de privacyverklaring te vermelden dat u ook in telefoongesprekken (met toestemming van de betrokkene) persoonlijke gegevens kunt opvragen.

Waar worden de gegevens opgeslagen?
Bijvoorbeeld in de cloud, in archiefmappen, op USB-sticks en/of een lokale server. Worden er back-ups gemaakt en zo ja: hoe vaak en waar? Hoe lang worden de back-ups opgeslagen?

Gebruikt u clouddiensten zoals Google Drive voor de verwerking van persoonlijke gegevens? Laat u dan goed informeren over deze diensten en test het processorcontract dat zij aanbieden. Als er geen processorovereenkomst is, vermijd dan het gebruik van deze diensten.

Hoe lang worden gegevens opgeslagen?
Voor persoonlijke gegevens geldt een maximale bewaartermijn, afhankelijk van de wettelijke basis voor het vastleggen van de gegevens. U moet hierin een gemotiveerde keuze maken, die u vastlegt in uw privacybeleid. Een vuistregel is: bewaar de gegevens niet langer dan nodig is.

Welke maatregelen zijn er genomen om het lekken van gegevens te voorkomen?
Beschrijf zo goed mogelijk hoe u kunt voorkomen dat gegevens in verkeerde handen terechtkomen. Voor elk van de plaatsen waar u persoonsgegevens verwerkt (bijv. e-mail, Dropbox, PortaBase, archiefkast, pc’s en laptops, tablets etc.) moet u aangeven hoe de beveiliging geregeld is (bijv. door middel van gebruikersnaam en wachtwoord). Beschrijf werkafspraken die zijn gemaakt, zoals een verbod op het opschrijven van wachtwoorden op een post-it en het vergrendelen van de PC bij het verlaten van de werkplek (voor een korte tijd), enz.

Ontwikkeling

Wie heeft toegang tot persoonlijke gegevens en waarom?
Maak duidelijk welke medewerkers toegang hebben tot persoonlijke gegevens en waarom. Binnen PortaBase heeft u de mogelijkheid om verschillende autorisatieniveaus aan medewerkers toe te kennen. Gebruik dit om ervoor te zorgen dat medewerkers niet meer gegevens kunnen zien dan nodig is om hun werk te doen.

Zorg voor een duidelijke en uitgebreide geheimhoudingsclausule in het arbeidscontract dat u met uw medewerkers afsluit, met name wat betreft de omgang met persoonlijke gegevens.

Heeft u een procedure voor het lekken van gegevens?
Er is sprake van een datalek als persoonlijke gegevens in verkeerde handen terecht zijn gekomen of verloren zijn gegaan. Niet alleen het vrijgeven of lekken van gegevens leidt tot een datalek, zelfs wanneer gegevens onrechtmatig worden verwerkt. Om een incident als data-inbreuk te kwalificeren, moet er sprake zijn van een daadwerkelijk veiligheidsincident. Denk hierbij aan een inbraak in een database (hacken), maar ook aan een verloren USB-stick, een gestolen laptop, een laptop die in de trein is achtergebleven of een brand in een datacenter zijn datalekken.

Afspraken maken met derden
Als u persoonsgegevens verwerkt in externe systemen zoals Port Abase, moet u met deze partijen een zogenaamde processorovereenkomst sluiten. Hierin worden de rechten en plichten van beide partijen met betrekking tot de verwerkte gegevens beschreven. Atane Software biedt al haar klanten een standaard processorovereenkomst aan.

Pas uw overeenkomsten aan

Zorg ervoor dat je voldoende informatie hebt over de verwerking van persoonsgegevens in de overeenkomsten die je aangaat met ouders en verzorgers. Geef aan dat je administratieve software (zoals PortaBase) gebruikt waar persoonlijke gegevens worden verwerkt.

Leave a Reply

Your email address will not be published. Required fields are marked *