Algemene Verordening Gegevens Bescherming (AVG) - deel 2 IBP

In deel 1 heb je kennisgemaakt met de nieuwe privacywetgeving, de AVG. De AVG bepaalt niet alleen onder welke voorwaarden een organisatie als vereniging OMO persoonsgegevens mag verwerken, maar stelt ook eisen aan de beveiliging van deze gegevens. Informatiebeveiliging is dan ook een belangrijke voorwaarde voor privacy. Beide begrippen staan naast elkaar, en zijn van elkaar afhankelijk.

Vanaf nu spreken we dan ook over Informatiebeveiliging en privacy (IBP)

Privacy

“Privacy niet belangrijk vinden omdat je niets te verbergen hebt, is hetzelfde als niet geven om vrijheid van meningsuiting omdat je niets te zeggen hebt”, Edward Snowden

Privacy is belangrijk, het is een grondrecht. Net als het recht op vrijheid van godsdienst of het recht op vrijheid van meningsuiting.

In de Universele Verklaring van de Rechten van de Mens is privacy geborgd als mensenrecht. Privacy is 'het recht om met rust te worden gelaten, het recht om te weten en te bepalen wat er met je gegevens gebeurt, en om te weten wie de beschikking over je gegevens heeft'.

Privacybescherming, bescherming van persoonsgegevens, is in de AVG vanaf 25 mei 2018 op Europees niveau geregeld. Schoolbestuurders zijn vervolgens wettelijk verplicht om de privacy op school voor medewerkers en leerlingen te regelen.

Informatiebeveiliging kan omschreven worden als het nemen van maatregelen om het risico op beveiligings- en privacy-incidenten en de eventuele gevolgen daarvan tot een minimum te beperken. Bij informatiebeveiliging wordt rekening gehouden met de beschikbaarheid, de integriteit en de vertrouwelijkheid van (persoons) gegevens.

IBP regel je onder andere om de continuïteit van het onderwijs en de bedrijfsvoering te waarborgen en de privacy van leerlingen en medewerkers te garanderen. Maar op welke gebieden moeten maatregelen worden genomen? Wat zijn de grootste risico’s? Ook hier helpt de privacywetgeving een handje. Artikel 5 van de AVG omvat een aantal basisregels voor het verantwoord omgaan met persoonsgegevens. Om deze gemakkelijk te onthouden zijn ze door Kennisnet voor het onderwijs samengevat als de vijf vuistregels, te weten:

• Doel en doelbinding (is vooraf een doel vastgesteld waarvoor de gegevens worden verwerkt?)

• Grondslag (is er een wettelijke grond voor het verwerken van de gegevens?)

• Dataminimalisatie (worden alleen die gegevens gebruikt die noodzakelijk zijn voor het bereiken van het vastgestelde doel?)

• Transparantie (is de leerling/ouder is helder geïnformeerd over de te verwerken gegevens, inclusief de bewaartermijn.)

• Data-integriteit (Kloppen de te verwerken gegevens?)

De Autoriteit Persoonsgegevens kan, voor het niet voldoen aan de basisregels, een boete opleggen van maximaal 20 miljoen euro.

De AVG stelt niet alleen eisen aan het gebruik van persoonsgegevens, maar ook aan de beveiliging ervan. De artikelen 24 en 32 gaan over 'passende technische en organisatorische maatregelen' om persoonsgegevens te beschermen. Informatiebeveiliging heeft alles te maken met de aspecten beschikbaarheid, integriteit en vertrouwelijkheid. Doordat scholen steeds afhankelijker worden van informatie en ICT, worden deze aspecten steeds belangrijker. Een school wil niet dat een systeem niet beschikbaar is op het moment van een toets of dat door een foutje persoonsgegevens worden doorgespeeld naar de verkeerde personen.

Weet waar IBP voor staat en waarom het belangrijk is dit met z’n allen goed op te pakken.

Weet wat de basisregels zijn voor het omgaan met persoonsgegevens. Denk bij het verzamelen, registreren en verwerken van persoonsgegevens altijd aan de 5 vuistregels. Neem passende technische en organisatorische maatregelen en neem deze op in afspraken, protocollen en procedures. Van alle medewerkers wordt verwacht dat ze deze afspraken nakomen en, waar nodig, de procedures volgen.

In de volgende nieuwsbrief wordt ingegaan op: Datalekken