Vul een zoekterm in
Vul een zoekterm in

Blog

Is je bescherming van persoonsgegevens op orde?

Voor iedere organisatie, dus ook basisscholen, is het essentieel om tijdig te inventariseren of zaken zoals veiligheid en privacy van (persoons)gegevens op orde zijn, helemaal met de aankomende Algemene verordening gegevensbescherming (AVG) per 25 mei 2018.
Print
07 december 2017Op Europees niveau is namelijk besloten dat de huidige wetgeving niet langer aansluit op de constante veranderingen in de digitale wereld. Om hiervoor Europese regels te creëren voor de bescherming van persoonsgegevens is een nieuwe Europese privacyverordening aangenomen: de Algemene Verordening Gegevensbescherming (AVG) (de officiële benaming van General Data Protection Regulation (GDPR) wordt ook gehanteerd).

De AVG is op 25 mei 2016 al in werking getreden, maar pas sinds enkele maanden is hierover veelvuldig in de media gepubliceerd. Op 25 mei 2018 wordt de strengere regelgeving van kracht. Maar wat betekent dat voor jouw school? 

Wat verandert er concreet voor jou als basisschool?
  • De verordening voorziet in zeer strenge sancties tegen verwerkingsverantwoordelijken of verwerkers die de gegevensbeschermingsregels overtreden. De boete die de nationale toezichthouder voor verwerkingsverantwoordelijken geeft, kan oplopen tot € 20 miljoen of 4% van de algemene jaaromzet.
  • De GDPR geldt ook voor organisaties die niet in de EU gevestigd zijn, maar wel diensten of producten aanbieden binnen de EU of gedrag van individuen binnen de EU monitoren. Denk hierbij dus ook aan een Twitter, Facebook of de diensten van Google.
  • Een deel van de administratieve lasten voor organisaties wordt verminderd. De verplichting om verwerkingen van persoonsgegevens te melden bij de lokale toezichthouders is verdwenen. Organisaties moeten zelf een overzicht bijhouden van al hun verwerkingen van persoonsgegevens.
  • Het ‘recht om vergeten te worden’. In de GDPR staat dat alle organisaties die persoonsgegevens verwerken, deze op verzoek moeten verwijderen indien aan bepaalde voorwaarden wordt voldaan.
     
Hoe kan jij je als school alvast voorbereiden?
Wellicht dat jullie bovenschoolse organisatie hier al mee bezig is, maar het is ook goed om als school zelf een aantal zaken op een rijtje te hebben.
  • Breng goed in kaart welke en hoeveel persoonsgegevens er worden bijgehouden en op wat voor manier deze worden bijgehouden in de organisatie. Denk hierbij bijvoorbeeld aan het LAS dat jullie gebruiken, maar bijvoorbeeld ook een ouderportaal.
     
  • Zorg voor een procedure voor datalekken zodat het duidelijk is welke stappen er genomen moeten worden door de organisatie bij het vermoeden van of kennisneming van een incident dat (mogelijk) aangemerkt kan worden als een datalek.
     
  • De overeenkomsten met hosting- en cloudproviders en andere leveranciers die persoonsgegevens verwerken moeten worden gecontroleerd. In de bewerkersovereenkomsten met deze dienstverleners moet veel meer geregeld zijn dan nu is voorgeschreven, onder meer ten aanzien van het inschakelen van derde partijen door de providers en de beveiligingsmaatregelen die de bewerker moet nemen.

    Controleer daarom ook of jouw software partners zijn aangesloten bij het ‘Convenant Digitale Onderwijsmiddelen en Privacy’. BasisOnline neemt hier vanzelfsprekend aan deel.

    In de bijhorende gebruikersovereenkomst staat namelijk in detail beschreven hoe de betreffende software dienstverleners omgaan met zaken als privacy en veiligheid.
     
  • Bij meer dan 250 medewerkers (of wanneer er gevoelige data wordt verwerkt), moet een register worden gemaakt waarin de verschillende verwerkingen binnen de organisatie worden bijgehouden, inclusief het doel, grondslag en de genomen beveiligingsmaatregelen.
     
  • Controleer de privacyverklaring van op je website. Die moet veel meer gedetailleerde informatie bevatten dan nu verplicht is. Bovendien moet de verklaring in begrijpelijke taal worden geschreven. Is die er nog niet, dan hebben wij een voorbeeld van zo'n privacy statement.
     
  • Plaatst jouw schoolwebsite cookies? Dan dien je dat aan bezoekers te melden. Hoe je daar achterkomt en welke stappen je dan dient te zetten, lees je hier.
     
  • De nieuwe regelgeving vereist dat jij persoonsgegevens voldoende beschermt. Dat betekent dus ook dat als jij bijvoorbeeld op je website een aanmeld- of contactformulier hebt, de gegevensuitwisseling tussen de bezoeker en je (school)website via een versleutelde verbinding dient te verlopen. Met een SSL-certificaat verzeker je de bezoekers van je website ervan dat niemand anders inzicht heeft in die verstuurde gegevens en voldoe je dus aan de wet.

    Vanwege onze focus op veiligheid en privacy is dat iets wat BasisOnline tegen een laag eenmalig (kostendekkend) bedrag graag aan al onze klanten (dus stichtingen én scholen) aanbiedt. We vragen eenmalig €100,- ex BTW (dus verder geen terugkomende kosten) en dan zorgen wij verder voor de installatie van het certificaat op de server, administratieve verwerking en de periodieke verlenging van het SSL certificaat zolang jullie klant zijn. SSL certificaat aanvragen doe je via deze link.

​​​BasisOnline: privacy en veiligheid
  1. Je mag er bij BasisOnline op vertrouwen dat onze producten, zoals BasisOnline Ouderportaal en onze websites, optimaal beveiligd worden.
     
  2. Zoals je mag verwachten staat BasisOnline geregistreerd bij het College Bescherming Persoonsgegevens onder nummer: 160 61 36 en zijn we deelnemer aan het  ‘Convenant Digitale Onderwijsmiddelen en Privacy’. Je mag er dus vanuit gaan dat onze organisatie zich houdt aan de richtlijnen betreffende privacy en beveiliging.
     
  3. Onze servers (en daarmee de gegevens) staan hier in Nederland in een beveiligd datacenter met ISO27001 certificering. Het beveiligingsbeleid is vastgesteld en geïmplementeerd in de vorm van een continuiteitsplan en calamiteitenplan.
     
  4. Verder onderwerpt BasisOnline haar software en webservers periodiek aan een aantal veiligheidstesten met gespecialiseerde programma's. Daarnaast hebben wij een intern testteam ingericht waarmee de software doorlopend wordt getest op functionaliteit en veiligheid. Nieuwe productupdates worden eerst uitgebreid intern getest alvorens zij worden uitgebracht.
     
  5. We zijn volledig transparant over welke gegevens er waar en waarom nodig zijn en vooral ook waar ze zeker nooit voor gebruikt zullen worden. Alleen strikt noodzakelijke informatie die nodig is voor de correcte werking van een van onze producten zijn verplicht. In de meeste gevallen bepaalt de gebruiker helemaal zelf welke gegevens zij aan onze systemen toevertrouwen en wie welke informatie te zien krijgt. Lees hier de uitgebreide informatie. In de model-bewerkersovereenkomst (privacy convenant) staat dit dan verder ook beschreven.