Post on 12-Jan-2017
Artikel 10 van de Grondwet 1. Ieder heeft, behoudens bij of krachtens de wet te stellen
beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.
Van grondwet naar praktijk Huidig: • Europese Privacy richtlijn • Vertaling in Wet bescherming persoonsgegevens (Wbp) • Meldingplicht datalekken, ingangsdatum 1 januari 2016 In ontwikkeling: • Europese Algemene Verordening Gegevensbescherming – concept
Wbp - rollen Betrokkene Verantwoordelijke Bewerker de natuurlijke persoon over wie de gegevens worden verzameld. Bij kinderen onder de 16 jaar beslissen de ouders/voogd
directie/bestuur van de organisatie die de gegevens verzamelt
de organisatie die namens de verantwoordelijke de gegevens bewerkt
Context school: Leerlingen, personeelsleden
Context school: Bevoegd gezag
Context school: Leveranciers van ICT systemen
Wbp – vereisten verantwoordelijke Nieuw ICT middel: 1. Omschrijf het doel van de verwerking van persoonsgegevens 2. Bepaal welke gegevens van welke personen nodig zijn om het doel
te bereiken 3. Onderzoek welke wettelijke grondslag van toepassing is 4. Is er sprake van bijzondere gegevens, check of deze verwerkt mogen
worden 5. Sluit een bewerkersovereenkomst met de leverancier 6. Meld de verwerking bij de Autoriteit Persoonsgegevens, uitzondering
Vrijstellingsbesluit
Wbp – vereisten verantwoordelijke Belang school
Belang betrokkene
Zorgtaken
Goede begeleiding
Goed onderwijs
Duidelijk wat, waarom en op
welke wijze
Niet meer dan noodzakelijk
Beter voorkomen dan genezen • Vooraf stilstaan bij privacyaspecten – privacy by design • Makkelijker om vooraf maatregelen te nemen, dan achteraf
schade – ook in reputatie – repareren • Weten wat de systemen doen: voor afweging én transparantie • Privacy Impact Assessment -> ook in Algemene Verordening
Gegevensbescherming • Schatting van concrete risico’s en gevolgen • Maatregelen ter verlaging of verminderen van impact daarvan
Convenant Digitale Onderwijsmiddelen en Privacy
1. Convenant zelf: wat vinden we goed gedrag? 2. Model bewerkersovereenkomst: te vertalen naar
afspraken tussen een specifieke school en een specifieke leverancier
3. Bijlage: privacy bijsluiter – hoe omgang met privacy 4. Bijlage: technische en organisatorische
beveiligingsmaatregelen – hoe specifiek geregeld
Technische en organisatorische beveiligingsmaatregelen
• Hoe alleen bevoegd personeel toegang? Welke handelingen mogen zij verrichten?
• Hoe bescherming tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang op openbaarmaking?
• Hoe controle op zwakke plekken in systemen? • Hoe rapportage aan verantwoordelijke? • Hoe beveiligingsincidenten melden?
Informatieplicht verantwoordelijke • Voor het moment van verkrijging van
persoonsgegevens van de betrokkene • Nadere informatie over de verwerking voor
zover dat ‘nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen’
Workshop Privacy goed geregeld! Interesse in deelname aan volledige workshop? Data: • Dinsdag 15 maart (Zwolle) • Woensdag 23 maart (Amsterdam) • Woensdag 6 april (Utrecht) • Dinsdag 24 mei (Eindhoven)
• Inschrijven via de website van APS IT-diensten of slb diensten.