ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15...

19
ACTIEPLAN-AVG; PRIVACY WETGEVING OBS De Grundel 2017/2018 De nieuwe AVG geeft scholen nieuwe verplichtingen omtrent data. We hanteren en waarborgen de regels die in dit document staan beschreven.

Transcript of ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15...

Page 1: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

ACTIEPLAN-AVG;

PRIVACY WETGEVING

OBS De Grundel

2017/2018 De nieuwe AVG geeft scholen nieuwe verplichtingen omtrent data. We hanteren en

waarborgen de regels die in dit document staan beschreven.

Page 2: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

Inhoud 1 Inleiding 3

1.1 Informatiebeveiliging en privacy 3

2 Uitgangspunten 4

2.1 Vuistregels voor privacy 4

3. Organisatie 5

3.1 Richtinggevend 5

3.2 Sturend 5

3.3 Uitvoerend 5

4 Controle en rapportage 6

4.1 Toetsing en controle 6

4.2 Voorlichting en bewustzijn 6

4.3 Classificatie en risicoanalyse 6

4.3 Incidenten en datalekken 7

4.4 Controle en sancties 8

4.5 Logboek 8

4.6 Jaarkalender 8

5 Informatievoorziening 8

5.1 Medewerkers 8

5.2 Ouders 8

5.3 Toestemming voor beeldmateriaal 9

5.4 Algemene informatievoorziening 9

6 Privacyreglementen en datastroomlijn 9

6.1 Geheimhoudingsovereenkomst 9

6.2 Datastroomlijn 10

6.3 Rapporten 12

6.4 Data vergrendelen voor derden 12

6.5 Hoe lang wordt data bewaard? 12

7.1 Vergaderingen 2017-2018 13

Startvergadering 13

Oktober 13

December 13

April 13

7.2 Handelingen omtrent het AVG-actieplan 14

Jaarplanning 14

8 Concrete afspraken in school 15

Page 3: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

8.1 Hardware 15

8.2 Software 15

8.3 Maxclass 15

8.4 Youtube 15

8.5 Handelingen 15

8.6 (G)MR 16

8.7 G-suite for Education 16

Bijlagen 17

Begrippenlijst 18

Page 4: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

1 Inleiding Informatie en ICT zijn noodzakelijk in de ondersteuning van het onderwijs. Omdat we met

persoonsgegevens (van medewerkers, leerlingen en ouders/verzorgers) werken, is privacywetgeving

daarop van toepassing.

De informatie en ICT van OBS De Grundel worden blootgesteld aan een groot aantal bedreigingen, al

dan niet opzettelijk van aard. Alle informatie die we bewaren en verwerken kan worden bedreigd

door een aanval, een vergissing, de natuur (bijv. overstroming of brand), et cetera. Het niet

beschikbaar zijn van ICT, incorrecte administraties en het uitlekken van gegevens, leidt tot inbreuk op

gegevens van de school en het vertrouwen in onze school.

Deze bedreigingen maken het noodzakelijk om gerichte maatregelen te treffen om de risico’s die

gepaard gaan met deze bedreigingen tot een aanvaardbaar niveau te reduceren. Om dit structureel

aan te pakken is het noodzakelijk dat we duidelijk vorm geven aan de term AVG en gericht doelen

stellen om te voldoen aan de privacy reglementen.

1.1 Informatiebeveiliging en privacy Informatiebeveiliging is een proces voor het beschermen van OBS De Grundel tegen risico’s en

bedreigingen met betrekking tot informatie en ICT. Het richt zicht op drie aspecten:

- Beschikbaarheid; informatie en aanverwante bedrijfsmiddelen zijn toegankelijk wanneer

nodig;

- Integriteit; informatie en verwerkingsmethoden bevatten zo min mogelijk fouten;

- Vertrouwelijkheid; informatie is alleen toegankelijk voor diegenen die daartoe bevoegd zijn.

Informatie-beveiliging

Beschikbaarheid

IntegriteitVertrouwelijkheid

Page 5: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

2 Uitgangspunten De belangrijkste beleidsuitgangspunten zijn:

- Informatiebeveiliging en privacy dient te voldoen aan alle relevante wet- en regelgeving;

- Veilig en betrouwbaar omgaan met informatie de verantwoordelijkheid van iedereen;

- Er wordt van alle medewerkers, leerlingen, (geregistreerde) bezoekers en externe relaties

verwacht dat zij zich ‘fatsoenlijk’ gedragen met een eigen verantwoordelijkheid;

- OBS De Grundel is als rechtspersoon eigenaar van de informatie die onder haar

verantwoordelijkheid wordt gebruikt;

- OBS De Grundel maakt met alle partijen waarmee persoonsgegevens worden uitgewisseld

concrete afspraken over informatiebeveiliging en privacy;

- IBP is een continu proces, waarbij regelmatig (minimaal jaarlijks) wordt geëvalueerd en

wordt gekeken of aanpassing gewenst is;

- Er is een balans tussen de risico’s van hetgeen we willen beschermen en de benodigde

investeringen en maatregelen;

- Er is een balans tussen privacy, functionaliteit/werkbaarheid en veiligheid.

2.1 Vuistregels voor privacy OBS de Grundel hanteert de vijf vuistregels voor privacy:

Doelbepaling en doelbinding: persoonsgegevens worden alleen gebruikt voor uitdrukkelijk

omschreven en gerechtvaardigde doeleinden. Deze doeleinden zijn concreet en voorafgaand aan de

verwerking vastgesteld. Persoonsgegevens worden niet verder verwerkt op een wijze die

onverenigbaar is met de doelen waarvoor ze zijn verkregen.

Grondslag: verwerking van persoonsgegevens is gebaseerd op een van de wettelijke grondslagen:

toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of

gerechtvaardigd belang.

Dataminimalisatie: bij de verwerking van persoonsgegevens blijft de hoeveelheid en het soort

gegevens beperkt: het type persoonsgegevens moet redelijkerwijs nodig zijn om het doel te

bereiken; ze staan in verhouding staan tot het doel (= proportioneel). Het doel kan niet met minder,

alternatieve of andere gegevens worden bereikt. Dit betekent ook dat data niet langer wordt

bewaard dan noodzakelijk.

Transparantie: de school legt aan betrokkenen (leerlingen, hun ouders en medewerkers) op

transparante wijze verantwoording af over het gebruik van hun persoonsgegevens, alsmede over het

gevoerde IBP-beleid. Deze informatievoorziening vindt ongevraagd plaats. Daarnaast hebben deze

betrokkenen recht op verbetering, aanvulling, verwijdering of afscherming van hun

persoonsgegevens. Daarnaast kunnen betrokkenen zich verzetten tegen het gebruik van hun

gegevens.

Data-integriteit: er zijn maatregelen getroffen om te waarborgen dat de te verwerken

persoonsgegevens juist en actueel zijn.

Persoonsgegevens moeten adequaat worden beveiligd volgens algemeen en breed geaccepteerde

beveiligingsnormen.Bij alle registraties op basis van toestemming, zal OBS De Grundel aan de

betrokkenen een eenduidige zogenaamde ‘opt-out’ (de mogelijkheid om je toestemming in te

trekken) procedure worden aangeboden.

Page 6: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

3. Organisatie Er wordt binnen de organisatie (in AVG) onderscheid gemaakt tussen drie niveaus:

- Richtinggevend (strategisch)

- Sturend (tactisch)

- Uitvoerend (operationeel)

3.1 Richtinggevend Binnen elk individueel bestuur van een school zijn enkele eindverantwoordelijke. Hoewel de mediacoördinator

een leidende rol heeft in de implementatie van de privacy-wetgeving en de begeleiding van leerkrachten, heeft

hij niet de eindverantwoordelijkheid. Deze ligt bij de directie van elke basisschool. De toepassing en werking

van het AVG-beleid wordt op basis van regelmatige rapportages door hen geëvalueerd.

3.2 Sturend De media-coördinator (MC) is een rol op sturend niveau. In samenspraak met de directie vormen zij de

uitvoerende laag binnen de school. De MC geeft terugkoppeling en advies aan de eindverantwoordelijke en

stuurt de mensen aan in de uitvoering. Taken van de MC omvatten:

- Het beleid vertalen naar richtlijnen, procedures, maatregelen en documenten voor de gehele

instelling;

- De uniformiteit bewaken binnen de school;

- Het aanspreekpunt zijn voor incidenten op het gebied van informatiebeveiliging en privacy;

- De verdere afhandeling van incidenten binnen de school coördineren.

3.3 Uitvoerend Stichting school heeft een bovenschoolse visie omtrent de AVG waarin staat verwerkt wie de functionaris voor

gegevensbescherming (security officer) is. Tevens staat hierin verwerkt wie de domeinverantwoordelijkheid

heeft en bovenschools aanstuurt tot hantering AVG (media-inspiratoren). Voor deze omschrijving wordt

verwezen naar de bovenschoolse visie AVG.

Page 7: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

4 Controle en rapportage 4.1 Toetsing en controle

Het informatiebeveiligings- en privacybeleid wordt minimaal elke twee jaar getoetst en bijgesteld

door de directie en MC. Hierbij wordt rekening gehouden met:

- De status van informatiebeveiliging als geheel (beleid, organisatie en risico’s)

- De effectiviteit van de genomen maatregelen en aantoonbare werking daarvan.

Voor de Grundel is het van belang dat zij een actief AVG-actieplan bijhoudt zodat deze gecontroleerd

kan worden. In het AVG-actieplan is er ruimte voor het bijhouden van een log; datalekken, algemene

planning, bijzondere afspraken en algemene omschrijving van handelen van medewerkers.

Daarnaast kent de school een jaarlijkse planning en controle cyclus voor informatiebeveiliging en

privacy. Dit is een periodiek evaluatieproces waarmee de inhoud en effectiviteit van het

informatiebeveiligings-en privacybeleid wordt getoetst. Om dit stelselmatig bij te houden is er een

bijlage waarin een algemene planning (per drie maanden) gemaakt kan worden.

4.2 Voorlichting en bewustzijn Beleid en maatregelen zijn niet voldoende om risico’s op het terrein van informatiebeveiliging en

privacy uit te sluiten; in de praktijk blijkt dat ongeveer 90% van datalekken ontstaat door menselijke

fouten. Daarom wordt op de school het bewustzijn van de individuele medewerkers voortdurend

aangescherpt, zodat de kennis van risico’s wordt verhoogd en veilig en verantwoord gedrag wordt

aangemoedigd.

4.3 Classificatie en risicoanalyse Data binnen een organisatie dient geclassificeerd te worden om een beleid op te kunnen toepassen.

Het niveau van beveiligingsmaatregelen is afhankelijk van deze classificatie. Data die in omloop is op

de school is gerelateerd aan leerlingen en medewerkers. Er wordt een onderscheid gemaakt tussen

twee vormen van data:

- Beoordelingen; elke vorm van een beoordeling (ongeacht stijl/wijze).

- Omschrijving; elke omschrijving van een leerling, ouder/verzorger of medewerker.

Page 8: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

4.3 Incidenten en datalekken Alle incidenten moeten gemeld worden bij de directie. De afhandeling van deze incidenten volgt een gestructureerd proces, die ook voorziet in de juiste stappen rondom de meldplicht datalekken.

1. Is er data gelekt, of mogelijk gelekt?

2. Zijn het gegevens van: kinderen, ouders,

medewerkers. Noteer de (mogelijke) gevolgen in het

logboek.

3. Meldplicht aan de autoriteit persoonsgegevens

en omschrijving in het AVG-logboek

4. Geef aan wie er slachtoffer is/zou kunnen zijn a.d.h.v. het

datalek

5. Geef aan in het AVG-actieplan welke verbeterstappen er worden

ondernomen.

Page 9: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

4.4 Controle en sancties De naleving bestaat uit algemeen toezicht op de dagelijkse praktijk van het AVG-proces. Van belang

hierbij is dat leidinggevende en proceseigenaren hun verantwoordelijkheid nemen en hun

medewerkers aanspreken in geval van tekortkomingen. Er wordt op de school actief aandacht

besteed aan de AVG tijdens functioneringsgesprekken, vergaderingen, IT-overleg en in overleg met

ouders.

Mocht de naleving ernstig tekort schieten, dan heeft de directie meldplicht bij de security officier en

indien nodig bij justitie.

4.5 Logboek Om aan te tonen dat de school actief toezicht houdt op het hanteren van de AVG, is er een logboek

ingesteld (zie bijlage). In het logboek worden datalekken omschreven en wordt aangegeven wanneer

er aanpassingen zijn gedaan aan het AVG-plan. Het is hierdoor mogelijk stelselmatig bij te houden op

welke wijzen er toezicht is geweest, door wie, en wat de vervolgstappen zijn geweest.

4.6 Jaarkalender Vanuit de AVG wordt een eis gesteld dat men stelselmatig bijhoudt welke acties er worden

ondernomen om te voldoen aan het opgestelde informatiebeveilings- en privacybeleid. Om een

helder beeld te geven van de planning is er in de bijlage een jaarkalender opgenomen. Deze is

ingedeeld in een drie-maanden schema. De school vult elk schooljaar de jaarkalender opnieuw in.

5 Informatievoorziening

5.1 Medewerkers Richting vaste medewerkers worden de afspraken rondom de bescherming van persoonsgegevens

vaak als onderdeel van de arbeidsovereenkomst vastgelegd. Voor mensen zonder vast-dienstverband

medewerkers, stagiaires en ingehuurd personeel worden deze afspraken vaak niet opgenomen in de

contracten. In dit geval kun je gebruik maken van een geheimhoudingsverklaring (zie bijlage).

5.2 Ouders De AVG stelt eisen omtrent informatiebeveiliging en privacy. Op school gaat dit met name omtrent

gevoelige informatie omtrent leerlingen. Gezien ouders/verzorgers de bevoegdheid hebben om te

bepalen hoe er wordt omgegaan met de data van kinderen, is de school ook direct bezig met de

privacy van ouders/verzorgers. OBS De Grundel communiceert met ouders/verzorgers dat zij een

AVG-actieplan hanteren binnen de school; de boodschap: de privacy van uw kind is voor ons van

groot belang en waarborgen dit middels een gestructureerd plan.

De school zal ouders/verzorgers op de hoogte stellen van hun rechten omtrent informatiebeveiliging

en privacy, en de wijze waarop de school dit nastreeft. De school zal hierin het menselijk aspect van

het hanteren van de privacy wetgeving benoemen, zodat ouders/verzorgers begrijpen dat er

specifieke handelingen worden verricht (door het gehele team) ter bevordering van de privacy van

hun kind; er wordt dagelijks gewerkt met data omtrent kinderen en er wordt actief nagedacht over

de wijze waarop wij hier mee omgaan. Tevens worden ouders op de hoogte gesteld van het recht op

rectificatie; in overleg met een medewerker aanpassen van data (omschrijving van leerlingen).

Tevens hebben ouders/verzorgers het recht om hun mening omtrent hun kind verwoord te hebben

in het leerlingvolgsysteem. Ook kunnen zij een verwoording of toestemming terugtrekken omtrent

hun kind.

Page 10: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

5.3 Toestemming voor beeldmateriaal Ouders moeten eenmalig toestemming geven voor het gebruik van beeldmateriaal van hun kind bij

inschrijving. De vraag omtrent toestemming moet voldoen aan drie eisen: vrijheid, ondubbelzinnig en

specifiek. Dit betekent dat ouders/verzorgers een brief krijgen met bijbehorend informatie met de

exacte verwoording van waar zij toestemming voor geven en een verwijzing naar het AVG-actieplan

die ouders/verzorgers mogen inzien op school (onder toezicht van directie).

Het formulier dat door ouders/verzorgers wordt ingevuld mag op geen enkele wijze een correlatie

hebben met de deelname aan activiteiten of inschrijving op school. Er mogen geen belemmeringen

voortkomen uit het niet verstrekken van toestemming voor het gebruik van beeldmateriaal.

In het formulier wordt er specifiek aangegeven waar een ouder/verzorger toestemming voor geeft

en waar beeldmateriaal gepubliceerd wordt.

Ouders/verzorgers moeten elk schooljaar opnieuw op de hoogte worden gesteld van hun recht op

rectificatie; ze worden herinnerd aan de toestemming die zij hebben gegeven en dat zij de

mogelijkheid hebben om op elk gewenst moment de toestemming in te trekken.

Bij gescheiden ouders geldt het recht van beiden ouders. Voor het gebruik van beeldmateriaal zal de

school een negatief advies (omtrent het gebruik van beeldmateriaal) vanuit één ouder al moeten

hanteren, ongeacht een positief advies van de ex-partner. Het negatieve advies heeft dus voorkeur

op een positief advies.

Als er herhaaldelijk, en op langer termijn, contact is gezocht met een ouder omtrent het

toestemmingsformulier voor beeldmateriaal, en deze vooralsnog geen formulier invult, dan geldt het

recht van de ouder die het formulier wél heeft ingevuld. Let op dat er bewijsvoering moet zijn voor

de informatievoorziening naar de partner die het formulier niet heeft ingevuld

(mails/nieuwsberichten et cetera).

Aan ouders/verzorgers wordt elk jaar opnieuw medegedeeld dat zij foto’s en video’s van leerlingen

van de school niet mogen plaatsen op websites buiten diegene waar toestemming voor is gegeven

door de school (afgeschermde omgeving).

De school is niet verantwoordelijk voor wat derden doen met foto’s en/of video’s van leerlingen

en/of medewerkers.

5.4 Algemene informatievoorziening De data-stroomlijn binnen de school en de AVG zal benoemd worden bij ouders/verzorgers.

Gedurende het schooljaar zijn er meerdere bijeenkomsten voor ouders/verzorgers, waarvan één

gebruikt zal worden voor de regelgevingen omtrent de AVG en de rechten van ouders/verzorgers. Dit

onderdeel wordt verzorgd door de media-coördinator. Dit is een jaarlijks onderdeel.

6 Privacyreglementen en datastroomlijn De datastroomlijn van de school moet inzichtelijk gemaakt worden. Middels een schema wordt er

aangegeven welke medewerkers bij welke data kan komen en er wordt omschreven met welke

instanties er overeenkomsten zijn getekend omtrent de waarborging van de AVG.

6.1 Geheimhoudingsovereenkomst Met Rovict, Heutink, Basispoort en Cito zijn geheimhoudingsovereenkomsten getekend. Deze zijn

voor bevoegde medewerkers (waaronder bestuur en directie) in te zien op de Sharepoint omgeving

van Stichting SchOOL. In deze overeenkomsten staat nadrukkelijk omschreven hoe deze drie

bedrijven omgaan met de data die wij invoeren en de bijbehorende veiligheidseisen.

Page 11: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

6.2 Datastroomlijn

• De directie kan bij alle gegevens i.v.m. bovenschools overzicht en taken in samenwerking met IB en derden.

• De IB kan bij alle gegevens i.v.m. kindbegeleiding en documentatie. • De mediacoördinator kan bij alle informatie i.v.m. koppelingen naar andere software en

ondersteunende taken voor andere medewerkers. • Onderwijspersoneel kan bij CITO gegevens van hun eigen klas en hebben de mogelijkheid

om hier aanpassingen in te doen i.v.m. administratieve en lesgevende taken. • Onderwijs- ondersteunend personeel zonder lesgevende en/of behandeltaken kunnen via

de koppeling van Esis bij alle Cito gegevens van Cito LOVS. • Onderwijs-ondersteunend personeel met lesgevende en/of behandeltaken kunnen bij de

Cito gegevens van de leerlingen van hun eigen klas om begeleiding te bieden op maat en/of administratieve taken.

• De directie kan bij alle gegevens i.v.m. bovenschools overzicht en taken in samenwerking met IB en derden.

• De IB kan bij alle gegevens i.v.m. kindbegeleiding en documentatie. • De mediacoördinator kan bij alle informatie i.v.m. koppelingen naar andere software,

ondersteunende taken voor andere medewerkers en middels de admin-rol van Heutink-ict.

• Onderwijspersoneel kan bij hun eigen server, de gedeelde server van het team en de bestanden van de kinderen i.v.m. administratieve en lesgevende taken

• Onderwijs- ondersteunend personeel zonder lesgevende en/of behandeltaken kunnen niet bij personeelgegevens van de Heutink server.

• Onderwijsondersteunend personeel met lesgevende en/of behandeltaken kunnen bij hun eigen server, de gedeelde server van het team en de bestanden van alle kinderen i.v.m. les-ondersteunende taken.

• De directie kan bij alle gegevens i.v.m. bovenschools overzicht en taken in samenwerking met IB en derden.

• De IB kan bij alle gegevens i.v.m. kindbegeleiding en documentatie. • De mediacoördinator kan bij alle informatie i.v.m. koppelingen naar andere software en

ondersteunende taken voor andere medewerkers. • Onderwijspersoneel kan bij gegevens van hun eigen klas en hebben de mogelijkheid om

hier aanpassingen in te doen i.v.m. administratieve en lesgevende taken. • Onderwijs- ondersteunend personeel zonder lesgevende en/of behandeltaken hebben

een management-account nodig voor hun werk binnen Esis en kunnen dus bij alle informatie van de school.

• Onderwijsondersteunend personeel met lesgevende en/of behandeltaken kan bij gegevens van hun eigen klas en hebben de mogelijkheid om hier aanpassingen in te doen i.v.m. administratieve en begeleidende taken.

Page 12: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

• De directie kan bij alle gegevens i.v.m. bovenschools overzicht en taken in samenwerking met IB en derden.

• De IB kan bij alle gegevens i.v.m. kindbegeleiding en documentatie. • De mediacoördinator kan bij alle informatie i.v.m. koppelingen naar andere software,

ondersteunende taken voor andere medewerkers en middels de admin-rol van Heutink-ict.

• Onderwijspersoneel kan bij het gedeelte van zijn/haar klas voor administratieve en lesgevende taken.

• Onderwijs- ondersteunend personeel zonder lesgevende en/of behandeltaken zijn niet gekoppeld aan basispoort.

• Onderwijsondersteunend personeel met lesgevende en/of behandeltaken kunnen bij hun eigen klas(sen) i.v.m. les-ondersteunende taken.

Page 13: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

6.3 Rapporten Leerlingen krijgen driemaal per schooljaar een schoolrapport. Ouders/verzorgers krijgen het

schoolrapport mee op papier. Medewerkers printen het rapport, één dag voor het meegeven van het

rapport, uit. Dit gebeurt na schooltijd. Hiermee is het risico dat derden bij de informatie van

leerlingen kunnen verkleind.

Ouders/verzorgers hebben het recht op leerling-informatie van hun kind. Als dit wordt opgevraagd

dient men het op papier mee te geven (of in te zien via de beveiligde omgeving van de school). Dit

gebeurt in het bijzin van de ouder/verzorger zodat de uitgeprinte documenten niet zonder toezicht

zijn van een medewerker of ouder/verzorger. Zodra het document is overhandigd is ook de

verantwoordelijkheid overhandigd aan de ouder/verzorger.

6.4 Data vergrendelen voor derden Als er gevoelige data wordt verstuurd vanuit de school dient het altijd vergrendeld te worden

middels een wachtwoord. De school gebruikt hiervoor 7zip om een wachtwoord op een document te

zetten en het wachtwoord wordt enkel telefonisch doorgegeven aan derden.

6.5 Hoe lang wordt data bewaard? De basisschool mag de meeste gegevens nog 2 jaar bewaren, nadat een leerling van school is gegaan.

De school moet langer bewaren:

- Gegevens over verzuim en in- en uitschrijving (5 jaar na vertrek):

- Gegevens over een leerling die naar een school voor speciaal onderwijs is doorverwezen (3

jaar na vertrek).

- Adresgegevens van (oud-)leerlingen mag de school bewaren voor het organiseren van

reünies.

Page 14: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

7.1 Vergaderingen 2017-2018

Startvergadering Benoemen van de AVG en gevolgen voor ons handelen gedurende het schooljaar.

Oktober Afspraken omtrent ‘digitaal-gedrag’; de media-coördinator stelt eisen vanuit de AVG hoe we omgaan met hardware ter beveiliging van data.

December Er worden afspraken gemaakt omtrent het versturen van data binnen en buiten de Grundel. Het AVG-actieplan wordt tevens besproken en gedeeld.

April Bespreken van de laatste details omtrent het AVG (voor de invoering in mei). Herhaling van de eisen die eerder zijn gesteld omtrent ons handelen als team.

Page 15: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

7.2 Handelingen omtrent het AVG-actieplan

Jaarplanning

Wie/wanneer Team Media-coördinator (MC) Directeur

September Wachtwoorden aanpassen: 8 tekens, 1 symbool, 1 cijfer, 1 hoofdletter. Afmelden bij verlaten van de ruimte waar de computer is. Gebruik maken van Chrome met bijbehorende extensies tegen reclame.

Inlezen in AVG Vergadering voorbereiden omtrent AVG-afspraken.

Overleg met MC omtrent de AVG en gevolgen voor de school.

Oktober November december

Leerkrachten hebben hun e-mail handtekening aangepast i.v.m. delen van gevoelige informatie. Leerkrachten hebben nergens gevoelige informatie staan op computers buiten het schoolnetwerk of zonder beveiligde omgeving. E-mails met gevoelige informatie hebben een encryptie en de bijbehorende codes worden telefonisch doorgegeven aan de desbetreffende organisatie (met toestemming van ouders/verzorgers op papier; Esis).

Internetprovider contacteren omtrent veiligheidseisen. Opstellen van AVG-actieplan en bijbehorende visie. Bespreken: cloud-based werken i.v.m. informatiemanagement. Vergadering omtrent het versturen van data (veilig); gebruik maken van een encryptie en toestemming van ouders/verzorgers. Protocol Data-lekken toevoegen aan AVG-actieplan.

Contract met Maxclass omtrent data opstellen en uitvoeren. Evalueren en bijstellen van het AVG-actieplan met de MC. cloud-based werken i.v.m. informatie management. Datalekken protocol doornemen en/of bijstellen met MC. AVG-actieplan bespreken met MR/OR Geheimhoudings-overeenkomsten met derde vaststellen

Januari Februari Maart

Ouders op de hoogte stellen van de nieuwe AVG middels brief/Maxclass en Maxclass e-mail. Protocol data-lekken doornemen met het team: meldplicht aan de directeur.

Brief opstellen omtrent de AVG voor ouders; omschrijven van hun rechten en opnieuw vragen voor toestemming (met de mogelijkheid tot terugtrekken) van foto/videomateriaal. Ouders middels eenzelfde brief op de hoogte stellen van hun rechten omtrent data. Info-avond: delen van het AVG-actieplan met ouders.

De brief omtrent de AVG en Data bespreken met MC, eventueel bijstellen en ouders de mogelijkheid geven om het onderwerp te bespreken met de directeur en/of MC.

Mei Juni Juli

Evaluatie Evaluatie en het bijstellen en/of vergroten van het AVG-actieplan voor het volgend schooljaar.

Evaluatie en het bijstellen en/of vergroten van het AVG-actieplan voor het volgend schooljaar.

Page 16: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

8 Concrete afspraken in school

8.1 Hardware Gedurende het schooljaar 2017/2018 zal er gekeken worden naar de veiligheid van onze hardware. Dit betekent met name dat er geen data bereikbaar is via onze hardware, wanneer deze niet is voorzien van een wachtwoord (geen laptops los van de server of zonder wachtwoord bijvoorbeeld). Daarnaast wordt er gekeken naar de veiligheid van ons WIFI-netwerk en of de routers voldoen aan de veiligheidseisen.

8.2 Software De software die wij hanteren voor data moet voldoen aan de veiligheidseisen. We kunnen data

opsplitsen in scores en beschreven informatie over kinderen. Deze gegevens zijn te vinden in:

- Esis

- Cito LOVS

- Heutink server

- Basispoort

Met Heutink en Cito dient een geheimhoudingscontract getekend te worden waarin vaststaat dat zij

zich zullen houden aan de AVG betreffende de gegevens die wij op hun medium plaatsen (zie bijlage:

format: geheimhoudingsovereenkomst). Bijgevoegd (zij bijlage: Esis werkovereenkomst) is de

werkovereenkomst met Esis die bovenschools is afgestemd. Hierin staan aandachtspunten omtrent

privacy en omgang met data.

8.3 Maxclass Er dient voor Maxclass ook een geheimhoudingscontract getekend te worden waarin vaststaat dat Maxclass zich zal houden aan de AVG omtrent het beeldmateriaal en gesprekken via de e-mailservice van Maxclass.

8.4 Youtube OBS De Grundel heeft zijn eigen Youtube-account. We plaatsen hier onze schoolvideo’s. De video’s worden altijd met verborgen link gedeeld via Maxclass. Vervolgens hanteren we dezelfde regelgeving als met foto’s: niet downloaden van beeldmateriaal van Maxclass. Op deze wijze heeft de school de mogelijkheid tot het delen van beeldmateriaal terwijl het gelimiteerd blijft aan het gekozen publiek (ouders/verzorgers).

8.5 Handelingen We verwachten van medewerkers diverse handelingen om de AVG te hanteren:

- Geen data op externe apparaten - Computer vergrendelen wanneer je niet in dezelfde ruimte bent als de computer - Wachtwoord updaten (8 tekens, 1 symbool, 1 cijfer en 1 hoofdletter) - Gevoelige informatie vergrendelen wanneer verstuurd naar derde (of via een gedeelde

omgeving werken; Onedrive/Google drive) - Datalekken melden volgens het datalek protocol - Ouders/verzorgers de gelegenheid geven om data in te zien - Ouders/verzorgers op de hoogte stellen van het vastleggen van data (met uitzondering van

cijfers). - Wachtwoorden voor het Heutink netwerk dienen elk halfjaar opnieuw te worden ingesteld.

- Wachtwoorden worden automatisch gevraagd aan te passen door Rovict.

- Wachtwoorden voor CITO Lovs dienen elk halfjaar opnieuw et worden ingesteld.

- Data wordt altijd vergrendeld als deze wordt verstuurd naar derden.

Page 17: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

8.6 (G)MR De school zal jaarlijks met de (G)MR praten over hoe de school omgaat met leerling-gegevens. Het

draait met name over openheid en transparantie over het gebruik van leerling-gegevens richting

ouders/verzorgers. De MR heeft ook instemmingsrecht als het gaat over onderwerpen waarbij

privacy van leerlingen en medewerkers een rol spelen. Zo moet het privacyreglement worden

goedgekeurd door de (P)MR.

8.7 G-suite for Education OBS De Grundel heeft gekozen voor de G-suite omgeving. Dit betekent dat wij gebruik maken van de

beveiligde omgeving die Google ons biedt. In deze omgeving hebben we de mogelijkheid om onze

data op te slaan. Enkel medewerkers van OBS De Grundel hebben toestemming om bij deze

gegevens te kunnen. Zoals in het AVG-actieplan verwoord, zijn er eisen gesteld aan de

wachtwoorden van werknemers ter bevordering van de veiligheid. Er zijn instellingen aangepast

binnen de G-suite ter bevordering van de veiligheid. Denk hierbij aan: safesearch, niet gebruik mogen

maken van printscreen, automatisch uitloggen na een specifieke tijd en vergrendeling bij het sluiten

van de Chromebook. De omgeving van G-suite gekoppeld aan het gebruik van Chromebooks geeft de

medewerkers op OBS De Grundel de mogelijkheid om actief bezig te zijn met data, maar in een

beveiligde omgeving die gemakkelijk vergrendeld kan worden.

Werken met G-suite en de bijbehorende Google Drive geeft ons de mogelijkheid om documenten te

delen naar specifieke e-mailadressen. Zo sturen wij dus geen documenten naar derden, maar mogen

derden een deel van onze drive inzien; daar waar wij specifiek toestemming voor geven. Het

voordeel is dat documenten niet via andere servers meer worden verstuurd (waardoor je het niet

meer kunt volgen). Gegevens vanuit G-suite zijn beveiligd door een koppeling aan een e-mailadres en

er is altijd de mogelijkheid om het inzien van het document in te trekken bij specifieke

gebruikers/derden. We hebben hierdoor meer eigenaarschap over onze documenten ter bevordering

van de privacy van de leerlingen en het vermindert de kans op datalekken aanzienlijk.

Page 18: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

Bijlagen

Page 19: ACTIEPLAN-AVG; PRIVACY WETGEVING - De Grundel...8.3 Maxclass 15 8.4 Youtube 15 8.5 Handelingen 15 8.6 (G)MR 16 8.7 G-suite for Education 16 Bijlagen 17 Begrippenlijst 18 1 Inleiding

Begrippenlijst Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Verwerking van persoonsgegevens Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. Betrokkene Degene op wie een persoonsgegeven betrekking heeft al dan niet vertegenwoordigd door diens wettelijk vertegenwoordiger. In dit reglement gaat het om de leerlingen. Derden Ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken. AVG Algemene verordening gegevens (privacy wetgeving). Data Alle vormen van gegevens waar de school mee werkt waarin omschrijvingen staan van kinderen en/of ouders en/of scores van kinderen; persoonlijke informatie.