Keuzeformulier: Advies en Toezicht op Maat (ATOM)

De afgelopen tijd hebben wij als Lumen Group gemerkt dat de ‘snelheid’ van implementatie en de mate van volwassenheid van naleving van de AVG per onderwijsorganisatie behoorlijk is gaan verschillen. Dit geldt ook voor de behoefte en vorm van dienstverlening die aan Lumen Group wordt gevraagd. Wij hebben hierop ons advies en toezicht meer op maat gemaakt voor onze klanten. Wij noemen dit advies en toezicht op maat (hierna: ATOM).

Waarom dit keuzeformulier?

Hieronder is een overzicht opgenomen van de mogelijkheden die Lumen Group inzet om het advies en toezicht in overleg passender te maken naar de situatie en wensen van jouw organisatie. Op deze pagina geven wij een toelichting op de diensten binnen onze ATOM-aanpak. Daarnaast is het mogelijk om via dit formulier een keuze te maken.

Wat vragen wij je om te doen?

Wij willen je vragen om de toelichting bij de ATOM-keuzes door te lezen. Daarna kun je jouw ATOM-keuzes doorgeven door middel van het onderstaande keuzeformulier. Hierbij kun je ook aangeven of je behoefte hebt aan aanvullende diensten buiten het FG-abonnement. Uiteraard is het niet verplicht om een aanvullende dienst te kiezen. Dit is geheel vrijblijvend.

Spelregels ATOM

Vanuit onze wettelijke taak als FG / toezichthouder hebben wij een aantal spelregels ontwikkeld die gelden bij het maken van de keuzes. Dit zijn:

  • De gekozen ATOM-onderdelen komen in de plaats van de onafhankelijke FG- monitoringsrapportages die wij eerder hebben opgesteld voor jullie. Dit hoeft echter niet altijd zo te zijn; het blijft nog steeds mogelijk om binnen ATOM te kiezen voor een dergelijke monitoringsrapportage.
  • De FG is wettelijk verplicht om minimaal één keer per jaar te rapporteren aan het hoogste management. Daarom zal minimaal één ATOM-keuze een FG-rapportage moeten omvatten. De keuzes waarbij een FG-rapportage is inbegrepen zijn voorzien van een *. Dit betekent dat er altijd minimaal één keuzeoptie moeten zijn met een *.
  • Minimaal één keer per twee jaar wordt een AVG-Steekproef uitgevoerd door Lumen Group. Dit omdat de steekproef op materiële wijze doorgrondt hoe jouw instelling ervoor staat en waar de sterke punten en verbeterpunten zitten. Binnen de steekproef hebben wij wel flexibiliteit ingebouwd ten opzichte van eerdere steekproeven. Zie verder hieronder een beschrijving daarvan.

ATOM-keuzes binnen het FG-abonnement

Hieronder is een overzicht opgenomen van de mogelijkheden die Lumen Group inzet om het advies en toezicht in overleg passender te maken naar de situatie en wensen van jouw organisatie. De onderstaande opties zijn inbegrepen in het huidige FG-abonnement.

1. Flexibiliteit in de AVG-Steekproef*

Eerder voerden wij reeds een AVG-Steekproef voor jouw organisatie uit. Hierbij hebben wij gekeken naar de 10 belangrijkste risico’s. Binnen onze ATOM-aanpak is het nu mogelijk om voor flexibiliteit in de AVG-Steekproef te kiezen. Het gaat om de volgende mogelijkheden:

  • Je kunt ervoor kiezen om de AVG-Steekproef eerder of later te laten verrichten.
  • Je kunt ervoor kiezen om andere onderwerpen te laten toetsen (maximaal totaal 10 onderwerpen, zie hieronder een opsomming).
  • Je kunt ervoor kiezen om minder onderwerpen te laten toetsen, maar wel met meer diepgang (maximaal totaal 5 onderwerpen).

Mogelijk onderwerpen binnen de AVG-Steekproef:

  1. Register van verwerkingsactiviteiten
  2. Privacybeleid
  3. Informatiebeveiligingsbeleid
  4. Informatieplicht (privacyverklaring)
  5. Functionaris Gegevensbescherming
  6. Risicoanalyse privacy- en informatiebeveiligingsrisico’s
  7. (Sub)verwerkers en verwerkersovereenkomsten
  8. Bewaartermijnen en vernietiging persoonsgegevens
  9. Data Protection Impact Assessment (DPIA)
  10. Rechten van betrokkenen
  11. Datalekken- en incidentenprotocol
  12. Bewustwording, kennis en training
  13. Autorisaties en autorisatiematrix
  14. ePrivacybeleid
  15. Privacybeleid werknemers

2. AVG-Steekproef voor één van de onderliggende scholen

Een AVG-Steekproef kan ook toegespitst worden op een (onderliggende) school, dus niet organisatiebreed /op bestuursniveau. Wij kunnen ook een AVG-Steekproef verrichten op een school die onderdeel vormt van de scholengemeenschap of -groep. De bevindingen worden in een rapportage uitgewerkt en door Lumen Group besproken met het CvB, de directeur van de betreffende school en Privacy-Coördinator(en).

3. Schoolbezoek / ‘Rondje door de school’ (op locatie) *

Lumen Group kan ook langskomen op een schoollocatie als ‘Mystery Guest’. We kijken bijvoorbeeld in welke ruimtes we ‘zomaar’ kunnen komen waar persoonsgegevens opgeslagen liggen, of we zomaar bij bepaalde dossiers kunnen komen, welke kasten er open staan, of er computers worden vergrendeld, welke andere opvallendheden er zijn of wat er juist heel goed gaat, etc. Alle opvallendheden noteren we en/of maken we foto’s van. Daarnaast zullen wij ook ‘steekvragen’ stellen aan medewerkers op locatie. Denk hierbij aan de conciërge, leerkrachten/docenten en de administratief medewerkers. De bevindingen worden vastgelegd in een rapport en besproken met het CvB, de directeur van de betreffende school en Privacy-Coördinator(en).

4. Monitoringsgesprek met directeur van een onderliggende school*

Vanuit schoolbesturen komt tijdens de gesprekken met Lumen Group regelmatig het signaal naar voren dat bestuurders graag willen dat onderliggende scholen aan de slag gaan met privacy en informatiebeveiliging, maar dat het soms lastig is om directeuren of locatieleiders mee te krijgen. De noodzaak van een voorbeeldfunctie op het gebied van privacy en informatiebeveiliging wordt niet altijd ingezien. Een monitoringsgesprek met een directeur of schoolleider kan verhelderend werken.

5. Bewustwording: train de trainer- sessie

In twee uur nemen we op locatie jouw privacy-coördinatoren en/of (locatie)directeuren mee in een AVG-training. Hierbij reiken wij praktische handvatten aan om bewustwording met betrekking tot privacy en informatiebeveiliging in de haarvaten van de school te krijgen. Indien gewenst is het ook mogelijk om bij Lumen Group op kantoor een ‘een-op-een training’ te volgen. Na afloop van de training wordt hetgeen wat is besproken vastgelegd in een overzicht met tips en tricks. Dit wordt naar de trainer en bestuurder toegezonden. Na deze training zijn jouw medewerkers in staat om andere medewerkers te trainen.

6. Bewustwording: training voor een kleine groep

De ‘bewustwordingstraining’ die Lumen Group aanbiedt omvat een training op locatie met maximaal 20 personen. De insteek is een small group training, zodat de betreffende personen interactief mee kunnen doen met de training en ook praktijkvoorbeelden aan bod zullen komen. Dus bijvoorbeeld voor de directeuren, intern begeleiders, leerlingadministratiemedewerkers etc. Na afloop van de training zal de organisatie de presentatie ontvangen en een korte samenvatting van de praktijkvoorbeelden.

7. Deelnemen aan RvT-/RvC-/(G)MR-vergadering

Lumen Group monitort en houdt toezicht op de onderwijsorganisatie. Doorgaans spreken we met de bestuurder en medewerkers die betrokken zijn bij de implementatie en uitvoering van de AVG. Lumen Group kan zich echter goed voorstellen dat er bij de Raad van Toezicht/Raad van Commissarissen/(G)MR de behoefte bestaat om van een externe partij te horen hoe de organisatie ervoor staat, omdat zij hun informatie normaal gesproken van het bestuur krijgen of de rapporten lezen. Wij zullen dan langskomen tijdens een vergadering om vragen te beantwoorden en globaal het laatste monitorings- of steekproefrapport te bespreken.

8. Monitoringsgesprek en -rapport FG*

Voor al onze klanten hebben wij eerder FG monitoringsrapporten opgesteld naar aanleiding van een gesprek. Samen met de bestuurder wordt de stand van zaken van de AVG, de organisatie en de implementatie binnen de PDCA cyclus besproken. Ook wordt op specifieke uitdagingen binnen de organisatie ingegaan en adviseert Lumen Group hoe dit op te lossen. Daarna ontvangt het CvB een rapportage die kan worden gebruikt voor input voor de jaarplanning en kan overlegd worden aan RvT of  (G)MR of andere belanghebbenden.

9. Anders

Het kan goed zijn dat jouw organisatie andere behoeftes heeft die nog niet omvat zijn in de ATOM-keuzes. Lumen Group waardeert het wanneer klanten zelf meedenken. Bij nieuwe ideeën zullen we gezamenlijk bekijken of de wens in het FG-abonnement in te passen is.

ATOM-keuzes buiten het FG-abonnement (niet verplicht)

Hieronder is een overzicht opgenomen van aanvullende diensten die Lumen Group kan leveren. Uiteraard is een keuze voor een aanvullende dienst niet verplicht en is dit onderdeel geheel vrijblijvend.

1. Data Protection Impact Assessment (DPIA) en risicoanalyses uitvoeren

Lumen Group kan voor jouw organisatie een een Data Protection Impact Assessment (DPIA) verrichten. Hierbij maken wij een systematische analyse van de verwerking (incl. startbijeenkomst en uitwerking daarvan), maken een beoordeling van de privacyrisico’s, stellen een actieplan op (bepaling, beoordeling en onderbouwing van de beoogde maatregelen) en maken (en bespreken) een rapportage over de uitkomsten.

2. Online leerlijn: AVG in het klaslokaal

Met de online leerlijn ‘AVG in het klaslokaal’ vergroot je je kennis en bewustwording op het gebied van privacy-, informatiebeveiliging en AVG (Algemene Verordening Gegevensbescherming) in het onderwijs. Lees meer over onze online leerlijn op deze pagina.

3. Implementatiewerkzaamheden (‘handjes leveren’), bijvoorbeeld via een strippenkaart

Wij kunnen advies en begeleiding bieden op basis van onze ‘Strippenkaart’ of ‘Privacy Project Management’. De Strippenkaart houdt in dat je een vast aantal uren vooraf inkoopt. Deze uren kunnen vervolgens aan de hand van specifieke wensen, prioriteiten en situaties worden ingezet. Bij ‘Privacy Project Management’ zal een projectleider van Lumen Group op uurbasis een AVG-implementatietraject leiden aan de hand van onze beproefde gefaseerde AVG-Totaalaanpak.

4. Verwerkersovereenkomst beoordelen

Lumen Group kan voor jouw organisatie een verwerkersovereenkomst volledig en integraal (juridisch) doorlichten. Hierbij krijg je een volledige analyse waarbij wij inzichtelijk maken wat de juridische en privacyrisico’s zijn op basis van de verwerkersovereenkomst, uiteraard ook voorzien van advies en aanbevelingen.

5. Audit (incl. auditverklaring)

De privacyaudit wordt verricht op basis van het Lumen Group Privacyvolwassenheidsmodel. Dit model biedt organisaties handvatten om privacyrisico’s structureel inzichtelijk te maken, zodat deze risico’s beheersbaar kunnen worden gemaakt door de organisatie. Ook kan door het model de daadwerkelijke situatie van de implementatie van privacywet- en regelgeving worden vergeleken met het streef- en/of ambitieniveau van een organisatie.

Na het onderzoek ontvangt jouw organisatie een rapport. In dit rapport zijn bevindingen en praktisch toepasbare handvatten en verbeterpunten (aanbevelingen) opgenomen. Tot slot ontvang je van Lumen Group een auditverklaring. De auditverklaring blijft één jaar geldig nadat de auditverklaring is afgegeven.

6. Datastromen in kaart brengen en verwerkingsregister opstellen

Lumen Group kan jouw organisatie helpen bij het opstellen van het verwerkingsregister. Hierbij zullen wij de datastromen binnen de organisatie in kaart brengen aan de hand van interviews. Daarna zullen wij de datastromen analyseren en vertalen naar een verwerkingsregister dat voldoet aan de eisen van de artikel 30 van de AVG.

7. Uitvoerige (bewustwordings)training geven

Met de trainingen van Lumen Group haal je actuele kennis voor privacy en informatiebeveiliging in huis. Onze trainingen worden gegeven door ervaren en gecertificeerde docenten. Tijdens onze trainingen krijg je een praktisch denkkader aangereikt. Dit maakt dat je de training direct kunt toepassen op de werkvloer. Als je een training bij Lumen Group volgt, dan ben verzekerd van een interactieve training en faciliteer je een lerende organisatie. Onze trainingen vinden plaats op onze trainingslocatie of in-company bij jouw organisatie.

8. Informatiebeveiligingsdiensten

Heeft jouw organisatie naast ondersteuning op het gebied van privacy ook ondersteuning nodig bij informatiebeveiliging? Lumen Group levert ook informatiebeveiligingsdiensten en kan jouw organisatie hierbij van dienst zijn. Denk hierbij bijvoorbeeld aan PEN-testen, risicoanalyses en implementatiewerkzaamheden.

9. Werving en selectie voor privacy-coördinatoren/-projectleiders (interim medewerkers)

Bij Lumen Group werken wij met eigen privacy & data protection professionals en zelfstandig inzetbare interim professionals die onze opdrachtgevers bijstaan tijdens piekperiodes en/of in tijden van verandering. Onze consultants zijn er om uw continuïteit én kwaliteit te waarborgen. Soms is er (zeer) korte termijn behoefte aan specifieke kennis en capaciteit. Professionals van Lumen Group hebben de benodigde opleidingen, certificering, ruime en relevante ervaring én de juiste mindset om dergelijke opdrachten aan te kunnen.

De reden waarom er vaak voor ons wordt gekozen, is omdat wij goed in staat zijn de juiste privacy professional voor te dragen die passend is binnen de afdeling en cultuur van jouw organisatie.

Hieronder zetten we alle voordelen op een rij van onze interim oplossingen.

  • continuïteit werkzaamheden en hogere productiviteit;
  • extra expertise en ervaring;
  • service afgestemd op uw situatie;
  • verlaging van de werkdruk binnen uw organisatie;
  • optimale flexibiliteit op het gebied van duur en intensiteit.

10. Anders

Het kan goed zijn dat jouw organisatie andere behoeftes heeft die nog niet omvat zijn in de bovengenoemde opties. Lumen Group waardeert het wanneer klanten zelf meedenken.