AVG Zelftoets Onderwijs

Welkom bij de AVG Zelftoets Onderwijs voor klanten van Lumen Group! De toets is geschikt voor KO, PO, VO, MBO en Samenwerkingsverbanden Passend Onderwijs.

Deze AVG Zelftoets bestaat uit 10 relevante onderwerpen en heeft betrekking op Informatiebeveiliging en Privacy (hierna: IBP), waarbij per onderwerp een aantal verdiepingsvragen wordt gesteld.

Kruis aan wat naar jouw inschatting het beste overeenkomt met de huidige situatie van uw organisatie. Aan de hand van de beantwoording krijg je een goed beeld waar jouw organisatie nu staat, wat gereed is en waaraan nog gewerkt zal moeten worden komende tijd.

Vanuit Lumen Group geloven wij in een integrale (risico)benadering van IBP en de AVG. Deze Zelftoets is ook als zodanig samengesteld. Het bevat derhalve de belangrijkste AVG verplichtingen en is gecombineerd met ‘good practices’ die wij zelf in ons toezicht hebben opgedaan.

Het verdient aanbeveling om deze AVG Zelftoets samen met jouw collega’s in te vullen die ook bij de AVG betrokken zijn. Het invullen kost circa 30 minuten. Aan het einde van de Zelftoets is er nog een vrij veld om opmerkingen of toelichting te geven als je dat wenst.

Na versturing ontvang je automatisch per e-mail de door jouw ingevulde resultaten voor je eigen IBP dossier. Lumen Group ontvangt als FG ook een kopie van de ingevulde resultaten.

Mochten er zaken onduidelijk zijn, neem dan graag contact op met Lumen Group. Succes met het invullen!
Naam organisatie*
Ingevuld door*
E-mailadres (hierop ontvangt u de resultaten na invulling Zelftoets)*

1. Beleid privacy en informatiebeveiliging en bewustzijn

1. Toetsvraag: Het realiseren van het bewustzijn rondom IBP wordt binnen onze organisatie serieus aangepakt.*

	Ja	Nee	Niet zeker
Verandering: Wij willen aan de wet voldoen en zijn ons bewust van de veranderingen in de AVG ten opzichte van de oudere wetgeving.
Beleid: Ons privacy en IBP beleid, protocollen en richtlijnen zijn geactualiseerd en voldoen in de kern als kader om aan de AVG te voldoen. Ons beleid bevat beginselen, normen en waarden hoe wij omgaan met de privacy van betrokkenen en informatiebeveiliging.
Gedragenheid door bestuur: Ons bestuur vervult een voortrekkersrol in het realiseren van het benodigde bewustzijn van medewerkers over privacy binnen hun werkzaamheden. Dit betekent bijvoorbeeld dat er in bijeenkomsten aandacht is voor IBP. Tevens is het bestuur ontvankelijk voor signalen van personeel rondom IBP en volgt dit serieus op.
Training en communicatie: Wij geven regelmatig trainingen over het thema IBP aan ons personeel zodat vraagstukken (en evt. datalekken) in dit kader worden herkend. Dit doen wij op regelmatige wijze via verschillende kanalen zodat medewerkers zich bewust zijn van de regels en de risico’s en hoe zij moeten handelen. Wij behandelen hierbij ook concrete voorbeeldsituaties met elkaar.
Bespreekbaarheid en aanspreekbaarheid: Binnen onze organisatie heerst een cultuur waar wij issues rondom IBP met elkaar bespreken en verantwoordelijkheid nemen en anderen aanspreken op het moment dat onzorgvuldige verwerking plaatsvindt van persoonsgegevens.
Gedragsregels: Onze organisatie hanteert gedragsregels rondom het gebruik van o.a. social media, ICT-middelen, wachtwoorden en internet, cleandesk waarin ook de raakvlakken met IBP zijn uitgewerkt.
Geheimhoudingsverklaring: Ons personeel en externen tekenen een geheimhoudingsverklaring waarin zij aangeven kennis te hebben genomen van de IBP beginselen en gedragsregels van de organisatie en zich tevens houden aan hun geheimhoudingsverplichting.

2. Besturing

2. Toetsvraag: Om te kunnen voldoen aan de AVG-verplichtingen is bij ons de besturing binnen de organisatie goed ingericht.*

	Ja	Nee	Niet zeker
Rol van het bestuur: Binnen ons bestuur is duidelijk wie primair verantwoordelijk is binnen zijn/haar takenpakket voor IBP.
Aansprakelijkheid: Ons bestuur is zich bewust van de (hoofdelijke) aansprakelijkheid die ze lopen ten aanzien van de naleving van de AVG.
Taken, bevoegdheden en verantwoordelijkheden: Bij ons is duidelijk bepaald en gecommuniceerd welke medewerkers voor welke IBP aspecten verantwoordelijk zijn. Dit geldt zowel voor de evt. aanwezige IBP medewerkers, privacy-officers of coördinatoren, als voor informatiebeveiligingsmedewerkers of security officers. De bevoegdheden en verantwoordelijkheden van deze medewerkers zijn vastgelegd en gecommuniceerd aan de organisatie.
Benoeming FG: Wij hebben een aantoonbaar kundige Functionaris Gegevensbescherming (FG) benoemd. In een door het bestuur ondertekend FG reglement zijn conform de AVG de taken en bevoegdheden vastgelegd die van belang zijn voor de uitoefening van deze functie. De contactgegevens van de FG zijn goed vindbaar.
FG rapportage: De FG rapporteert op regelmatige basis aan het bestuur en is in staat op onafhankelijke wijze zijn functie uit te oefenen en daarbij, indien nodig, een kritische houding aan te nemen.
Middelen: Ons bestuur heeft voldoende geld en middelen beschikbaar gesteld om (blijvend) aan de AVG te kunnen voldoen.
Datalekken: Onze medewerkers herkennen informatiebeveiligingsincidenten en datalekken. Wij hebben een protocol datalekken en kunnen binnen 72 uur datalekken melden aan de Autoriteit Persoonsgegevens. De FG wordt hierbij altijd betrokken.
Wij hebben een RvC of RvT die regelmatig toeziet op IBP en naleving van de AVG.

3. Register van verwerkingsactiviteiten

3. Toetsvraag: Wij hebben een actueel register van verwerkingsactiviteiten (artikel 30 AVG) waardoor wij weten welke persoonsgegevens wij verwerken.*

	Ja	Nee	Niet zeker
Inventarisatie verwerkingen: Wij hebben een inventarisatie uitgevoerd van alle verschillende verwerkingen van persoonsgegevens in de processen en systemen.
Register: Wij hebben een register van de verwerkingsactiviteiten opgesteld dat voldoet aan de vormeisen van de AVG. In het register moet onder andere worden opgenomen welk soort persoonsgegevens worden verwerkt van welke soorten betrokkenen.
Doel verwerking en dataminimalisatie: Wij hebben in het register zorgvuldig de doelen in kaart gebracht waarvoor wij persoonsgegevens mogen verwerken. Wij weten daardoor zeker dat de persoonsgegevens die wij verwerken noodzakelijk zijn en niet op een andere wijze worden gebruikt dan voor het doel waarvoor ze zijn verzameld.
Rechtsgrond verwerking: Wij hebben in het register zorgvuldig in beeld gebracht met welke rechtsgrond wij gegevens verwerken. Veelvoorkomende rechtsgronden zijn: wettelijke basis, uitvoering overeenkomst, toestemming en gerechtvaardigd belang.
Bewaartermijnen: Wij hebben in het register vastgesteld wat de verschillende bewaartermijnen zijn van onze data. Wij weten hierdoor zeker dat wij persoonsgegevens niet langer bewaren dan deze vastgestelde termijnen. Wij schonen periodiek de dossiers hierop.
Compleetheid register: Wij weten precies aan welke derde partijen wij gegevens verstrekken en weten of wij zelf verwerkingsverantwoordelijke zijn of verwerker¹. Alle bestaande IT-systemen zijn hierin meegenomen.
Actueel houden en controle: Wij hebben een proces en verantwoordelijke aangewezen die dit register actueel houdt. Het register wordt door de FG regelmatig getoetst op inhoud en actualiteit.

4. Risicogebaseerde aanpak en uitvoeren dPIA's

4. Toetsvraag: Wij kennen de risico’s rondom IBP en beheersen deze zowel op organisatieniveau als op procesniveau.*

	Ja	Nee	Niet zeker
Risicoanalyse: Op organisatieniveau wordt regelmatig een risicoanalyse uitgevoerd naar IBP. De uitkomsten hiervan worden vastgelegd en hieromheen worden beheersmaatregelen gedefinieerd.
Wij hanteren een score voor het volwassenheidsniveau van naleving van de IBP (bv. CMM³).
Uitvoeren dPIA’s: Wij weten of, en zo ja, voor welke processen wij dPIA’s moeten uitvoeren. De dPIA’s worden conform wettelijke eisen uitgevoerd en vastgelegd en maken onderdeel uit van de documentenset van het register van verwerkingsactiviteiten.
Uitkomsten: De uitkomsten van de dPIA’s ter beheersing van de risico’s worden aantoonbaar opgevolgd.
Systematiek: Tevens hebben wij een systematiek waarbij geborgd wordt dat bij veranderingen opnieuw een dPIA wordt uitgevoerd.

5. Informatieplicht en rechten van betrokkenen

5. Toetsvraag: Wij verstrekken actief informatie aan betrokkenen over hoe wij met privacy omgaan.*

	Ja	Nee	Niet zeker
Informatieverstrekking en transparantie: Wij informeren betrokkenen actief over de verwerking van persoonsgegevens en hoe wij omgaan met de privacybescherming. Wij hebben ook het moment bepaald waarop dit moet gebeuren (eerste contact).
Privacyverklaring en Privacyreglement: Wij hebben alle informatie over onze persoonsgegevensverwerkingen en privacybescherming op de website gepubliceerd. Dit is in duidelijk en begrijpelijk taalgebruik gedaan. Tevens wijzen wij betrokkenen op de rechten die zij kunnen uitoefenen zoals het recht op inzage en correctie van gegevens.
Opvolgen verzoeken: Wij hebben de wijze waarop wij invulling moeten geven aan de rechten van betrokkenen uitgewerkt in onze processen. Wij weten precies waar de informatie staat binnen onze organisatie om binnen de wettelijke termijn op een verzoek van een betrokkene te kunnen reageren.
Klachten: Wij hebben in de informatieverstrekking opgenomen dat betrokkenen een klacht kunnen indienen bij de Autoriteit Persoonsgegevens. Ook kan de FG worden benaderd voor opmerkingen of klachten rondom verwerkingen van persoonsgegevens.

6. Verwerkingsovereenkomsten en gegevensuitwisseling met derden

6. Toetsvraag: Wij hebben duidelijke afspraken gemaakt met onze verwerkers en derden-partijen.*

	Ja	Nee	Niet zeker
Verwerkersovereenkomst: Met alle verwerkers van persoonsgegevens hebben wij een schriftelijke overeenkomst afgesloten die tevens voldoet aan de AVG-eisen. Dit betreft alle leveranciers die persoonsgegevens van ons verwerken waarbij wij het doel en de middelen van de verwerking bepalen.
Vooronderzoek verwerker: Voorafgaand aan het contracteren van een verwerker wordt een onderzoek gedaan naar de kwaliteit van de leverancier en hoe deze (aantoonbaar) goed omgaat met de bescherming van persoonsgegevens.
Borging: Wij weten zeker dat alle verwerkers afdoende garanties hebben toegepast voor organisatorische en technische maatregelen ter bescherming van de privacy. Wij laten verwerkers periodiek rapporteren over de verwerkingen die zij uitvoeren.
Derde partijen: Wij hebben de derde partijen (ook AVG verwerkingsverantwoordelijken) aan wie wij gegevens verstrekken in kaart gebracht en hebben afspraken gemaakt over deze uitwisseling van persoonsgegevens (bv. veilige bestandsoverdracht via portals, veilig mailen etc.).
Datalekken: Wij hebben met verwerkers en derde partijen afspraken gemaakt over omgang met datalekken (informeren, melden en aansprakelijkheid).
Einde overeenkomst: Wij hebben afspraken gemaakt over hoe om te gaan met (persoons)gegevens als we afscheid nemen van een verwerker.

7. Beveiliging persoonsgegevens

7. Toetsvraag: Wij hebben een adequaat beveiligingsniveau ingeregeld zodat risico’s zoals onbevoegde toegang, verlies van persoonsgegevens en onrechtmatig gebruik van persoonsgegevens worden tegengegaan.*

	Ja	Nee	Niet zeker
Beleid: Wij hebben een informatiebeveiligingsbeleid gericht op persoonsgegevensbeveiliging dat gebaseerd is op een standaard (bv. ISO27001).
Maatregelen: Dit beveiligingsbeleid voldoet aan de eisen uit de AVG (‘passende technische en organisatorische maatregelen’). Dit kan onder meer bevatten pseudonimisering, anonimisering, versleuteling, beschikbaarheid systemen, testen en evalueren. Hieronder valt ook fysieke toegangsbeveiliging en autorisatiebeheer en two-factor authenticatie en logging.
Classificatie van gegevens: De gegevensverzamelingen binnen onze organisatie zijn qua informatiebeveiliging geclassificeerd op basis van Beschikbaarheid, Integriteit, Vertrouwelijkheid (‘BIV classificatie’).
Testen: In opdrachten worden er testen uitgevoerd door gespeci- aliseerde IT-partijen om de kwetsbaarheid van het IT-landschap te identificeren. Dit betekent dat u bijvoorbeeld een externe partij vraagt om te proberen in te breken in de systemen.
Access Rights procedure: Wij hanteren een procedure voor het verlenen van toegang tot systemen en processen. De basis hiervoor is een beschrijving van rollen, zodat gebruikers op basis van hun functie persoonsgegevens wel of niet mogen inzien of bewerken. Dit alles is gebaseerd op hantering van het ‘need to know’ beginsel waarbij wij voor onze organisatie hebben bepaald welke gebruikers welke informatie objectief gezien noodzakelijk nodig hebben voor de uitvoering van hun werkzaamheden.
Autorisatiematrix: Bevoegdheden en autorisaties van gebruikers tot applicaties en systemen zijn aantoonbaar gekoppeld aan functieprofielen en liggen vast in een autorisatiematrix. De technische inregeling van de autorisaties volgt de vastgelegde autorisaties in de matrix. Er vinden controles plaats op de naleving van de matrix.

8. Aantoonbaarheid

8. Toetsvraag: Wij hebben georganiseerd dat wij aantoonbaar in control zijn en blijven op naleving van de AVG en IBP risico’s.*

	Ja	Nee	Niet zeker
Documentatieplicht: Wij hebben op alle onderdelen van de AVG beschreven welke afwegingen wij hebben gemaakt en wat ons beleid is. Wij hebben voor alle verplichtingen procedures beschreven en ingevoerd.
Systeem: Wij hebben een methodiek of softwaresysteem in gebruik om in continuïteit aantoonbaar te maken dat we voldoen aan de AVG. Wij hebben een PDCA (Plan-Do-Check- Act) cyclus ingevoerd waarmee we periodiek monitoren, verbeteringen in kaart brengen en deze daadwerkelijk oplossen en doorvoeren.
‘Privacy by design’ van systemen en processen: bij het ontwerpen en aanpassen van processen en systemen houden wij aantoonbaar rekening met privacy en gegevensbescherming.
Toezicht: Er is een interne controleur, belast met het periodiek toetsen van de beheersmaatregelen uit het IBP beleid en deze hanteert een controleprogramma. De opzet van de controles en de daaropvolgende uitkomsten van de controles worden gedeeld met o.a. het bestuur en de FG.
Wetgeving/veranderingen: Wij houden structureel ontwikkelingen bij in wet- en regelgeving, organisatieontwikkelingen en ontwikkelingen binnen de branche of laten ons informeren.
Toestemming: Wij hebben nadrukkelijk in beeld voor welke verwerkingen toestemming vereist is van betrokkenen en volgen dit op en leggen dit vast. Wij hebben de betrokkenen ook geïnformeerd dat hij/zij de gegeven toestemming altijd mag intrekken.
Gerechtvaardigd belang: Wanneer wij ons baseren op deze rechtsgrond leggen wij onze overwegingen zorgvuldig vast. Wij beargumenteren op begrijpelijke wijze waarom een bepaalde persoonsgegevensverwerking noodzakelijk is voor de behartiging van een gerechtvaardigde belang.

9. Specifieke aandachtspunten

9. Toetsvraag: Wij voldoen aan ondergenoemde specifieke aandachtspunten.*

	Ja	Nee	Niet zeker
BSN: Wij weten of wij een wettelijke basis hebben om het BSN te mogen verwerken.
Wij hebben een beleid rondom het gebruik van camera’s en camerabeelden.
Wij hebben een beleid rondom het gebruik van cookies op onze website.

10. Eigen beoordeling volwassenheidsniveau
10. Toetsvraag: Wij scoren onszelf op het volgende volwassenheidsniveau rondom de aantoonbare naleving van de AVG en IBP (methodiek gebaseerd op CMM methode). Kruis volwassenheidsniveau aan.*
- Niveau 1: Initieel, ad hoc: De processen zijn ad hoc georganiseerd, erg afhankelijk van individuele personen.
- Niveau 2: Beleid is gemaakt en goedgekeurd en bij een kleine groep bekend (opzet en bestaan).
- Niveau 3: Beleid is bij alle betrokken medewerkers, studenten en externen bekend (werking).
- Niveau 4: IBP is onderdeel geworden van de PDCA cyclus.
- Niveau 5: IBP is toekomstbestendig, effectief en efficiënt.

Zelftoets Algemene Verordening Gegevensbescherming

Stap 1 van 11

1. Beleid privacy en informatiebeveiliging en bewustzijn

2. Besturing

3. Register van verwerkingsactiviteiten

4. Risicogebaseerde aanpak en uitvoeren dPIA's

5. Informatieplicht en rechten van betrokkenen

6. Verwerkingsovereenkomsten en gegevensuitwisseling met derden

7. Beveiliging persoonsgegevens

8. Aantoonbaarheid

9. Specifieke aandachtspunten

10. Eigen beoordeling volwassenheidsniveau

LUMEN GROUP

LinkedIn

CONTACT