Wanneer gebruik wordt gemaakt van externe leveranciers van diensten en/of producten die op hun beurt persoonsgegevens namens jouw schoolorganisatie verwerken omdat zij hiertoe instructies voor hebben gekregen van jouw organisatie, dan zijn zij als verwerker aan te merken. Er zal dan een verwerkersovereenkomst afgesloten moeten worden.
Voordat zo’n samenwerking wordt aangegaan zijn er een aantal aspecten waar op gelet kan worden inzake de privacy- en informatiebeveiliging. Hieronder staat een overzicht van een aantal hulpvragen om privacy- en informatiebeveiligingsrisico’s inzichtelijk te maken.
|
Vragen |
Toelichting |
|
Is de communicatie versleuteld? |
Kijk naar de versleuteling van berichten/communicatie (“AES 256 bit TLS” bijvoorbeeld). |
|
Worden wachtwoorden onherleidbaar gemaakt? |
Kijk naar de methode wat gebruikt wordt om wachtwoorden onherleidbaar te maken (“hashing”). |
|
Worden gesprekken afgeschermd door unieke vergader ID’s? |
Bekijk of de optie bestaat om vergader id’s te gebruiken om hiermee vergaderingen af te schermen. |
|
Wordt er voldaan aan de AVG? |
Beoordeel in hoeverre een dienst in overeenstemming is met de AVG. |
|
Waar vindt de gegevensverwerking plaats? |
Ga na waar de gegevensverwerking plaats vindt. Bij voorkeur in de EU. |
|
Is er sprake van certificering? |
Check of er gebruik wordt gemaakt van certificeringen (“ISAE 3402 type 2, SOC 2 type 2, ISO 27001/2, NEN7510, NTA7516”). |
|
Is er sprake van beveiligde verbinding op het internet? |
Ga na of je je bevindt op een beveiligde verbinding op het internet (“HTTPS”). |
|
Worden er bijzondere/gevoelige (persoons)gegevens verwerkt? |
Ga na of het beveiligingsniveau van een applicatie voldoende is om bijzondere/gevoelige gegevens te bespreken of te delen. |
|
Hoe zit het met de toegang tot microfoon, camera, GPS of het adresboek van een toestel? |
Controleer welke onderdelen van een toestel noodzakelijk zijn en welke niet. Zo zal het GPS vaak niet noodzakelijk zijn. |
|
Worden persoonsgegevens met derden gedeeld? |
Controleer of persoonsgegevens door de aanbieder wordt gedeeld met derden en maak uw afweging hierin of u dit accepteert door de risico’s te bepalen. |
|
Zijn de privacyvoorwaarden transparant? |
Controleer of de voorwaarden over privacy van de aanbieder transparant zijn in de privacy statements. |
|
Wat is het verdienmodel van de aanbieder van de applicatie? |
Ga na of je moet betalen voor het gebruik van de applicatie. Is de applicatie ‘gratis’? Dan wordt in de meeste gevallen ‘betaald’ met je persoonsgegevens. |
