Een belangrijk onderdeel van de AVG is de verantwoordingsplicht. Dat betekent dat de organisatie doorlopend moet kunnen aantonen dat deze zich houdt aan de privacyregelgeving. Je moet bijvoorbeeld kunnen aantonen dat persoonsgegevens rechtmatig, transparant en voldoende veilig verwerkt worden. Dat kan onder andere door het inrichten van een zg. Plan-Do-Check-Act-cyclus (PDCA-cyclus). Hiermee kan gestructureerd beleid worden gemaakt, de uitwerking getoetst en eventueel aangepast worden.
In veel gevallen heeft een onderwijsinstelling al een PDCA-cyclus lopen waar informatiebeveiliging en privacy onderdeel van kan zijn. Te denken valt aan een kwaliteitsmonitor, rapportagecyclus of jaaragenda.
Vanuit de PDCA-cyclus worden er ook gedurende het schooljaar controles en checks gedaan die gegevensgericht zijn. Vanuit de AVG valt hierbij te denken aan bijvoorbeeld:
- zijn dossiers vernietigd conform bewaartermijnen?
- zijn alle verwerkersovereenkomsten up to date?
- is alle benodigde toestemming verkregen en vastgelegd?
- is het register van verwerkingsactiviteiten actueel?
Neem contact op met Lumen Group om verder te bespreken hoe dit specifiek voor jullie organisatie ingeregeld kan worden.
Meer over de uitvoering en kwalificatie van risico’s en de PDCA-cyclus is te vinden op Kennisnet.
