De AVG bepaalt niet alleen onder welke voorwaarden persoonsgegevens gebruikt mogen worden, maar geeft ook aan dat er passende technische- en organisatorische maatregelen genomen moeten worden voor het omgaan en beschermen van die persoonsgegevens.
Om hieraan te voldoen zal een school moeten vastleggen wat wel en niet met persoonsgegevens gedaan mag worden. Als school moet je weten waar de risico’s liggen en aan kunnen tonen wat je doet om die te verkleinen.
Het gaat in eerste instantie niet om (ICT)technische maatregelen, maar om gedrag, cultuur en bewustwording. Informatiebeveiliging vergt een constant bewustzijn van de risico’s die een school loopt; niet alleen risico’s waardoor de continuïteit in zowel het onderwijs als de bedrijfsvoering in gevaar kan komen, maar ook risico’s rondom het beschermen van de privacy van leerlingen en medewerkers. Informatiebeveiliging en privacybeleid (IBP-beleid), met de onderliggende afspraken, procedures en verantwoordelijkheden moet school-breed geïmplementeerd zijn, waarna ICT aan zet is bij de technische uitvoering en monitoring.
Het schoolbestuur (het bevoegd gezag) is verantwoordelijk om informatiebeveiliging en privacy te organiseren. Het regelen van IBP begint dan ook met een goedgekeurd en bij iedereen bekend gemaakt IBP-beleid.
Klik hier voor onze template voor een privacybeleid.
Bron: Kennisnet (bewerkt)
