Privacy

Binnen de vereniging is men bewust van het feit dat er persoonsgegevens worden uitgewisseld van kwetsbare groepen; van onze leerlingen en van onze medewerkers. De vereniging heeft een privacyreglement en verschillende aanverwante regelingen en procedures waaruit blijkt dat bij de vereniging privacy hoog in het vaandel staat. De functionaris gegevensbescherming is de interne toezichthouder op de omgang met persoonsgegevens.

In het verslagjaar is verder gewerkt om het handelen nog meer af te stemmen op de verplichtingen vanuit de Algemene Verordening Gegevensbescherming (AVG). Dit heeft geresulteerd in het inrichten en uitrollen van de module Verwerkingsregister van de Privacy Suite, de AVG-tool van de firma Smile. In deze module worden alle zaken voor dit register geregistreerd.

In de Privacy Suite worden alle AVG-zaken binnen één functionaliteit geregistreerd. Naast de module Verwerkingsregister, omvat de Privacy Suite ook de volgende modules:

  • (Privacy)Incidenten (registreren/melden en afhandelen van beveiligingsincidenten en datalekken);

  • Audits en Afwijkingen (registreren/uitvoeren van Data Protection Impact Assessments (DPIA’s));

  • Overzicht van de meest gestelde vragen en antwoorden (FAQ).

In de loop van 2021 worden deze modules ingericht en uitgerold in de scholen, te beginnen met de module (Privacy)Incidenten.

Werkgroep Data Protection Impact Assessment (DPIA
De werkgroep voerde een Data Protection Impact Assessment uit voor de leerling-administratiesystemen (LAS’en) Magister (alle OMO-scholen, uitgezonderd Metameer) en Som2Day (Metameer). Met een DPIA worden de privacy risico’s van gegevensverwerking (applicatie – ICT-toepassing) in kaart gebracht. Vervolgens worden de maatregelen benoemd om de risico’s te verkleinen. 
De afronding van de DPIA’s Magister en Som2Day vindt plaats in het eerste kwartaal van 2021.

De functionaris gegevensbescherming heeft op iedere school een contactpersoon die op de betreffende school belast is met vraagstukken rondom privacy. 
In het verslagjaar is zowel op verenigings- als op schoolniveau veel aandacht besteed aan de ontwikkeling en implementatie van de specifieke informatiebeveiligingsplannen (IBP). 
In het verslagjaar zijn 28 datalekken gemeld bij de Autoriteit Persoonsgegevens.