Privacy
Binnen de vereniging wordt uitvoering gegeven aan privacybeleid door middel van contactpersonen op iedere school die fungeren als eerstelijns aanspreekpunt voor privacy-gerelateerde vraagstukken. Op verenigingsniveau is een (interim) privacy officer aangesteld die nauw contact houdt met de contactpersonen en fungeert als tweedelijns aanspreekpunt voor privacyvraagstukken. In 2022 zijn verder twee nieuwe (externe) Functionarissen Gegevensbescherming aangewezen die als externe toezichthouder toezien op de naleving van de AVG en contact onderhouden met de privacy officer.
Processen, protocollen en documentatie
In 2022 is veel aandacht geweest voor het neerzetten van de privacy organisatie binnen de vereniging. Er is uitvoering gegeven aan de bestaande privacyrichtlijnen en protocollen binnen de organisatie. Dit houdt in dat de privacy officer toeziet op de afhandeling van alle verwerkersovereenkomsten en dat het verwerkingsregister wordt bijgehouden op verenigingsniveau in Privacy Suite van de firma Smile.
Bewustwording en kennisdeling
In 2022 heeft de privacy officer in samenwerking met de Functionarissen Gegevensbescherming en ICT-coördinator een middag georganiseerd voor alle privacy contactpersonen. Het doel van deze middag was kennismaking, kennisoverdracht en afstemming. Tijdens de presentaties is aandacht besteed aan bewustwording rondom privacy en informatiebeveiliging en zijn afspraken gemaakt over de werkwijzen rondom verwerkersovereenkomsten en datalekken. De bijeenkomst heeft tot gevolg gehad dat de privacy officer meer en sneller betrokken wordt bij de privacyvraagstukken die spelen op de scholen.
In oktober is op de studiedag van OMO scholengroep Tongerlo een privacy workshop verzorgd.
Informatiebeveiliging en datalekken
De AVG schrijft voor dat er passende technische en organisatorische maatregelen genomen worden ter beveiliging van persoonsgegevens. Daarnaast geldt er onder de AVG een meldplicht datalekken. Dit houdt in dat incidenten, waaronder inbreuken op de beveiliging onder omstandigheden gemeld dienen te worden aan de AP en/of de betrokkene(n).
Informatiebeveiliging heeft ook in 2022 hoog op de agenda gestaan. Vanuit privacy is er verbinding gezocht met informatiebeveiliging om de scope van aanpak te vergroten en grote risico’s op beide vlakken gezamenlijk het hoofd te kunnen bieden. De privacy officer heeft deelgenomen aan het Intensiveringsprogramma Informatiebeveiliging.
De Functionarissen Gegevensbescherming ondersteunen in hun adviserende rol de privacy officer en zien toe op de afhandeling van datalekken. De FG’s zijn in negen gevallen betrokken geweest bij de afhandeling van een datalek. In twee gevallen heeft dat geleid tot een melding bij de Autoriteit Persoonsgegevens.
Transparantie en rechten van betrokkenen
De AVG verplicht de organisatie om bij het verwerken van de persoonsgegevens de betrokkene(n) te informeren over het verwerken. Daarnaast stelt de AVG betrokkenen in staat om met een aantal rechten controle en invloed uit te oefenen over zijn of haar persoonsgegevens.
De FG is betrokken geweest bij een klacht van ouders met betrekking tot de verwerking van de persoonsgegevens. Daarnaast is de FG betrokken bij één inzageverzoek.
Korte vooruitblik 2023
De komende tijd wordt binnen de OMO-scholen gewerkt aan het implementeren van het normenkader informatiebeveiliging dat in 2023 voor het gehele onderwijs zal gaan gelden. Hierbij wordt vanuit privacy samenwerkt met de beveiligingsexperts. Daarnaast zal op termijn binnen de onderwijssector een vergelijkbaar privacy-normenkader worden vastgesteld. De vereniging zal aansluiten bij deze landelijke ontwikkelingen en de scholen ondersteunen bij nieuwe normenkaders.
In 2023 zal een nieuwe privacy officer samen met FG's de scholen blijven ondersteunen bij privacyvraagstukken. Naast aandacht voor de verbetering en inbedding van processen zoals de afhandeling van verwerkersovereenkomsten en heroverweging van de gebruikte privacytooling wordt ingezet op aandacht voor ‘meekijksoftware', inzageprocedures en toegangsbeleid (controle van autorisaties).