Privacy compliance kader MBO

Transcriptie

1 Privacy compliance kader MBO IBPDOC2B

2 Verantwoording Bron: Raamwerk van de Wet bescherming persoonsgegevens en Algemene Verordening Gegevensbescherming Versie 1.0 December 2014 Met dank aan: Jan Bartling Remco de Boer Yvonne Dijkman Hans Doffegnies Casper Schutte Pierre Veelenturg Pepijn de Vette Bewerkt door: Kennisnet / sambo-ict Auteurs Chloë Baardman Leo Bakker Ludo Cuijpers Job Vos (sambo-ict) (Kennisnet) (MBO Raad) (Summa College)) (ROC Midden Nederland) (MBO Raad) (MBO Amersfoort) (SURF) (Kennisnet) (sambo-ict) (Kennisnet) Sommige rechten voorbehouden Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s) en uitgever van Kennisnet geen aansprakelijkheid voor eventuele fouten of onvolkomenheden. Creative commons Naamsvermelding 3.0 Nederland (CC BY 3.0) De gebruiker mag: Het werk kopiëren, verspreiden en doorgeven Remixen afgeleide werken maken Onder de volgende voorwaarde: Naamsvermelding de gebruiker dient bij het werk de naam van Kennisnet te vermelden (maar niet zodanig dat de indruk gewekt wordt dat zij daarmee instemt met uw werk of uw gebruik van het werk). IN DIT DOCUMENT WORDEN DE BEGINSELEN EN PRINCIPES BESCHREVEN DIE EEN ONDERWIJSINSTELLING MOET AANHOUDEN ALS HIJ GEGEVENS VERZAMELT OVER STUDENTEN EN DOCENTEN. WET- EN REGELGEVING IS EVENEENS AFKOMSTIG VAN DEZE BEGINSELEN. DIT DOCUMENT IS BEDOELD OM DE WET EEN- VOUDIGER TE KUNNEN BEGRIJPEN. DE TEKST IS GESCHREVEN VOOR NIET-JURISTEN. DAARBIJ IS ER VOOR GEKOZEN OM NIET ALTIJD DE LETTERLIJKE JURIDI- SCHE BEWOORDINGEN AAN TE HOUDEN. MET DEZE VERTAALSLAG GAAN SOMS JURIDISCHE FINESSES EN DETAILS VERLOREN. VOOR DE VOLLEDIGHEID WORDT U ALTIJD AANGERADEN OM BIJ TWIJFEL DE WETTEKST TE RAADPLEGEN EN ZO NODIG EEN DESKUNDIGE IN TE SCHAKELEN. IBPDOC2B, versie 1.3 Pagina 2 van 48

3 Inhoudsopgave Verantwoording Verantwoording en toelichting Verdere ontwikkeling Compliance kader Toetsingskader Basisbeginselen privacy Ontstaan privacy Basis privacy principes Privacy by design Doel en doelbinding Grondslag Dataminimalisatie Transparantie Rechten van de betrokkene Beveiliging Datakwaliteit (data-integriteit) Verantwoordelijkheid (responsibility) Eigendom Afgeleide privacy principes: statements Algemeen Samenhang informatiebeveiliging en privacy Privacy gevoelige statements uit het normenkader informatiebeveiliging mbo Beleid en organisatie Personeel, studenten en gasten Ruimtes en apparatuur Continuïteit Vertrouwelijkheid en integriteit Controle en Logging Specifieke privacy-statements Beleid en organisatie Personeel, studenten en gasten Ruimte en apparatuur Vertrouwelijkheid en integriteit Controle en Logging Bijlage 1: Samenhang principes en wettelijke kaders Privacy by design Doel en Doelbinding Grondslag Dataminimalisatie Transparantie Rechten betrokkene Beveiliging Datakwaliteit (zorgvuldigheid; data integriteit) Verantwoordelijkheid (responsibility) Bijlage 2: Definities Bijlage 3: Framework Informatiebeveiliging en Privacy voor het MBO IBPDOC2B, versie 1.3 Pagina 3 van 48

4 1. Verantwoording en toelichting Privacy is een thema dat door de digitalisering van de maatschappij en de populariteit van sociale media meer leeft dan ooit. Er wordt steeds meer informatie met elkaar gedeeld en dit roept vragen op over wat wel of niet verstandig is. Ook in het onderwijs is te merken dat ICT steeds vaker wordt ingezet in de klas, maar ook in het secundaire proces zoals bij de studentenadministratie. Het toenemend opslaan en verzamelen van informatie over studenten, maakt dat er ook meer aandacht moet zijn voor privacy en informatiebeveiliging. Willen onderwijsinstellingen in de toekomst gebruik blijven maken van gegevens, én willen studenten (en docenten) ook nog gegevens met scholen blijven delen, dan moet er sprake zijn van goed samenspel bij: 1. de interactie met studenten en eventueel hun ouders; 2. de interactie met betrokken partijen (zoals tussen scholen en hun leveranciers); 3. het gebruik van de middelen en de gegevens. Dit noemen we samen een digitaal ecosysteem: partijen en middelen moeten op een goede manier in balans zijn om tot een legitiem ecosysteem te komen. Bij een datalek, is er - spreekwoordelijk - sprake van vervuiling en een verstoring van die balans. Het lek moet worden gedicht, de vervuiling wordt zo veel mogelijk verwijderd, maatregelen worden genomen om herhaling te voorkomen en met betrokkenen wordt gebouwd aan het vertrouwen om te voorkomen dat een nieuw lek opnieuw plaatsvindt. Het zorgvuldig omgaan met gegevens is (wettelijk) de verantwoordelijkheid van onderwijsinstellingen zelf. Zij kunnen en mogen dit niet afwentelen op bijvoorbeeld hun leveranciers. Door het toegenomen gebruik van ICT in het onderwijs, en de toenemende mogelijkheden daarvan, komt de noodzaak voor informatiebeveiligingsbeleid en privacy steeds vaker in beeld. De bescherming van privacy en daarmee samenhangende gegevens wordt steeds belangrijker voor mbo-scholen. De persoon op wie de informatie betrekking heeft, noemen we betrokkene: dat kunnen studenten zijn, maar ook medewerkers (docenten, administratief personeel). Een goed ingericht secundair proces zorgt ervoor dat primaire processen beter kunnen renderen. ICT kan er aan bijdragen dat de organisatie van de randvoorwaarden efficiënter en effectiever wordt en draagt bij aan administratieve lastenverlichting. Door de inzet van ict kunnen beschikbare gegevens (over studenten en hun prestaties) beter worden benut. Scholen kunnen met die gegevens gemakkelijker transparant zijn over de resultaten en vorderingen van studenten. Docenten kunnen gegevens over het leerproces van de student gebruiken om dat leerproces te volgen en maatwerk te bieden. Bestuurders en managers kunnen op basis van (objectieve) gegevens onderbouwde keuzes maken om de effectiviteit en doelmatigheid van het onderwijs te verbeteren. Bovendien spelen gegevens een belangrijke rol bij de bekostiging, de verantwoording en het toezicht. En om goed onderwijs te bieden is het waardevol dat relevante informatie over een student van de ene instelling naar de andere wordt overgedragen. Bovendien is het wenselijk dat basale informatie, zoals namen en adresgegevens, niet steeds opnieuw moet worden ingevoerd. Juist omdat er steeds meer gegevens digitaal worden opgeslagen en overgedragen (zowel leerinhoud, toetsen, examens als gegevens over studenten), nemen de risico s toe. Het gaat daarbij om de organisatie (wie bewaart wat?), de ontsluiting (wie mag welke informatie zien en wanneer?) en de afscherming (hoe worden gemaakte afspraken afgedwongen of gecontroleerd?). Bij dit gebruik van gegevens van en over studenten en docenten, is het van belang dat aandacht wordt besteed aan informatiebeveiliging en privacy. Deze twee begrippen gaan samen op: het zorgvuldig en rechtmatig verzamelen van gegevens is niets waard als deze gegevens niet beveiligd zijn (en snel op straat liggen). Andersom is een optimale beveiliging van de administratie geen garantie dat informatie op de juiste wijze is opgevraagd bij de studenten. In deze publicatie worden de uitgangspunten en principes van privacy beschreven. Daarbij staat het doel van privacy centraal (het wat ), terwijl de manier om dat doel te bereiken, ondergeschikt is (het hoe ) en in andere publicaties wordt beschreven. IBPDOC2B, versie 1.3 Pagina 4 van 48

5 1.1 Verdere ontwikkeling Compliance kader Dit Privacy Compliance kader MBO is ter goedkeuring voorgelegd aan de Taskforce Informatiebeveiliging en Privacy in het mbo. Het Privacy Compliance Kader MBO zal eind 2015 geëvalueerd en eind 2016 herzien worden. De evaluatie eind 2015 is bedoeld om kleine (tekstuele) aanpassingen te doen. In 2016 zal worden ingegaan op nieuwe ontwikkelingen rondom de Algemene Verordening Gegevensbescherming. Eveneens wordt bezien of aansluiting moet worden gezocht bij de ISO standaard, een verdere detaillering van de ISO norm, specifiek voor PII (Personally Identifiable Information). 1.2 Toetsingskader In aanvulling op het Privacy Compliance kader MBO is een Privacy Toetsingskader (IBPDOC7) beschikbaar. In dit toetsingskader staat in detail beschreven wat een instelling geregeld moet hebben om aan de normen voor een succesvolle bescherming van persoonsgegevens te voldoen. In dit toetsingskader is voor ieder statement in dit compliance kader op procesniveau beschreven wat de vereisten zijn om aan een volgend volwassenheidsniveau te voldoen. Een breed gedragen projectplan vanuit sambo-ict heeft de aanzet gegeven voor het IBP programma. Een breed samengestelde taskforce geeft leiding aan het programma en de uitvoering van de diverse activiteiten is door een aantal werkgroepen ter hand genomen. Hierbij leveren de mbo-instellingen zelf een grote bijdrage. Het verantwoordingsdocument (IBPDOC1) schetst de uitgangspunten voor het programma, de samenhang met externe factoren en het geeft als zodanig ook een verantwoording voor de gekozen aanpak en de gemaakte keuzes. Ook worden de te verwachten resultaten van het programma gepresenteerd. IBPDOC2B, versie 1.3 Pagina 5 van 48

6 2. Basisbeginselen privacy 2.1 Ontstaan privacy Privacy is van alle tijden. Al rond 400 voor Christus bestaat al zoiets als respect voor in vertrouwen gedeelde informatie 1. Ook heeft privacy een ontwikkeling doorgemaakt van bescherming van de persoonlijke en materiele levenssfeer naar de bescherming van (digitale) informatie van en over een persoon. We zien de definitie van privacy als recht om met rust te worden gelaten, zich ontwikkelen tot een recht om te weten en bepalen wat er met gegevens over jou gebeurt, en om te weten wie de beschikking heeft over jouw gegevens. Privacy - in de zin van de algemene bescherming van het privéleven - bestaat uit verschillende aspecten. Zo kennen we relationele privacy (bescherming van het gezinsleven), ruimtelijke privacy (bescherming van de woning) en informationele privacy (bescherming van persoonlijke gegevens). Deze publicatie richt zich op informationele privacy. Alhoewel het lastig is om privacy in een wereldwijd geaccepteerd begrip te omschrijven, is er in de literatuur wel consensus dat een aantal universeel geaccepteerde fundamentele mensenrechten aan de basis liggen van informationele privacy: 1. Menselijke waardigheid: het recht op bestaan (van identiteit) Dit beginsel is terug te voeren tot het fundamentele principe dat iedereen het recht heeft om te bestaan. Iedereen heeft recht op lichamelijke en geestelijke integriteit. Ieder mens is uniek. Om een uniek persoon te identificeren is informatie en een beschrijving nodig. Ieder uniek persoon willen we kunnen identificeren. Tegenwoordig bepaalt de informatie die over iemand beschikbaar is mede zijn identiteit. Het hebben van een identiteit maakt dat iedere persoon weet en voelt dat hij iemand is. En omdat het gaat over de identiteit en integriteit van een persoon, moet die persoon er ook van uit kunnen gaan dat er met zijn gegevens zorgvuldig wordt omgegaan: de gegevens moeten kloppen, wijzigingen moeten tijdig worden doorgevoerd en fouten moeten worden gecorrigeerd. 2. Niet-delen als uitgangspunt Ieder persoon heeft zelf het recht om te beschikken over zijn eigen mens-zijn (menselijke waardigheid). Dat kan alleen als een persoon ook kan bepalen wat hij (niet) deelt over zichtzelf: het gaat immers om informatie die hem identificeert en maakt tot wat hij is: hoe hij wordt gezien. Om de identiteit van een persoon te beschermen, is daarom het uitgangspunt dat informatie over een persoon niet wordt gedeeld (tenzij het belang van de persoon of diens medemens toch beter gediend is met het delen van informatie). Het recht om met rust te worden gelaten, is hier een uitwerking van. 3. Keuzevrijheid Informatie over een persoon bepaalt mede zijn identiteit. Daar kan iedereen alleen zelf over beslissen. Dit zelfbeschikkingsrecht kan dus niet zomaar worden prijsgegeven, maar vraagt om een afweging. Het gaat om informatie over iemands persoonlijke levenssfeer. Een persoon is zelf het beste in staat om te bepalen wat er over hem wel of niet gedeeld wordt. Daarbij is het uitgangspunt dat ieder persoon zelf mag beslissen om informatie over zichzelf te delen. 4. Vertrouwelijkheid en beveiliging Omdat het bij gegevens over een persoon gaat om diens fundamentele mensenrechten, is vertrouwelijkheid en beveiliging uitgangspunt. Vertrouwelijkheid omdat alleen de persoon zelf beslist wie informatie over hem mag weten of delen. Hij moet er van uit gaan dat anderen zijn informatie niet delen (want dat bepaalt de persoon immers zelf). En beveiliging is nodig om dat te garanderen. En omdat de persoon centraal staat, bepaalt deze de voorwaarden van beveiliging en vertrouwelijkheid (het gaat immers om diens gegevens die op het spel staan). 1 Hippocrates leerde zijn studenten dat als hun iets als arts in vertrouwen is medegedeeld, geheim moet worden gehouden. IBPDOC2B, versie 1.3 Pagina 6 van 48

7 5. Transparantie (terugkoppeling) Als er informatie over een persoon wordt gebruikt, dan wil je vanuit het principe van de zorgvuldigheid ook kunnen uitleggen wat er met de informatie is gebeurd. De gebruiker van de informatie moet zich (kunnen) verantwoorden. Terugkoppeling is essentieel om een persoon in staat te stellen zijn eigen rechten te kunnen uitoefenen. Als deze beginselen worden uitgelegd en in onderling verband met elkaar worden gebracht, leidt dat tot weten regelgeving op het gebied van privacy. 2.2 Basis privacy principes De Organisatie van Economische Samenwerking en Ontwikkeling (OESO) heeft in de loop van de jaren een belangrijke rol gespeeld bij het bevorderen van respect voor privacy als een fundamentele waarde én als voorwaarde voor het vrije verkeer van persoonsgegevens over de grenzen heen. In 2013 zijn de Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 2 uit 1980 herzien. Deze richtlijnen van de OESO gaan onder meer uit van de zelfde algemene privacy beginselen en zijn daarom een goed en internationaal erkend aanknopingspunt om algemene privacyprincipes aan te ontlenen. Van de in paragraaf 1 genoemde algemene privacy beginselen, zijn de volgende privacy principes afgeleid. Voor de formulering van deze principes wordt aangesloten bij de wereldwijd gehanteerde privacy principes zoals die zijn opgenomen in de voornoemde Guidelines van de OESO Privacy by design 3 Privacy is uitgangspunt: privacy by design. Zonder het respecteren en erkennen van elkaar privacy, is privacy niet mogelijk. Het respecteren van privacy is uitgangspunt en staat niet ter discussie. Privacybescherming is alleen mogelijk als we daar afspraken (regels) maken en nakomen. Voor iedereen moeten de zelfde uitgangspunten gelden. Uitvoering van alle hier opvolgende principes ligt in het verlengde van het respect voor de zorgvuldige omgang met en bescherming van persoonsgegevens in overeenstemming met de wet. In overeenstemming met de wet betekent dat omgang met persoonsgegevens is gebaseerd op rechtmatig, eerlijk en transparant handelen ten opzichte van de betrokkene. Rechtmatigheid (grondslag) en transparantie worden respectievelijk in eigen beginselen uitgewerkt, en met eerlijkheid wordt een behoorlijke en fatsoenlijke omgang met betrokkenen en hun belangen gewaarborgd Doel en doelbinding Het is aan iedereen zelf voorbehouden om te beschikken (beslissen) over zijn eigen persoonsgegevens. Daarom mogen persoonsgegevens niet zomaar verzameld worden. Het moet duidelijk zijn waarvoor de persoonsgegevens worden gebruikt. Dit doel wordt vastgesteld voordat de informatie wordt verzameld. Het gebruik van de persoonsgegevens moet overeenkomen met het doel, en mag daar niet mee onverenigbaar zijn. De gegevens zijn exclusief beschikbaar voor alleen dit vooraf bepaalde doel. Dit betekent dat deze gegevens - behoudens toestemming van betrokkene of op grond van de wet - niet bekend mag worden gemaakt, beschikbaar gesteld of anderszins gebruikt voor andere doeleinden dan die vooraf zijn overeengekomen. Verstrekking aan anderen (derden), kan bijvoorbeeld alleen als dat nodig is om het doel te bereiken Grondslag Persoonsgegevens kunnen alleen op basis van een rechtmatig (wettelijk bepaald) doeleinde worden verwerkt. Persoonsgegevens moeten rechtmatig verkregen worden: hoe kom ik aan deze gegevens? Daarvoor is er een grond nodig voor het gebruik van persoonsgegevens. Het universele uitgangspunt is dat de betrokkene toestemming geeft. Indien dat niet mogelijk is, moet de wet een grondslag geven. In wetgeving, bijvoorbeeld de Wet bescherming persoonsgegevens, zijn de volgende gronden (grondslagen) toegestaan: Toestemming: er is toestemming van de betrokkene; Privacy by design houdt in dat u als organisatie al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. (BRON; CBP) IBPDOC2B, versie 1.3 Pagina 7 van 48

8 Voorbeeld: de student geeft op een formulier toestemming om zijn foto op te nemen op de website van de school. Uitvoering overeenkomst: om een overeenkomst uit te kunnen voeren, is het noodzakelijk om persoonsgegevens van de betrokkene te verwerken; Voorbeeld: voor aanvang van het onderwijs, tekenen onderwijsinstelling, student en diens ouders de onderwijsovereenkomst (OOK). Daarin worden afspraken gemaakt over het geven aan en volgen van onderwijs door de student. Om deze overeenkomst goed uit te kunnen voeren, moet de onderwijsinstelling een aantal gegevens over de student vastleggen en gebruiken om bijvoorbeeld de leerresultaten en studievoortgang te registreren. Wettelijke verplichting: de verwerking van persoonsgegevens is wettelijk verplicht of opgedragen door de wetgever; Voorbeeld: de onderwijsinstelling is wettelijk verplicht om jaarlijks aan DUO gegevens over de ingeschreven studenten door te geven. Daarbij is in die wet specifiek opgenomen welke gegevens moeten worden verstrekt. Publiekrechtelijke taak: voor de uitvoering van een publieke taak (overheid) is de verwerking van persoonsgegevens noodzakelijk; Voorbeeld: het afnemen van examens en uitreiken van diploma s is een wettelijke (publieke) taak. Om deze diploma s uit te kunnen reiken moet de onderwijsinstelling persoonsgegevens van de examinandi hebben om o.a. op het diploma te kunnen vermelden of door te geven aan het diplomaregister. Vitaal belang (bescherming van de betrokkene): het verwerken van persoonsgegevens is noodzakelijk om een ernstige bedreiging van de gezondheid van betrokkene beperken/voorkomen; Voorbeeld 1: een student met een bekende medische geschiedenis, is tijdens college onwel geworden. Er wordt contact opgenomen met diens huisarts om te overleggen. Voor dit overleg is geen toestemming gevraagd maar dat is wel in het belang van de student. Voorbeeld 2: een minderjarige student die regelmatig met blauwe plekken op de onderwijsinstelling verschijnt en geen logische verklaring kan geven voor het letsel. Er is vermoeden van mishandeling (huiselijk geweld) en daarover neemt de onderwijsinstelling conform de gedragscode Meldcode Huiselijk Geweld en Kindermishandeling contact op met het meldpunt Kindermishandeling. Hierbij worden er gegevens over de student uitgewisseld zonder dat deze of diens ouders hiervoor toestemming hebben gegeven. Gerechtvaardigd belang (belangenafweging): de gegevensverwerking is noodzakelijk waarbij het belang van het verwerken van die gegevens zwaarder weegt dan het privacy-belang van de betrokkene. Voorbeeld: voor het gebruik van digitaal leermateriaal, moet de onderwijsinstelling gegevens doorgeven aan bijvoorbeeld een uitgever. Voor deze uitwisseling is geen toestemming gevraagd aan de student, toch is de uitwisseling noodzakelijk om goed onderwijs te geven. Mits de onderwijsinstelling zich aan de wet houdt en afspraken maakt met de leverancier over deze persoonsgegevens, is het belang voor de uitwisseling groter dan het belang om de privacy van de leerling te beschermen Dataminimalisatie Er zijn grenzen aan het verzamelen van persoonsgegevens. Informatie moet door wettige en eerlijke middelen en manieren zijn verkregen. Daarbij is de gegevensverzameling: 1. Proportioneel: dit betekent dat het verzamelen van persoonsgegevens redelijk moet zijn, het moet in verhouding staan tot het doel dat je wilt bereiken. De inbreuk op de privacy moet te rechtvaardigen zijn om je doel te bereiken. 2. Subsidiair: dit betekent dat het doel waarvoor de persoonsgegevens worden verzameld, in redelijkheid niet op een andere manier wordt bereikt dan door de persoonsgegevens te gebruiken. Er mogen geen alternatieven zijn die minder ingrijpend zijn voor de privacy van de betrokkene. Als gebruik van anonieme gegevens mogelijk is, mogen er geen persoonsgegevens worden gebruikt. Proportionaliteit legt daarmee een bovengrens, terwijl subsidiariteit een zekere ondergrens stelt aan de aard en hoeveelheid uit te wisselen gegevens. Persoonsgegevens worden alleen bewaard zolang het gestelde doeleinde nog niet is behaald, daarna worden zij verwijderd of vernietigd. Dit gaat over de (wettelijk bepaalde) bewaartermijnen Transparantie Omdat het gaat om persoonsgegevens van en over de betrokkene, moet deze volstrekt helder en begrijpelijk zijn geïnformeerd welke gegevens er worden verzameld, en wat er met de gegevens gebeurt. Openheid en IBPDOC2B, versie 1.3 Pagina 8 van 48

9 transparantie over de gegevensverwerking is uitgangspunt. Bij voorkeur is er organisatie breed beleid ontwikkeld hoe er met persoonsgegevens wordt omgegaan, wat de doelen zijn, en wat de rechten en plichten zijn. Er is ook duidelijk hoe lang de gegevens worden bewaard, en met wie de gegevens zijn/worden gedeeld. Voorbeelden van transparantie zijn het privacyreglement (in de studiegids, op de website), of uitleg bij het aanmelden inschrijfformulier, hoe de onderwijsinstelling omgaat met de persoonsgegevens Rechten van de betrokkene In geval van verzameling van persoonsgegevens, heeft de betrokkene altijd, bij iedere stap, een aantal rechten. Deze rechten moeten zonder belemmering kunnen worden uitgevoerd. Het gaat hierbij om: de betrokkene wordt (vooraf) in begrijpelijke taal actief en laagdrempelig geïnformeerd over de gegevensverwerking; het op verzoek van de betrokkene inzage geven welke persoonsgegevens er worden verwerkt; het op verzoek van betrokkene corrigeren van ontbrekende of verkeerd vastgelegde persoonsgegevens; het op verzoek van betrokkenen verwijderen van persoonsgegevens die niet (langer) nodig zijn om de vastgestelde doelen te behalen; het door betrokkene verzet instellen tegen een verwerking van zijn persoonsgegevens die plaats vond op grond van een gerechtvaardigd belang. Een voorbeeld hiervan is het gebruik van de persoonsgegevens door de leverancier van leermiddelen van de leerling, de student wil niet langer aanbiedingen krijgen en meldt zich af. Deze rechten moeten binnen een redelijke tijd worden uitgeoefend, zonder dat de betrokkene een buitensporige vergoeding hoeft te betalen. De verstrekte informatie moet gemakkelijk verstaanbaar en begrijpelijk zijn. Een voorbeeld voor de uitoefening van de rechten, is een student wiens ouders recent zijn gescheiden. Die student wil zien welke informatie over hem en zijn ouders zijn geregistreerd en hij vraagt om correctie van zijn gegevens Beveiliging Er moet zorgvuldig worden omgegaan met de persoonsgegevens die iemand worden toevertrouwd: het gaat om andermans gegevens. Persoonsgegevens moeten zijn beschermd met een redelijke zekerheid en waarborgen tegen risico's zoals verlies of onbevoegde toegang, vernietiging, gebruik, wijziging of openbaarmaking van gegevens. Hierbij wordt voldaan gemaakt van algemeen geaccepteerde organisatorische en technische beveiligingsnormen (zoals bijvoorbeeld ISO-normen) Datakwaliteit (data-integriteit) Bij persoonsgegevens gaat het informatie waarmee personen worden geïdentificeerd, gegevens die iets zeggen over een persoon. Daarom moet die informatie gegarandeerd juist, nauwkeurig, volledig en up-to-date (tijdig) zijn en blijven Verantwoordelijkheid (responsibility) Degene die de persoonsgegevens verzamelt (de verantwoordelijke ), is verantwoordelijk voor de nakoming deze algemene privacy regels en is daarop aanspreekbaar. De verantwoordelijke legt daarover verantwoording af. Ook als er anderen namens de verantwoordelijke met de persoonsgegevens willen werken, moet de verantwoordelijke met die partij ( bewerker genoemd) afspraken maken over deze algemene privacy regels. Verwerking vindt dus alleen plaats in overeenstemming met de wet. De verantwoordelijke draagt ook de bewijslast aan om dit aan te tonen. Ook speelt de verantwoordelijke een belangrijke rol bij verstrekking van gegevens aan derden. Bij vertrekking van gegevens aan een bewerker moeten er dan ook goede afspraken worden gemaakt. 2.3 Eigendom Privacy zegt iets over hoe er moet worden omgegaan met persoonsgegevens. Daarbij is het niet relevant van wie die gegevens zijn. Dat is juist ook de kracht van privacy, ongeacht wáár de persoonlijke informatie staat, of van wie die is, er moet altijd zorgvuldig mee worden omgegaan. In juridische zin kunnen op persoonsgegevens echter geen eigendomsrechten rusten: gegevens zijn niets an- IBPDOC2B, versie 1.3 Pagina 9 van 48

10 ders dan een verzameling eentjes en nullen (I/O). Op een database met persoonsgegevens kan wel een databankenrecht rusten, of er kan een er een geheimhoudingsverplichting op rusten. Ook kan een verzameling met persoonlijke gegevens een bepaalde commerciële waarde vertegenwoordigen. Maar daarmee ontstaat er geen exclusief recht om te beschikken over die persoonsgegevens. Bij privacy gaat het om rechten en verplichtingen van degenen die met die gegevens om moeten gaan. Daarbij kan iedereen een aparte rol hebben (verantwoordelijke; bewerker). Privacy maakt duidelijk wie bevoegd is om informatie te verstrekken aan andere partijen. Om verwarring te voorkomen, is het beter om niet meer te spreken over eigendom van de persoonsgegevens, maar om rechten en plichten jegens die gegevens te duiden in termen van 'zeggenschappen'. De ROSA 4 biedt hiervoor een zeggenschapsmodel, waarin onderscheid wordt gemaakt in de verschillende zeggenschappen die partijen kunnen hebben over persoons- en andere gegevens. 4 ROSA: Het onderwijs werkt aan een efficiëntere en uniforme (sectoroverstijgende) informatievoorziening. De ROSA is de referentiearchitectuur van het onderwijs en is een instrument bij informatiegerichte ketensamenwerking. Verschillende partijen hebben de handen ineengeslagen om deze ambitie te realiseren. De zes sectorraden (primair-, voortgezet-, middelbaar-, agrarisch-, hoger- en universitair onderwijs) hebben zich verenigd in het Samenwerkingsplatform Informatie Onderwijs (Sion). Samen met de Dienst Uitvoering Onderwijs (DUO) en het ministerie van OCW wordt gebouwd aan de ROSA. IBPDOC2B, versie 1.3 Pagina 10 van 48

11 3. Afgeleide privacy principes: statements 3.1 Algemeen De basis privacy principes beschrijven de uitgangspunten voor privacy op hoofdlijnen (het wat ). Deze principes worden nu verder uitgewerkt in hanteerbare en praktisch toepasbare statements (het hoe ). De statements zijn geabstraheerd van wetgeving. Hierdoor wordt voorkomen dat dit Compliance kader moet worden aangepast bij wetswijzigingen. Daarmee is dit Compliance kader toekomstvast, zonder daarmee uit te sluiten dat dit kader te zijner tijd moet worden aangepast aan (inter) nationale ontwikkelingen op het gebied van privacy. Omwille van de duidelijkheid, is er voor gekozen om de statements voor privacy aan te laten sluiten bij de indeling (clustering) zoals deze in het Normenkader Informatiebeveiliging mbo (IBPDOC2A) is uitgewerkt. Deze clustering wordt ook in het hoger onderwijs aangehouden. Hierbij worden 6 clusters benoemd. Deze clusters groeperen maatregelen die logischerwijs met elkaar samenhangen. Hiermee kan inzichtelijk gemaakt worden op welk onderdeel (beleid, personeel, fysieke beveiliging, continuïteit ed.) een instelling sterk of zwak is en kunnen inspanningen voor verbetering en controle beter en in samenhang gestuurd worden. In aanvulling op dit Compliance Kader MBO, is er een Toetsingskader Privacy (IBPDOC 7) beschikbaar. In dit toetsingskader is voor ieder statement in dit Compliance Kader beschreven welke maatregelen er getroffen moeten worden en wat de vereisten zijn om dit op verschillende niveaus te toetsen. Het toetsingskader is opgesteld in nauwe samenhang met het bestaande Toetsingskader Informatiebeveiliging mbo (IBPDOC3), ook hierin zijn de maatregelen gekoppeld aan de zgn. volwassenheidsniveaus van het Capability Maturity Model (CMM). 3.2 Samenhang informatiebeveiliging en privacy Het beveiligen van persoonsgegevens is een belangrijke randvoorwaarde voor het voldoen aan de privacy wetgeving. Door het College Bescherming Persoonsgegevens is in 2013 vastgesteld dat het ISO en ISO normenkader een goed uitgangspunt is voor de te nemen beveiligingsmaatregelen en dat deze ISO-norm voor informatiebeveiliging aansluiten bij wet- en regelgeving. Dit betekent dat om te voldoen aan privacywetgeving, moet worden voldaan aan deze ISO-norm voor informatiebeveiliging. Het voldoen aan het bij dit normenkader behorende Toetsingskader voor Informatiebeveiliging en Privacy MBO (IBPDOC 3), is dus relevant om te voldoen aan privacy wet- en regelgeving. In feite zijn daarmee privacy en informatiebeveiliging direct aan elkaar gekoppeld. Dit komt ook tot uiting in het specifieke statement 1.20 dat in het normenkader Informatiebeveiliging is opgenomen (Privacy en bescherming van persoonsgegevens: Privacy en bescherming van persoonsgegevens worden, voor zover van toepassing, gewaarborgd in overeenstemming met relevante wet- en regelgeving). Andersom is in het compliance kader Privacy expliciet opgenomen (statement P9) dat informatiebeveiliging op orde moet zijn volgens de algemeen geldende normen voor informatiebeveiliging. Daarmee is de ISO-norm 27001/27002 dus een uitgangspunt voor de beveiliging van persoonsgegevens. Dit betekent dat in feite aan alle ISO-statement moet worden voldaan. Om privacy echt te waarborgen geldt echter dat aan een aantal ISO-statements aan een hoger volwassenheidsniveau moeten voldoen. 3.3 Privacy gevoelige statements uit het normenkader informatiebeveiliging mbo De statements uit het Normenkader Informatiebeveiliging mbo die specifieke aandacht behoeven in het kader van de privacy zijn hieronder weergegeven. Ze zijn ingedeeld volgens de clustering 1 t/m 6 die het normenkader hanteert. IBPDOC2B, versie 1.3 Pagina 11 van 48

12 Beleid en organisatie Classificatie van informatie: Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. Informatie labelen: Om informatie te labelen behoort een passende reeks procedures te worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. Verwijdering van bedrijfsmiddelen: Apparatuur, informatie en software behoren niet van de locatie te worden meegenomen zonder voorafgaande goedkeuring Beleid en procedures voor informatietransport: Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. Overeenkomsten over informatietransport: Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. Privacy en bescherming van persoonsgegevens: Privacy en bescherming van persoonsgegevens worden, voor zover van toepassing, gewaarborgd in overeenstemming met relevante wet- en regelgeving. Verbindende schakel. Privacy moet gewaarborgd zijn is onderdeel van de informatiebeveiliging. Scheiding van taken: Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. Personeel, studenten en gasten Toegangsrechten intrekken of aanpassen: De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, en bij wijzigingen behoren ze te worden aangepast. Clear desk - en clear screen -beleid: Er behoort een clear desk -beleid voor papieren documenten en verwijderbare opslagmedia en een clear screen -beleid voor informatie verwerkende faciliteiten te worden ingesteld. Vertrouwelijkheids- of geheimhoudingsovereenkomst: Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen, behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd. Ruimtes en apparatuur 3.2 Verwijderen van media: Media behoren op een veilige en beveiligde manier te worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures Onderhoud van apparatuur: Apparatuur behoort correct te worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen. Veilig verwijderen of hergebruiken van apparatuur: Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven. Continuïteit 4.5 Back-up van informatie: Regelmatig behoren back-upkopieën van informatie, software en systeemafbeeldingen te worden gemaakt Back-up van informatie: Gemaakte back ups worden regelmatig getest conform het back-up beleid. Beschikbaarheid van informatie verwerkende faciliteiten: Informatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. IBPDOC2B, versie 1.3 Pagina 12 van 48

13 Vertrouwelijkheid en integriteit 5.1 Beleid voor toegangsbeveiliging: Een beleid voor toegangsbeveiliging behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs- en infor-matiebeveiligingseisen Toegang tot netwerken en netwerkdiensten: Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn. Registratie en afmelden van gebruikers: Een formele registratie- en afmeldingsprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken. Gebruikers toegang verlenen: Een formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken. Beheren van speciale toegangsrechten: Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst. Beheer van geheime authenticatie-informatie van gebruikers: Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces. Geheime authenticatie-informatie gebruiken: Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie informatie houden aan de praktijk van de organisatie. Beveiligde inlogprocedures: Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure. Beschermen van informatie in logbestanden: Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang. Elektronische berichten: Informatie die is opgenomen in elektronische berichten behoort passend te zijn beschermd Controle en Logging 6.1 Beoordeling van toegangsrechten van gebruikers: Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen Gebeurtenissen registreren: Logbestanden van gebeurtenissen die gebruikersactivi-teiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld. Verzamelen van bewijsmateriaal: De organisatie behoort procedures te definiëren en toe te passen voor het identificeren, verzamelen, verkrijgen en bewaren van informa-tie die als bewijs kan dienen. IBPDOC2B, versie 1.3 Pagina 13 van 48

14 3.4 Specifieke privacy-statements Aanvullend op deze statements uit het normenkader Informatiebeveiliging mbo zijn er ook statements die te herleiden zijn uit de relevante wet- en regelgeving. Deze zijn hieronder geformuleerd. In de aanvullende statements wordt in de eerste kolom met een kleur aangegeven met welke wet of norm dit statement concreet overeenkomt. Het statement (of een afgeleide daarvan) kan in andere bewoordingen bijvoorbeeld ook voorkomen in de Wbp of AVG. Bij een mogelijke overlap wordt gekozen voor de wet- of regel die daarbij het beste aansluit.in de laatste kolom wordt vermeld van welk privacy-principe het statement is afgeleid. Het betreft de kleuren: Kleuren EVRM AVG Wbp NEN7510 Andere nationale wetgeving Basis Europees Verdrag voor de Rechten van de Mens Algemene Verordening Gegevensbescherming (toekomstige Europese wetgeving met directe werking) Wet bescherming persoonsgegevens NEN-norm voor privacy en informatiebeveiliging in de zorg, veel gebruik in academische ziekenhuizen Overige nationale wetgeving zoals de Archiefwet Hierna wordt er met instelling niet het instituut school bedoeld, maar de verplichting die rust op de juridische entiteit. De instelling wordt op het gebied van privacy vertegenwoordigd door de verantwoordelijke: degene die, alleen of samen met anderen (Bevoegd Gezag), het doel van en de middelen voor verwerking van persoonsgegevens bepaalt. Doorgaans zal dit de voorzitter van het College van Bestuur zijn. Ook de aanvullende statements zijn ingedeeld in dezelfde clustering als de statements uit het Normenkader Informatiebeveiliging mbo. Dit is gedaan omdat het op zich een heldere en goed werkbare indeling is en omdat het daarmee uniformiteit in de aanpak bevordert. Beleid en organisatie Nr. Statement Principe P.1 P.2 P.3 Instellen (intern) privacy-beleid: Ten behoeve van het garanderen van privacy van studenten en medewerkers en om te voldoen aan de relevante wet- en regelgeving, behoort een reeks beleidsregels te worden gedefinieerd en goedgekeurd door het bestuur. In dit beleid is voorzien in procedures voor het uitoefenen van de rechten van studenten en docenten. Functionaris gegevensbescherming: De instelling benoemt een functionaris gegevensbescherming (privacy officer) die is belast met intern toezicht op de verwerkingen van persoonsgegevens binnen de instelling, en alle verwerkingen van persoonsgegevens inventariseert en registreert. De verantwoordelijke zorgt er voor dat alle andere beroepswerkzaamheden van de FG verenigbaar zijn met zijn taken en verplichtingen als FG en dat die niet tot een belangenconflict leiden. De FG rapporteert aan de verantwoordelijke De onderstaande basis privacy principes zijn vooraf gecheckt worden nagekomen bij toepassing op alle te verwerken persoonsgegevens: a. Doelbepaling: De instelling draagt er zorg voor dat voor iedere categorie van verwerkingen voorafgaand aan die verwerking - een specifiek doeleinde is vastgesteld, en dat dit doeleinde is gecommuniceerd bij de gegevensverzameling. b. Doelbinding: De instelling zorgt er voor dat persoonsgegevens alleen worden verwerkt voor het doeleinde waarvoor die gegevens verkregen zijn. c. Grondslag: De instelling zorgt er voor dat persoonsgegevens altijd op basis van een wettelijke grondslag worden verwerkt. Daarbij maakt de instelling geen gebruik van opt-out regelingen als het gaat om verwerkingen van persoonsgegevens. d. Grond bij minderjarigen: Bij verwerkingen van persoonsgegevens van studenten jonger dan 16 jaar, wordt toestemming altijd afgestemd met de wettelijke vertegenwoordigers. e. Dataminimalisatie: Het verwerken van persoonsgegevens moet redelijk zijn en in verhouding staan tot het te realiseren doel van die verwerking: de inbreuk op de privacy moet te rechtvaardigen zijn om het doeleinde te bereiken (proportionaliteit), de te verzamelen persoonsgegevens blijven beperkt tot datgene wat minimaal nodig is om de doeleinde(n) te bereiken waarvoor de data worden verwerkt (subsidiariteit). 5) Transparantie 9) Verantwoordelijkheid 2) Doel en doelbinding 3) Grondslag 4) Dataminimalisatie IBPDOC2B, versie 1.3 Pagina 14 van 48

15 P.4 P.5 P.6 P.7 P.8 P.9 P.10 Meldplicht: Een verwerking van persoonsgegevens wordt gemeld aan de aangestelde Functionaris Gegevensbescherming die daartoe een (openbaar) register bijhoudt, tenzij de betreffende werking is vrijgesteld van de meldingsplicht. Bewaartermijnen: Er is een actief archief- en vernietigingsbeleid: persoonsgegevens worden niet langer bewaard dan nodig voor het gestelde doeleinde. De instelling stelt op basis van de Archiefwet de vernietigings- en bewaartermijnen vast van de verwerkte persoonsgegevens. Verwerking t.b.v. onderzoek: Verwerking van persoonsgegevens historische, statistische of wetenschappelijke doeleinden is alleen mogelijk ten behoeve van het (optimaliseren van het) leerproces of het beleid van de Onderwijsinstelling. Deze verwerking is alleen mogelijk op basis van strikte voorwaarden vergelijkbaar met de Wbp Gedagscode voor Onderzoek & Statistiek en vereist voorafgaande toestemming van de verantwoordelijke. Bijzondere persoonsgegevens: De instelling verwerkt geen persoonsgegevens betreffende iemands godsdienst of levensovertuiging, tenzij dit gelet op het doel van de instelling en voor de verwezenlijking van haar grondslag strikt noodzakelijk is, ras, tenzij de instelling daartoe op grond van een wet verplicht is, of alleen in met het doel om personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen om feitelijke nadelen verband houdende met de grond ras op te heffen of te verminderen gezondheid, tenzij dat met het oog op de speciale begeleiding van studenten of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is. Profilering: In geval de instelling gebruik maakt van profilering, zal zij: geen geautomatiseerde beslissingen laten nemen over de betrokkene zonder dat bij die beslissing een natuurlijk persoon namens de instelling betrokken is bij de besluitvorming, en er aan de betrokkene duidelijke informatie is verstrekt over de wijze van profilering, en de betrokkene de mogelijkheid heeft in verweer te komen tegen een dergelijke geautomatiseerde beslissing. Informatiebeveiliging: De instelling zorgt voor passende technische (toegangsbeveiliging en continuiteit) en organisatorische maatregelen (beleid, scholing, toegangsbeheer, logging en monitotingn) om de verwerkte persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze beveiliging is afhankelijk van de aard en omvang van de verwerkte persoonsgegevens. Hierbij wordt aangesloten bij algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging. Bewerkersovereenkomsten: met alle leveranciers die als bewerker voor of namens de instelling persoonsgegevens verwerken, worden bewerkersovereenkomsten gesloten waarin alle wettelijk vereiste afspraken zijn vastgesteld. In aanvulling op ISO moet er sprake zijn van een bewerkingsovereenkomst. 9) Verantwoordelijkheid 4) Dataminimalisatie 2) Doel en doelbinding 2) Dataminimalisatie 2) Doel en doelbinding 7) Beveiliging 9) Verantwoordelijkheid Personeel, studenten en gasten Nr. Statement Principe P.11 P.12 P.13 P.14 Informatieplicht beleid: De instelling informeert de (ouders van) studenten en medewerkers van wie persoonsgegevens worden verwerkt, in begrijpelijke taal over het privacybeleid en de rechten en verplichtingen van betrokkenen. Informatieplicht verwerkingen: De instelling informeert actief, al dan niet met gebruikmaking van door leveranciers geleverde informatie, aan de (ouders van) studenten en medewerkers van wie persoonsgegevens worden verwerkt, welke verwerking er in welke informatiesystemen binnen de instelling plaatsvindt en welke maatregelen er zijn getroffen om de privacy van die leerling te kunnen waarborgen. Aan de betrokken studenten en docenten wordt ten minste medegedeeld: welke persoonsgegevens worden verwerkt, of die verwerking beperkt is tot dat wat voor het gestelde doeleinde strikt noodzakelijk is, of persoonsgegevens ook voor andere doeleinden worden verwerkt, wat de bewaar- en vernietigingstermijnen zijn; of persoonsgegevens worden gedeeld met commerciële derden, of persoonsgegevens worden verkocht of verhuurd, of persoonsgegevens gecodeerd worden bewaard. Respecteren rechten van betrokkene: Studenten (dan wel hun ouders) en medewerkers hebben het recht een verzoek te doen ter verbetering, aanvulling, verwijdering of afscherming van hun persoonsgegevens, in het geval dat deze gegevens: feitelijk onjuist zijn, voor het gestelde doeleinde onvolledig of niet ter zake dienend zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Arbeidsvoorwaarden: In de contractuele overeenkomst met medewerkers en contractanten zijn hun (eventuele) verantwoordelijkheden voor privacy opgenomen. In deze overeenkomst is voorzien in een vertrouwelijkheids- of geheimhoudingsbeding ten aanzien van de verwerkte persoonsgegevens. 5) Transparantie 5) Transparantie 6) Rechten betrokkene 9) Verantwoordelijkheid IBPDOC2B, versie 1.3 Pagina 15 van 48

16 P.15 Bewustzijn, opleiding en training ten aanzien van privacy: Alle medewerkers van de organisatie en - voor zover relevant - contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. De FG is hierbij betrokken. 5) Transparantie Ruimte en apparatuur Nr. Statement Principe P.16 Verwijderen van persoonsgegevens: van apparatuur die niet langer wordt gebruikt, worden de op het apparaat aanwezige persoonsgegevens op een betrouwbare en veilige wijze vernietigd. Vernietiging is mogelijk door vernietiging van de gegevensdrager zelf. In geval van vernietiging door een derde, geeft deze een verklaring af aangaande vernietiging. 4) Dataminimalisatie 7) Beveiliging Vertrouwelijkheid en integriteit Nr. Statement Principe P.17 P.18 P.19 Datakwaliteit (data-integriteit): De verantwoordelijke gaat zorgvuldig om met de verwerkte persoonsgegevens en waarborgt het behoud en bescherming van de juistheid, volledigheid en de tijdigheid van de gegevens. Datalek: In geval van een inbreuk op de beveiliging van persoonsgegevens, die leidt tot (de aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van Persoonsgegevens van studenten en medewerkers, dan: meldt de verantwoordelijke het Cbp deze inbreuk zonder onnodige vertraging worden de betreffende studenten en medewerkers geïnformeerd over aard van de inbreuk, en de gevolgen van de inbreuk op hun privacy. Bijzondere persoonsgegevens: Bij verwerking van bijzondere persoonsgegevens zoals gezondheidsgegevens, neemt de instelling (extra) passende, consequente en specifieke maatregelen om de veiligheid van de gegevens te garanderen. Het gebruik van deze bijzondere gegevens blijft beperkt tot alleen die gevallen dat de informatie strikt noodzakelijk en evenredig is. 8) Datakwaliteit 5) Transparantie 4) Beveiliging Controle en Logging Nr. Statement Principe P.20 Privacy in informatiesystemen: bij het gebruiken en/of ontwerpen van informatiesystemen die persoonsgegevens van studenten en medewerkers verwerken, worden privacyregels zoals privacy by design en privacy by default in die systemen een aangehouden en zo mogelijk ingebouwd: Gegevensminimalisatie af te dwingen (zo min mogelijk vrije velden) Transparantie over gebruik van gegevens Afschermen van de identiteit (pseudonimisering) Gebruik sticky policies 5 Data tracking (waaronder logging). 4) Dataminimalisatie 8) Datakwaliteit 5 An approach for managing privacy across multiple parties IBPDOC2B, versie 1.3 Pagina 16 van 48

17 P.21 P.22 P.23 P.24 PIA: De instelling voert een (tweejaarlijks terugkerende) evaluatie uit van de mogelijke effecten van de verschillende gegevensverwerking op de rechten en vrijheden van de betrokkenen. Deze evaluatie vindt eveneens plaats in geval van een wijziging in de verwerking van persoonsgegevens die specifiek de risico s wijzigt voor de privacy van de betrokken studenten en medewerkers. Veranderingen in de dienstverlening van leveranciers De instelling voert naar aanleiding van de evaluatie een volledige PIA uit in geval de verwerking van de persoonsgegevens: Meer dan 5000 betrokkenen betreft en langer duurt dan 12 maanden; Bijzondere persoonsgegevens (ras, gezondheid) worden verwerkt; Er sprake is van profilering; Geautomatiseerde bewaking van publiek toegankelijke ruimtes; Inbreuken die waarschijnlijk negatieve gevolgen heeft voor bescherming van de persoonsgegevens; Verwerkingen die regelmatige en stelselmatige observatie van betrokkenen vereisen; Toegankelijk is voor een grotere groep gebruikers. De beoordeling heeft betrekking op de gehele levenscyclus van persoonsgegevens van verzameling van verwerking tot verwijdering. Naleving van privacy beleid en normen: de instelling controleert (laat controleren) regelmatig de naleving van de privacy regels en informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging. Rapportage van privacy-gebeurtenissen: privacy-incidenten behoren te worden gedocumenteerd en zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd aan de FG en verantwoordelijke. Gebeurtenissen registreren: Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig beoordeeld. 2) Doel en doelbinding 7) Doel en doelbinding 8) Datakwaliteit 9) Verantwoordelijkheid 7) Beveiliging 5) Transparantie 9) Verantwoordelijkheid IBPDOC2B, versie 1.3 Pagina 17 van 48

18 Bijlage 1: Samenhang principes en wettelijke kaders Privacy by design Onderwijsinstellingen respecteren privacy van studenten en medewerkers en komen wet- en regelgeving na. In het convenant Digitale Onderwijsmiddelen en Privacy worden afspraken gemaakt over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige omgang met Persoonsgegevens die worden verwerkt in het kader van het gebruik van Digitale Onderwijsmiddelen voor het volgen van onderwijs bij Onderwijsinstellingen. Onderwijsinstellingen in het PO en VO, onderschrijven het Convenant Digitale Onderwijsmiddelen en Privacy (Leermiddelen en Toetsen). IBPDOC2B, versie 1.3 Pagina 18 van 48

19 Doel en Doelbinding Persoonsgegevens mogen alleen worden verwerkt aan welbepaalde, uitdrukkelijk doeleinden op een wijze die niet onverenigbaar is met deze doeleinden. Persoonsgegevens worden niet verder verwerkt op een De instelling draagt er zorg voor dat voorafgaand wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. aan verwerking voor iedere categorie van verwerkingen een specifiek doeleinde is vastgesteld en dat dit is gecommuniceerd aan de betrokkenen. Bij de beoordeling hiervan houdt de verantwoordelijke in elk geval rekening met: Persoonsgegevens worden alleen verwerkt in het a. de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen; kader van het doel waarvoor die gegevens verkregen zijn (doelbinding). b. de aard van de betreffende gegevens; c. de gevolgen van de beoogde verwerking voor de betrokkene; d. de wijze waarop de gegevens zijn verkregen en e. de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen. In beginsel is het verwerken van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden, die primair voor een ander dan deze doeleinden zijn verzameld, niet in strijd met de wet. Wel dient de verantwoordelijke in die gevallen passende voorzieningen te treffen ten einde te verzekeren dat verwerking uitsluitend voor deze doeleinden geschiedt. Verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden is alleen mogelijk ten behoeve van het (optimaliseren van het) leerproces of het beleid van de Onderwijsinstelling. Deze verwerking is alleen mogelijk op basis van strikte voorwaarden vergelijkbaar met de Wbp Gedagscode voor Onderzoek & Statistiek en vereist voorafgaande toestemming van de verantwoordelijke AVG Rechten en verplichtingen Toelichting Aangescherpte voorwaarden, verwerking is dan alleen mogelijk indien: a. de doeleinden niet op een andere manier kunnen worden bereikt, namelijk door verwerking van gegevens waarmee de betrokkene niet of niet langer kan worden geïdentificeerd (anonimisering of pseudonimisering) b. gegevens waardoor informatie aan een geïdentificeerde of identificeerbare betrokkene kan worden toegekend, gescheiden worden bewaard van andere informatie, volgens de allerhoogste technische standaarden, en alle noodzakelijke maatregelen worden getroffen om het onmogelijk te maken dat de betrokkenen alsnog om ongegronde redenen worden geïdentificeerd. [opgenomen onder dataminimalisatie] IBPDOC2B, versie 1.3 Pagina 19 van 48

20 Persoonsgegevens worden niet verwerkt in het geval dat daaraan een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift in de weg staat. Dit geldt slechts voor die persoonsgegevens die voor de verantwoordelijke of bewerker in het kader van een onder deze geheimhoudingsplicht vallende activiteit heeft ontvangen of verkregen. NEN7510 Rechten en verplichtingen Toelichting "Eisen voor vertrouwelijkheid die een weerslag vormen van de behoefte van de organisatie aan beveiliging van informatie behoren in een geheimhoudingsovereenkomst te worden vastgesteld. Deze eisen en deze overeenkomst behoren regelmatig te worden beoordeeld. (ISO 27799)" IBPDOC2B, versie 1.3 Pagina 20 van 48

21 Grondslag Persoonsgegevens mogen slechts worden verwerkt indien er sprake is van: a. Toestemming De betrokkene heeft voor verwerking zijn ondubbelzinnige toestemming gegeven (ook wel geïnformeerde toestemming of informed consent). b. Uitvoering overeenkomst: De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is. c. Wettelijke verplichting: De verwerking is noodzakelijk om een wettelijke verplichting na te komen. d. Vitaal belang: De verwerking is noodzakelijk om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden. e. Publiekrechtelijke taak: Verwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak. f. Gerechtvaardigd belang verantwoordelijke/bewerker: Belangenafweging tussen (i) het gerechtvaardigd belang van de verantwoordelijke en (ii) het gerechtvaardigd belang van de betrokkene Let op: De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. De betrokkene wordt door verantwoordelijke op de hoogte gebracht indien de intrekking van de toestemming kan leiden tot de beëindiging van de geleverde diensten of van de betrekkingen met de verantwoordelijke. Toestemming is aan het specifieke doeleinde gebonden, en niet meer geldig zodra dit doel wegvalt of is voltooid. Toestemming is geen rechtmatige grondslag als er sprake is van een hiërarchische verhouding tussen verantwoordelijke en betrokkene. De instelling draagt er zorg voor dat persoonsgegevens ten alle tijde op basis van een wettelijke grondslag worden verwerkt. [geregeld bij rechten betrokkene] AVG Rechten en verplichtingen Toelichting Opt-out is niet langer toegestaan, omdat dan geen sprake is van toestemming aangezien niet gesproken kan worden van expliciete wilsverklaring door het vergeten een link uit te klikken. N.v.t. IBPDOC2B, versie 1.3 Pagina 21 van 48

22 Voor verwerking van gegevens van een betrokkene die jonger is dan 16 jaar, is toestemming van de wettelijk vertegenwoordiger vereist. Informatie die aan kinderen, ouders en wettelijke vertegenwoordigers wordt verstrekt om toestemming te verlenen, met inbegrip van informatie betreffende het verzamelen en gebruiken van persoonsgegevens door de verantwoordelijke, moet in duidelijke en op de doelgroep afgestemde taal worden verschaft. Andere wet en regelgeving Rechten en verplichtingen WGBO Voor een verwerking ter uitvoering van een behandelingsovereenkomst is ingeval van minderjarigen (<18 jaar) toestemming vereist van: - Minderjarigen <12 jaar alleen toestemming van de ouders of wettelijke vertegenwoordigers - Minderjarigen tussen jaar naast toestemming van de betrokkene tevens toestemming van ouders of wettelijke vertegenwoordiger vereist (tenzij dit kennelijk ernstig nadeel aan de patiënt toebrengt) - Minderjarigen >16 jaar zelfstandige toestemming vereist Persoonsgegevens van studenten jonger dan 16 jaar die worden verwerkt, wordt afgestemd met de ouders of wettelijke vertegenwoordigers. Ingeval gegevens van minderjarigen in grote hoeveelheden of systematisch verwerkt worden, dient vooraf te worden bepaald wat de impact is van deze verwerking op de privacy van de minderjarigen. Er wordt zo nodig een PIA uitgevoerd. Toelichting [WGBO niet van toepassing] AVG Rechten en verplichtingen Toelichting Definitie van een kind in de wet gesteld op iedere betrokkene <18 jaar. Bij kinderen <13 jaar wordt tevens toestemming van ouders of wettelijke vertegenwoordiger vereist in geval van het rechtstreeks aanbieden van diensten of goederen van de informatiemaatschappij (online diensten). [Door te voeren in de volgende versie, na invoering AVG. Impact blijft beperkt voor het MBO aangezien studenten allen ouder zijn dan 13 jaar.] De instelling die een gedragscode wil vast stellen, kan het Cbp verzoeken te verklaren dat de daarin opgenomen regels, gelet op de bijzondere kenmerken van de sector of sectoren van de samenleving waarin de instelling werkzaam is, een juiste uitwerking vormen van de Wbp of andere wettelijke bepalingen betreffende verwerking van persoonsgegevens. [niet van toepassing, er is een convenant dat in de plaats komt van de gedragscode] IBPDOC2B, versie 1.3 Pagina 22 van 48

23 AVG Rechten en verplichtingen Toelichting Stelt specifiekere eisen aan opstellen gedragscodes, die moeten bijdragen aan juiste toepassing van de AVG en: a. eerlijke en transparante gegevensverwerking; b. de eerbiediging van de consumentenrechten c. de verzameling van gegevens; d. het informeren van het publiek en de betrokkenen: e. verzoeken van betrokkenen in het kader van de uitoefening van hun rechten; f. het informeren en de bescherming van kinderen; g. doorgifte van gegevens naar derde landen of naar internationale organisaties; h. mechanismen voor het toezicht op en de verzekering van de naleving van de code door de voor de verwerking verantwoordelijken die deze hebben onderschreven; i. buitengerechtelijke procedures en andere procedures voor geschillenbeslechting tussen verantwoordelijken en betrokkenen met betrekking tot de verwerking van persoonsgegevens. [De kans bestaat dat door specificering van wetgeving op het gebied van bescherming van persoonsgegevens door de AVG, het Cbp wellicht zal afzien van voorafgaande goedkeuring van gedragscodes.] NEN7510 Rechten en verplichtingen Toelichting "De directie behoort informatiebeveiliging binnen de organisatie actief te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen. (ISO 27799; NVZ 2010)" IBPDOC2B, versie 1.3 Pagina 23 van 48

24 Dataminimalisatie Het verzamelen van persoonsgegevens moet redelijk zijn, het moet in verhouding staan tot het doel dat je wilt bereiken. De inbreuk op de privacy moet te rechtvaardigen zijn om je doel te bereiken (proportionaliteit). Persoonsgegevens blijven beperkt tot datgene wat minimaal nodig is voor de doeleinde(n) waarvoor de data worden verwerkt en persoonsgegevens worden alleen verwerkt wanneer en voor zolang als de doeleinde(n) nog niet is/zijn verwezenlijkt (subsidiariteit). Persoonsgegevens worden niet langer bewaard dan nodig voor het gestelde doeleinde. Het is verboden bijzondere persoonsgegevens te verwerken. Het is aan de verantwoordelijk om te checken of deze gegevens worden geregistreerd. Met uitzondering van de volgende gevallen: a. toestemming van de betrokkene b. noodzakelijk voor uitvoering verplichtingen en specifieke rechten arbeidsrecht c. noodzakelijk is ter bescherming van de vitale belangen van de betrokkene d. wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk e. betrekking heeft op persoonsgegevens die duidelijk door de betrokkene openbaar zijn gemaakt f. noodzakelijk is voor de vaststelling, uitoefening of verdediging van een recht in rechte g. noodzakelijk voor de vervulling van een taak van gewichtig algemeen belang h. (gegevens over gezondheid) noodzakelijk is voor gezondheidsdoeleinden i. noodzakelijk is voor historische, statistische of wetenschappelijke doeleinden j. (strafrechtelijke gegevens) noodzakelijk is om een wettelijke verplichting van de verantwoordelijke na te komen of voor de vervulling van een taak om gewichtige redenen van algemeen belang. De instelling verwerkt geen persoonsgegevens betreffende iemands - godsdienst of levensovertuiging, tenzij dit gelet op het doel van de instelling en voor de verwezenlijking van haar grondslag noodzakelijk is, - ras, tenzij de instelling daartoe op grond van een wet verplicht is, of alleen in met het doel om personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen om feitelijke nadelen verband houdende met de grond ras op te heffen of te verminderen - gezondheid, voor zover dat met het oog op de speciale begeleiding van studenten of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is. Registratie van een pasfoto, nationaliteit, godsdienst of gezondheidsgegevens kunnen hier ook onder vallen, en mogen dus alleen in uitzonderlijke omstandigheden en onder verscherpte maatregelen (strikte beveiliging) worden verwerkt. Bij verwerking van gezondheidsgegevens (bijzondere persoonsgegevens) dienen passende, consequente en specifieke waarborgen te zijn opgenomen, op voorwaarde dat deze noodzakelijk en evenredig zijn, en waarvan de gevolgen door de betrokkene kunnen worden voorzien. Verwerking mag dan alleen: a. voor doeleinden van preventieve of arbeidsgeneeskunde, medische diagnose, het verstrekken van zorg of behandelingen of het beheren van gezondheidsdiensten. Verwerking geschiedt slechts door een gezondheidswerker of in de door nationale bevoegde instanties vastgestelde regelgeving, vastgelegde beroepsgeheim of een andere persoon voor wie een gelijkwaardige vertrouwelijkheidsplicht geldt; b. om redenen van openbaar belang op het gebied van volksgezondheid. Verwerking geschiedt slechts door een persoon die vertrouwelijkheid in acht moet nemen; c. om andere redenen van openbaar belang op gebieden als sociale bescherming. Bij verwerking van bijzondere persoonsgegevens zoals gezondheidsgegevens, neemt de instelling (extra) passende, consequente en specifieke maatregelen om de veiligheid van de gegevens te garanderen. Het gebruik van deze bijzondere gegevens blijft beperkt tot alleen die gevallen dat de informatie strikt noodzakelijk en evenredig is. IBPDOC2B, versie 1.3 Pagina 24 van 48

25 Niemand kan onderworpen worden aan een besluit dat alleen wordt genomen op grond van een geautomatiseerd persoonsgegevens verwerkingssysteem dat bestemd is om een beeld te vormen over zijn/haar persoonlijkheid (=profilering), als aan dat besluit gevolgen zijn verbonden die de betrokkene in kwestie specifieke en in aanmerkelijke mate treffen. Zo n verwerking is slechts rechtmatig indien de betrokkene hierover specifiek en voortijdig wordt geïnformeerd en met waarborgen voor menselijke tussenkomst ter controle. Iedere betrokkene heeft altijd het recht bezwaar te maken tegen profilering. Bij profilering is er sprake van een geautomatiseerde verwerking (en vergelijking) van verschillende soorten persoonsgegevens om een betrokkene te evalueren, classificeren of een beslissing over die betrokkene te nemen. De school zal bij het inzetten profilering geen geautomatiseerde beslissingen laten nemen over de betrokkene zonder dat bij die beslissing een persoon namens de instelling betrokken is bij de besluitvorming, er aan de betrokkene duidelijke informatie is verstrekt over de wijze van profilering, en de betrokkene de mogelijkheid heeft in verweer te komen tegen een dergelijke geautomatiseerde beslissing. NEN7510 Rechten en verplichtingen Toelichting "Er behoren geschikte, samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de labeling en verwerking van informatie overeenkomstig het classificatiesysteem dat de organisatie heeft geïmplementeerd. [zie hiervoor] Geen wettelijke verplichtingen opgenomen in de Wbp Let hier op eventuele gevolgen voor het HR-beleid (bijvoorbeeld werving&selectie of benoeming & ontslag). Ook hier geldt dat toestemming niet als grondslag kan dienen voor verwerking door de instelling in hoedanigheid als werkgever. Dit artikel beoogt dan ook dat lidstaten specifieke wetgeving aannemen voor verwerkingen in arbeidsverhouding (hier worden slechts minimum standaarden voorgeschreven). IBPDOC2B, versie 1.3 Pagina 25 van 48

26 AVG Rechten en verplichtingen Toelichting In het kader van de arbeidsverhouding kunnen specifieke regels worden ingesteld. In ieder geval dient een verantwoordelijke, die tevens werkgever is met de volgende omstandigheden rekening te houden bij verwerking van persoonsgegevens van medewerkers: 1. Het doel van de verwerking moet verband houden met de reden waarom de gegevens werden vergaard en moet beperkt blijven tot het kader van de arbeidsverhouding. Profilering of gebruik voor secundaire doeleinden is niet toegestaan. 2. Toestemming van een werknemer biedt geen rechtsgrondslag voor verwerking van gegevens door de werkgever, indien deze toestemming niet vrijwillig is verleend. Beleidsregels voor privacy: Ten behoeve van privacy behoort een reeks beleidsregels te worden gedefinieerd en goedgekeurd door het bestuur. Beleidsregels voor privacy: Het door het bestuur vastgestelde privacybeleid wordt gepubliceerd en gecommuniceerd aan me-dewerkers en relevante externe partijen. Daarbij gelden de volgende minimum normen: a. verwerking van persoonsgegevens van werknemers zonder dat zij hiervan op de hoogte zijn, is verboden. Uitzondering geldt slechts voor gevallen waarin aantoonbare werkelijke aanknopingspunten aanleiding geven tot de verdenking dat de werknemer waarmee een arbeidsverhouding bestaat een strafbaar feit heeft gepleegd of zich schuldig heeft gemaakt aan ernstig plichtsverzuim, het onderzoek van de gegevens noodzakelijk is om het feit aan het licht te brengen en de aard en de b. De toepassing van openlijk optisch-elektronisch en/of open akoestisch- elektronisch toezicht op de niet openbaar toegankelijke delen van het bedrijf die overwegend bedoeld zijn voor persoonlijk gebruik door de werknemers, met name ruimten voor sanitaire voorzieningen, omkleed-, pauze- en slaapruimten, is verboden. c. ondernemingen of autoriteiten die in het kader van medische onderzoeken en/of geschiktheidstests persoonsgegevens verzamelen en verwerken moeten de sollicitant of werknemer er vooraf van op de hoogte brengen waarvoor deze gegevens worden gebruikt en dienen ervoor te zorgen dat dezen na afloop van de tests de beschikking krijgen over deze gegevens en de resultaten, en desgewenst een uitleg over hun belang. d. of en in welke omvang het gebruik van telefoon, e- mail, internet en andere telecommunicatiediensten ook voor particuliere doeleinden is toegestaan, kan in een cao of rechtstreeks tussen werkgever en werknemer worden geregeld. persoonsgegevens van werknemers, met name gevoelige gegevens zoals politieke overtuiging, een eventueel lidmaatschap van of een actieve rol in een vakbond, mogen onder geen beding worden gebruikt om werknemers op zogenoemde zwarte lijsten te plaatsen of hen door te lichten dan wel uit te sluiten van werk. IBPDOC2B, versie 1.3 Pagina 26 van 48

27 Persoonsgegevens worden niet langer bewaard dan voor de verwezenlijking van de doeleinden noodzakelijk is. Andere wet en regelgeving Rechten en verplichtingen Archiefwet De verantwoordelijke is verplicht een selectielijst op te stellen waarin tenminste wordt aangegeven welke persoonsgegevens op welke termijn worden vernietigd. De instelling draagt er zorg voor dat een duidelijk beleid wordt vastgesteld voor bewaartermijnen van persoonsgegevens. Toelichting De instelling stelt op basis van het Basisselectiedocument de nodige selectielijsten op waarin tenminste wordt aangegeven welke persoonsgegevens op welke termijn worden vernietigd. Persoonsgegevens mogen wel langer worden bewaard voor zover ze voor historische, statistische of wetenschappelijke doeleinden worden bewaard, en de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de desbetreffende gegevens uitsluitend voor deze specifieke doeleinden worden gebruikt. AVG Rechten en verplichtingen Toelichting Verscherpte voorwaarden voor secundair gebruik persoonsgegevens voor historisch, statistisch en wetenschappelijk onderzoek: a. De verantwoordelijk moet kunnen aantonen dat het doeleinde niet bereikt kan worden zonder gebruik van de gegevens (subsidiariteit) en [bij herziening Compliancekader te overwegen: Bij secundair gebruik van persoonsgegevens voor historisch, statistisch en wetenschappelijk onderzoek, toont de instelling aan dat zonder de gegevens het doel van het onderzoek niet kan worden behaald. ] b. Alle informatie die aan een betrokkene kan worden toegekend wordt gescheiden bewaard van andere informatie volgens de allerhoogste technische standaarden. IBPDOC2B, versie 1.3 Pagina 27 van 48

28 Transparantie De betrokkene moet volstrekt helder en in begrijpelijke taal zijn geïnformeerd welke gegevens er over hem worden verwerkt. Het privacybeleid moet transparant zijn en openbaar toegankelijk voor alle betrokkenen. Het interne privacy beleid dient beknopt, transparant, duidelijk en eenvoudig toegankelijk te zijn, en wordt vastgesteld door de verantwoordelijke. Het beleid moet op eenvoudige wijze beschikbaar en te begrijpen zijn voor iedere betrokkene. Hierbij wordt rekening gehouden met de stand van de techniek, het soort verwerking van persoonsgegevens, de context, de omvang en het doel van de verwerking, de risico's voor de rechten en vrijheden van betrokkenen en het type organisatie, zowel bij de vaststelling van de middelen voor de verwerking als bij de verwerking zelf. Beleidsregels voor privacy: Ten behoeve van privacy behoort een reeks beleidsregels te worden gedefinieerd en goedgekeurd door het bestuur. Het door het bestuur vastgestelde privacybeleid wordt gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. Daarnaast zorgt de verantwoordelijke ervoor dat er mechanismen zijn die ervoor zorgen dat doeltreffendheid van maatregelen met regelmaat wordt getoetst door interne/externe auditors. NEN7510 Rechten en verplichtingen Toelichting De Onderwijsinstelling informeert actief, al dan niet met gebruikmaking van leveranciers geleverde informatie, aan de (ouders van) studenten van wie persoonsgegevens worden verwerkt, welke verwerking er plaatsvindt en welke maatregelen er zijn getroffen om de privacy van die leerling te kunnen waarborgen. "Het informatiebeveiligingsbeleid behoort met geplande tussenpozen, na het optreden van een omvangrijk informatiebeveiligingsincident of zodra zich belangrijke wijzigingen voordoen, te worden beoordeeld om te bewerkstelligen dat het geschikt, toereikend en doeltreffend blijft. [invoering PDCA-cyclus; maturity-level 4] Bij verwerking van persoonsgegevens draagt de verantwoordelijke er zorg voor dat de volgende informatie openbaar wordt gemaakt: - Voor welk specifiek doeleinde(n) de persoonsgegevens worden verwerkt - Of verwerking beperkt wordt tot dat wat voor het gestelde doeleinde strikt noodzakelijk is. - Of bewaring van de persoonsgegevens beperkt wordt tot dat wat voor het gestelde doeleinde strikt noodzakelijk is. - Of persoonsgegevens ook voor andere doeleinden worden verwerkt - Of persoonsgegevens worden gedeeld met commerciële derden - Of persoonsgegevens worden verkocht of verhuurd - Of persoonsgegevens gecodeerd worden bewaard De instelling kan een pagina op haar website inrichten waarop deze informatie beschikbaar wordt gesteld. Vanzelfsprekend dient deze pagina met voldoende regelmaat geüpdatet te worden. IBPDOC2B, versie 1.3 Pagina 28 van 48

29 Rechten betrokkene Persoonsgegevens worden verwerkt met inachtneming van en respect voor de fundamentele rechten van betrokkenen. Betrokkenen hebben het recht een verzoek te doen ter verbetering, aanvulling, verwijdering of afscherming van hun persoonsgegevens, in het geval dat deze gegevens (a) feitelijk onjuist zijn, (b) voor het gestelde doeleinde onvolledig of niet ter zake dienend zijn, (c) dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. De instelling stelt procedures in die de betrokkene in staat stellen zijn recht op rectificatie uit te oefenen. Dit recht geeft de betrokkene de mogelijkheid een verzoek ter verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens in te dienen in het geval dat deze gegevens (a) feitelijk onjuist zijn, (b) voor het gestelde doeleinde onvolledig of niet ter zake dienend zijn, (c) dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Kennisgeving na afloop Na het verbeterd, aangevuld, verwijderd of afgeschermd, is de verantwoordelijke verplicht om aan derden aan wie de gegevens daaraan voorafgaand zijn verstrekt, zo spoedig mogelijk kennis te geven van de verbetering, aanvulling, verwijdering of afscherming, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost. De verantwoordelijke stelt procedures vast voor het uitoefenen van de rechten van betrokkenen. De verantwoordelijke zorgt er voor dat betrokkenen op eenvoudige, begrijpelijke en transparante wijze hun rechten uit te laten voeren. Hierbij maakt de instelling gebruik van gestandaardiseerde (digitale) formulieren. De betrokkene kan zijn rechten in het algemeen kosteloos uitoefenen, behoudens in het geval van misbruik. De instelling reageert binnen de vastgestelde termijnen (doch uiterlijk binnen 4 weken). De instelling stuurt een gemotiveerde reactie indien niet aan het verzoek kan worden voldoen, onder vermelding van diens beroepsmogelijkheden. Na het verbeteren, aanvullen, verwijderen of afschermen van persoonsgegevens van de betrokkene, is de verantwoordelijke verplicht om aan derden aan wie de gegevens daaraan voorafgaand zijn verstrekt, zo spoedig mogelijk kennis te geven van de verbetering, aanvulling, verwijdering of afscherming (tenzij dit onmogelijk blijkt of een onevenredige inspanning kost). Iedere betrokkene heeft het recht een klacht in te dienen bij de toezichthouder, indien van mening dat verwerking niet aan de wet voldoet. Rechten van betrokkenen omvatten onder andere het verstrekken van duidelijke en gemakkelijk te begrijpen informatie over de verwerking van persoonsgegevens van betrokkenen (intern privacy beleid), toegangsrechten (procedures en maatregelen), daarbij worden waar nodig persoonsgegevens verbeterd of verwijderd (rectificatie en wissen), worden betrokkenen over verwerking geïnformeerd (recht om gegevens te verkrijgen), kunnen betrokkenen tegen bepaalde verwerkingen bezwaar maken of gerechtelijke procedures aanspannen om hun rechten af te dwingen of schadevergoeding voor onrechtmatige verwerking te ontvangen (recht van bezwaar en beroep). [zie hiervoor] IBPDOC2B, versie 1.3 Pagina 29 van 48

30 AVG Rechten en verplichtingen Toelichting De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. De betrokkene wordt door verantwoordelijke op de hoogte gebracht indien de intrekking van de toestemming kan leiden tot beëindiging van geleverde diensten of betrekkingen met de verantwoordelijke. Toestemming is aan het specifieke doeleinde gebonden, en niet meer geldig zodra dit doel wegvalt of is voltooid. Toestemming is geen rechtmatige grondslag als er sprake is van een hiërarchische verhouding tussen verantwoordelijke en betrokkene. [zie grondslag] AVG Rechten en verplichtingen Toelichting Opt-out is niet langer toegestaan, omdat dan geen sprake is van toestemming aangezien niet gesproken kan worden van expliciete wilsverklaring door het vergeten een link uit te klikken. [nvt] Een betrokkene heeft het recht een verzoek in te dienen waarin hij/zij informeert naar nakoming van zijn/haar rechten als betrokkene (recht op informatie, recht op inzage, rectificatie, wissen, toegang tot of verkrijging van zijn/haar persoonsgegevens). In algemene zin draagt de verantwoordelijke de verantwoordelijkheid om omtrent een dergelijk verzoek: - Zonder onnodig uitstel informatie te verstrekken. - Te informeren zonder onnodig uitstel of er al dan niet actie is ondernomen n.a.v. het specifiek verzoek. - Indien geen actie wordt ondernomen, dient de verantwoordelijke dit mee te delen, met daarbij een onderbouwing en mogelijkheid tot indienen van een klacht. - Alle informatie wordt schriftelijk verstrekt. [zie hiervoor] De verantwoordelijke stelt procedures vast om bij verzoek van een betrokkene uitsluitsel te kunnen bieden over het al dan niet plaatsvinden van verwerkingen van zijn/haar persoonsgegevens, in duidelijke en eenvoudige taal. De volgende informatie moet (minimaal) worden verstrekt: a. de doeleinden van de verwerking voor elke soort gegevens; b. de soorten persoonsgegevens; c. Wie de gegevens ontvangen of er inzicht in hebben; d. Bewaartermijn of criteria die dienen om dat termijn te bepalen; e. Het bestaan van het recht op rectificatie of het wissen van persoonsgegevens of bezwaar te maken; f. Het recht om een klacht in te dienen; g. De beschikbare informatie over de herkomst van de gegevens. h. Of gegevens zijn verstrekt aan overheidsinstanties [zie hiervoor] IBPDOC2B, versie 1.3 Pagina 30 van 48

31 Naast het verstrekken van algemene informatie, dient de instelling aanvullend de volgende informatie (te zien als ondergrens) aan een betrokkene te verstrekken, als deze hier om vraagt: [zie hiervoor] 1. De identiteit en contactgegevens van de instelling, en indien van toepassing de functionaris gegevensbescherming 2. De specifieke doeleinden voor verwerking en bestaande beveiligingsmaatregelen 3. Bewaartermijn of criteria die dienen om dat termijn te bepalen 4. Het bestaan van het recht van toegang, rectificatie, wissen, of verkrijgen van persoonsgegevens of bezwaar te maken 5. Het recht om een klacht in te dienen 6. Wie de gegevens ontvangen of er inzicht in hebben 7. Of de gegevens buiten de EEA worden gedeeld, of met internationale organisaties en hun betreffende beschermingsniveau 8. Of gegevens worden gebruikt voor profilering 9. Of gegevens zijn verstrekt aan overheidsinstanties 10. Alle verdere informatie die nodig is om tegenover de betrokkene een eerlijke een behoorlijke en zorgvuldige verwerking te waarborgen. Dit recht geeft de betrokkene de mogelijkheid een verzoek ter verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens in te dienen in het geval dat deze gegevens (a) feitelijk onjuist zijn, (b) voor het gestelde doeleinde onvolledig of niet ter zake dienend zijn, (c) dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. [zie hiervoor] De verantwoordelijk is verplicht binnen een redelijk gesteld termijn te reageren op het verzoek, en dient bij afwijzing van een verzoek dit duidelijk met redenen te omkleden. Kennisgeving na afloop Na het verbeterd, aangevuld, verwijderd of afgeschermd, is de verantwoordelijke verplicht om aan derden aan wie de gegevens daaraan voorafgaand zijn verstrekt, zo spoedig mogelijk kennis te geven van de verbetering, aanvulling, verwijdering of afscherming, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost. Indien de verzoeker (betrokkene) ernaar vraagt, dient de verantwoordelijke hem mede aan welke derden hij deze mededeling heeft gedaan. IBPDOC2B, versie 1.3 Pagina 31 van 48

32 Als verwerking van persoonsgegevens heeft plaatsgevonden o.g.v. de volgende grondslagen (als bedoeld onder nr. {X}) (a) de goede vervulling van een publiekrechtelijke taak of (b) het gerechtvaardigd belang van de verantwoordelijke Kan een betrokkene te alle tijden (lees: zonder nadere motivatie) een klacht hiertegen indienen (= verzet). [zie hiervoor] Indien het verzet gerechtvaardigd is beëindigt de verantwoordelijke terstond de verwerking. Bij verwerking op andere gronden dient een betrokkene niettemin op een eenvoudige en doeltreffende wijze kosteloos bezwaar te kunnen maken tegen de verwerking van gegevens die op hem betrekking heeft. Het is aan de verantwoordelijke om te bewijzen (omgekeerde bewijslast) dat zijn gerechtvaardigde belangen zwaarder wegen dan de grondrechten en fundamentele vrijheden van de betrokkene. AVG Rechten en verplichtingen Toelichting AVG (art. 73) voorziet in een klachtrecht bij het CBP ingeval betrokkene van mening is dat de verwerking niet aan de AVG voldoet. [wijzigen bij volgende herziening] Dit klachtrecht sluit in dat kan worden geklaagd over (het niet, of het niet tijdig nemen van) beslissingen van instellingen op verzoeken van betrokkene om enig recht uit hoofde van de AVG uit te oefenen, zoals het recht op toegang en inzage, rectificatie, laten wissen van gegevens, gegevensoverdraagbaarheid, alsmede het recht op te komen tegen profiling. Iedere betrokkene heeft het recht een klacht in te dienen bij de toezichthouder, indien van mening dat verwerking niet aan de wet voldoet. [zie hiervoor] Het Cbp kan ambtshalve of op verzoek van een belanghebbende, een onderzoek instellen naar de wijze waarop ten aanzien van gegevensverwerking toepassing wordt gegeven aan het bepaalde bij of krachtens de wet. Ook organen, organisaties of verenigingen die in het openbaar belang handelen hebben het recht een klacht in te dienen namens een of meer betrokkenen. IBPDOC2B, versie 1.3 Pagina 32 van 48

33 Iedere natuurlijke of rechtspersoon heeft het recht tegen hem betreffende besluiten van de toezichthouder een beroep in te stellen. [zie hiervoor] Iedere betrokkene heeft ook het recht een beroep in te stellen teneinde de toezichthouder te verplichten aan een klacht gevolg te geven, of als er geen besluit is genomen voor bescherming van zijn rechten of wanneer de toezichthouder hem niet binnen 3 maanden van de voortgang of resultaat van de klacht in kennis heeft gesteld. De rechten van betrokkenen mogen achterwege blijven voor zover dit (in het uiterste geval) noodzakelijk is in het belang van: a. Openbare veiligheid b. de voorkoming, opsporing en vervolging van strafbare feiten; c. gewichtige economische en financiële belangen van de staat en andere openbare lichamen; d. het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c e. de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen; de bescherming van de betrokkene of van de rechten en vrijheden van anderen. [zie hiervoor] IBPDOC2B, versie 1.3 Pagina 33 van 48

34 Beveiliging Er moet zorgvuldig worden omgegaan met de persoonsgegevens die aan de instelling worden toevertrouwd: het gaat om andermans data. De veiligheid van de gegevens moet daarom worden gegarandeerd. Zowel de verantwoordelijke als de bewerker legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Een passend beschermingsniveau houdt rekening met (a) de stand van de (beveiligings) techniek, en (b) de kosten van tenuitvoerlegging van de beveiligingsmaatregelen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. De verantwoordelijke kan aan de hand van de wettelijke checklists haar systemen controleren en waar nodig aanpassen. AVG Rechten en verplichtingen Toelichting Stand van de techniek en kosten van uitvoering (uitgewerkt) a) De mogelijkheid ervoor te zorgen dat de integriteit van de persoonsgegevens wordt bekrachtigd; b) de mogelijkheid te voorzien in een voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht vd systemen en diensten die persoonsgegevens verwerken; c) de mogelijkheid om de beschikbaarheid van en toegang tot gegevens ingeval van een fysiek of technisch incident met gevolgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van de informatiesystemen en diensten te herstellen; d) ingeval van verwerking van bijzondere persoonsgegevens worden bijkomende veiligheidsmaatregelen getroffen om te zorgen voor omgevingsbewustzijn met betrekking tot de risico's en het vermogen om bijna real-time preventieve, corrigerende en beperkende maatregelen te treffen; e) een proces voor het regelmatig testen, meten en evalueren van de doeltreffendheid van bestaand veiligheidsbeleid en bestaande veiligheidsprocedures en -plannen, teneinde deze doeltreffendheid voortdurend te waarborgen. [zie hiervoor] IBPDOC2B, versie 1.3 Pagina 34 van 48

35 AVG Rechten en verplichtingen Toelichting De verantwoordelijke, of de bewerker, voert een algemene risicoanalyse uit van de mogelijke effecten van de bedoelde gegevensverwerking op de rechten en vrijheden van de betrokkenen, waarbij wordt beoordeeld of de verwerkingen waarschijnlijk specifieke risico s inhouden (die een PIA behoeven). De volgende verwerkingen kunnen (gezien hun aard) specifieke risico's inhouden: a) de verwerking van persoonsgegevens van meer dan - Bijzondere persoonsgegevens (ras, gezondheid) worden verwerkt; 5000 betrokkenen gedurende een achtereenvolgende - Er sprake is van profilering; periode van 12 maanden; b) de verwerking van bijzondere persoonsgegevens, - Geautomatiseerde bewaking van publiek toegankelijke ruimtes; locatiegegevens of gegevens over kinderen of werknemers in grote bestanden; c) profilerende gegevens waarop maatregelen zijn gebaseerd die een betrokkene op aanzienlijke wijze kunnen treffen; d) de verwerking van persoonsgegevens voor het bieden van gezondheidszorg, of wanneer de gegevens op grote schaal worden verwerkt voor het nemen van maatregelen of besluiten met betrekking tot specifieke personen; e) geautomatiseerde bewaking van openbaar toegankelijke ruimten op grote schaal; g) indien een inbreuk in verband met persoonsgegevens waarschijnlijk negatieve gevolgen heeft voor bescherming van de persoonsgegevens, privacy, of rechten of de gerechtvaardigde belangen van de betrokkene; h) verwerkingen die vanwege hun aard, hun omvang en/of hun doel regelmatige en stelselmatige observatie van betrokkenen vereisen; i) persoonsgegevens worden toegankelijk gemaakt voor een aantal personen waarvan redelijkerwijs niet kan worden aangenomen dat het een beperkt aantal is. De instelling voert een evaluatie uit van de mogelijke effecten van de verschillende gegevensverwerking op de rechten en vrijheden van de betrokkenen. De instelling voert een volledige PIA uit in geval de verwerking van de persoonsgegevens: - Meer dan 5000 betrokkenen betreft en langer duurt dan 12 maanden; - Inbreuken die waarschijnlijk negatieve gevolgen heeft voor bescherming van de persoonsgegevens; - Verwerkingen die regelmatige en stelselmatige observatie van betrokkenen vereisen; - Toegankelijk is voor een grotere groep gebruikers. [Hierbij kan de handreiking PIA risicoformulier gebruikt worden.] IBPDOC2B, versie 1.3 Pagina 35 van 48

36 AVG Rechten en verplichtingen Toelichting Indien verwerking plaatsvindt overeenkomstig de lijst onder Algemene Risicoanalyse, voert de verantwoordelijke/bewerker een beoordeling uit van de effecten van de beoogde verwerking op de rechten en vrijheden van betrokkenen. De instelling stelt procedures vast inzake het uitvoeren van een PIA. [Voor uitvoering van een PIA kan gebruik gemaakt worden van de IPHO model PIA Een enkele beoordeling is voldoende ingeval het gaat om een reeks vergelijkbare verwerkingen die vergelijkbare risico s inhouden. De beoordeling heeft betrekking op de gehele levenscyclus van persoonsgegevens van verzameling van verwerking tot verwijdering. Deze bevat tenminste: a) een systematische beschrijving van de beoogde verwerkingen, de doeleinden van de verwerking en, indien van toepassing, de gerechtvaardigde belangen die worden nagestreefd door de verantwoordelijke; b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot het doel; c) een beoordeling van de risico's voor de rechten en vrijheden van de betrokkenen; d) een beschrijving van de beoogde maatregelen om de risico's te beperken en de hoeveelheid persoonsgegevens die wordt verwerkt, te minimaliseren; e) een lijst waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen (zoals pseudonimisering) f) een algemene aanwijzing betreffende de bewaartermijnen van de verschillende categorieën gegevens; g) een uitleg over welke privacy by design en by default praktijken zijn toegepast; h) een lijst van de ontvangers of categorieën ontvangers van de persoonsgegevens; i) indien van toepassing, een lijst van de voorgenomen doorgiften van gegevens naar een derde land of een internationale organisatie; j) een beoordeling van de context van de gegevensverwerking. Andere wet en regelgeving Rechten en verplichtingen Het verdient aanbeveling de FG te betrekken indien een PIA is uitgevoerd waarbij grote risico s zijn ingeschat voor verwerking van betreffende persoonsgegevens. Toelichting Toetsmodel PIA Rijksdienst 6 Per 1 september 2013 wordt standaard bij ontwikkeling van nieuwe wetgeving en beleid waarmee de bouw van nieuwe ICT systemen of de aanleg van grote databestanden een PIA uitgevoerd 6 Te vinden via IBPDOC2B, versie 1.3 Pagina 36 van 48

37 In geval van een datalek (inbreuk in verband met persoonsgegevens) meldt de verantwoordelijke het Cbp deze inbreuk zonder onnodige vertraging. De bewerker waarschuwt de verantwoordelijk zonder onnodige vertraging na de vaststelling van een datalek bij de bewerker. [algemeen] Een datalek wordt door de verantwoordelijke gemeld aan het CBP. De melding aan het Cbp omvat: a. een omschrijving van de aard van de inbreuk in verband met persoonsgegevens, waaronder de betrokken categorieën en aantallen betrokkenen en categorieën en aantallen gegevensrecords; b. de vermelding van de identiteit en de contactgegevens van de FG of een ander contactpunt waar meer informatie kan worden verkregen; c. aanbevelingen voor maatregelen om de mogelijk nadelige gevolgen van de inbreuk in verband met persoonsgegevens te verminderen; d. een omschrijving van de gevolgen van de inbreuk in verband met persoonsgegevens; e. een omschrijving van de maatregelen die de verantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken en de gevolgen ervan te beperken. Zie voor meer informatie ook het Rapport Meldplicht Datalekken IBPDOC2B, versie 1.3 Pagina 37 van 48

38 Als bij inschatting van de gevolgen van een datalek aannemelijk is dat persoonsgegevens als gevolg van dat lek zijn blootgesteld aan een aanmerkelijke kans op verlies of onrechtmatige verwerking, moet de verantwoordelijke na melding aan het CBP, zonder onnodige vertraging, ook een melding doen aan de betrokkene. Bij een datalek moet de betrokkene worden geïnformeerd over aard inbreuk, en de gevolgen van de inbreuk op de privacy van de betrokkene. Deze mededeling is uitgebreid en geschreven in duidelijke, eenvoudige taal en bevat: omschrijving aard van de inbreuk iv.m. de persoonsgegevens de vermelding van de identiteit en de contactgegevens van de FG of een ander contactpunt waar meer informatie kan worden verkregen; aanbevelingen voor maatregelen om de mogelijk nadelige gevolgen van de inbreuk in verband met persoonsgegevens te verminderen; een omschrijving van de gevolgen van de inbreuk i.v.m. persoonsgegevens Uitzondering Bij aantoonbaar en toegepaste passende technische beschermingsmaatregelen op de betreffende persoonsgegevens mag melding achterwege blijven. IBPDOC2B, versie 1.3 Pagina 38 van 48

39 Datakwaliteit (zorgvuldigheid; data integriteit) Persoonsgegevens worden adequaat, toereikend en ter zake dienend verwerkt en tevens treft de verantwoordelijke de nodige maatregelen om ervoor te zorgen dat de persoonsgegevens die worden verzameld juist en nauwkeurig zijn. Geen wettelijke verplichtingen in Wbp De verantwoordelijke gaat zorgvuldig om met de verwerkte persoonsgegevens en waarborgt de het behoud en bescherming van de juistheid en de consistentie van data. AVG Rechten en verplichtingen Toelichting Indien een PIA is uitgevoerd, worden de resultaten daaruit in acht genomen bij het ontwikkelen van een privacy by design systeem. De instelling stelt mechanismen in om er voor te zorgen - Gegevensminimalisatie dat alleen die persoonsgegevens worden verwerkt die voor elk specifiek doeleinde nodig zijn en dat m.n. het verzamelen of bewaren van die gegevens zich zowel - Gebruik sticky policies wat betreft hoeveelheid als periode van opslag beperkt - Het ontwerpen van informatiesystemen, die de privacy van betrokkenen maximaal beschermen waardoor privacyregels in systemen zijn in te bouwen, door: - Transparantie over gebruik van gegevens - Afschermen van de identiteit individu tot dat wat voor die doeleinden strikt noodzakelijk is. - Data tracking - Gebruik privacy icons en privacy ontologie Teneinde overeenstemming met de wet te waarborgen en aan te tonen, dient de verantwoordelijke intern beleid - vast te stellen en passende maatregelen te treffen, die in het bijzonder voldoen aan de beginselen inzake privacy by design en by default. IBPDOC2B, versie 1.3 Pagina 39 van 48

40 Verantwoordelijkheid (responsibility) In alle handelingen met betrekking tot persoonsgegevens, dienen instellingen de algemene privacy regels als vuistregels te hanteren. Voor verwerkingen van Persoonsgegevens is de instelling de verantwoordelijke en een leverancier de bewerker in de zin van de wet. Taken en verantwoordelijkheden van alle bij de verwerking betrokkenen medewerkers en externen, zijn helder belegd. Een ieder die handelt onder het gezag van de verantwoordelijke of van de bewerker, alsmede de bewerker zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke, behoudens afwijkende wettelijke verplichtingen. De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Instellingen achten het van groot belang, en stimuleren in dat kader, dat studenten en mede-werkers op de hoogte zijn van verplichtingen op grond van de Wbp en deze naleven. De uitvoering van verwerkingen door bewerker wordt geregeld in een overeenkomst of door andere rechtshandeling die de bewerker t.o.v. de verantwoordelijke bindt. De verantwoordelijke blijft uit hoofde verantwoordelijk voor het gedrag van de bewerker. Indien de instelling persoonsgegevens laat verwerken door een bewerker, draagt hij er zorg voor dat de bewerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen mbt de te verrichten verwerkingen. De verantwoordelijke draagt zorg voor de naleving van de verplichtingen, bedoeld in de artikelen 6 tot en met 12 en 14, tweede en vijfde lid van dit hoofdstuk. AVG Rechten en verplichtingen Toelichting Specifiekere minimum eisen aan de bewerkersovereenkomst: 1. de persoonsgegevens slechts verwerkt in opdracht van de verantwoordelijke (m.u.v. bepaalde wettelijke verplichtingen) 2. de passende en relevante technische en organisatorische voorwaarden schept waardoor de voor de verwerking verantwoordelijke zijn verplichting te voldoen ingevolge wettelijke vereisten voor passende technische en organisatorische maatregelen. 3. de verantwoordelijke na de beëindiging van de verwerking alle resultaten teruggeeft, de persoonsgegevens niet anderszins verwerkt en bestaande kopieën verwijdert, tenzij in de wetgeving wordt geëist dat de gegevens worden opgeslagen; 4. de voor de verwerking verantwoordelijke en de toezichthoudende autoriteit alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen en inspecties ter plaatse toestaat. IBPDOC2B, versie 1.3 Pagina 40 van 48

41 Een verwerking van persoonsgegevens wordt in beginsel gemeld aan de toezichthoudende autoriteit (Cbp of FG). De melding behelst een opgave van: a. de naam en het adres van de verantwoordelijke; b. het doel of de doeleinden van de verwerking; c. een beschrijving van de categorieën van betrokkenen en van de gegevens of categorieën van gegevens die daarop betrekking hebben; d. de ontvangers of categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt; e. de voorgenomen doorgiften van gegevens naar landen buiten de Europese Unie; f. een algemene beschrijving om een voorlopig oordeel te kunnen geven over de gepastheid van de voorgenomen maatregelen om, ter toepassing van beveiliging van de verwerking te waarborgen. Een verwerking van persoonsgegevens wordt in beginsel gemeld aan de toezichthoudende autoriteit (Cbp of FG). Voor zover het eenvoudige verwerkingen van persoonsgegevens betreft in het kader van de organisatie of het geven van het onderwijs, de begeleiding van studenten, deelnemers of studenten, dan wel het geven van studieadviezen, het verstrekken of ter beschikking stellen van leermiddelen, of verstrekken van informatie over het voorgaande, het bekendmaken van de activiteiten van de instelling, financiële- en schooladministratie, accountantscontrole, is melding niet vereist. AVG Rechten en verplichtingen Toelichting M.i.v. de AVG zal een algemene documentatie plicht gaan gelden, voor alle verwerkingen van persoonsgegevens. Iedere verantwoordelijke bewaart met regelmaat bijgewerkte documenten die nodig zijn om aan te tonen dat zij voldoen aan de wettelijke vereisten voor verwerking van persoonsgegevens. Daarnaast bewaart de verantwoordelijke (en bewerker) de documenten inzake de volgende gegevens: 1. de naam en de contactgegevens verantwoordelijke of eventueel gezamenlijke verantwoordelijken of verwerker, en van de vertegenwoordiger, in voorkomend geval; 2. de naam en de contactgegevens FG; 3. de naam en contactgegevens van de verantwoordelijken aan wie de persoonsgegevens zijn verstrekt. De verantwoordelijke (en bewerker) en de FG verlenen op verzoek hun medewerking aan het Cbp bij de uitoefening van diens taken (toegang tot persoonsgegevens en alle informatie, toegang tot gebouwen en terreinen, inclusief installaties). Dit behelst noodzakelijkerwijs een adequate documentatie. IBPDOC2B, versie 1.3 Pagina 41 van 48

42 Een verantwoordelijke of een organisatie kan een eigen FG benoemen, onverminderd de bevoegdheden van het CBP. De FG wordt aangewezen op grond van: zijn professionele kwaliteiten, zijn deskundigheid op het gebied van privacy wetgeving en praktijk zijn vermogen de taken te vervullen Naam en contactgegevens van de FG worden aan Cbp en publiek meegedeeld. Betrokkenen hebben het recht met de FG is contact te treden over alle aangelegenheden aangaande de verwerking van persoonsgegevens. Als FG kan slechts worden benoemd een natuurlijke persoon die voor de vervulling van zijn taak over toereikende kennis beschikt en voldoende betrouwbaar kan worden geacht. Instellingen stellen een Functionaris Gegevensbescherming (of privacy officer) aan. De FG rapporteert direct aan het College van Bestuur de verantwoordelijke -. De verantwoordelijke en de bewerker zorgen ervoor dat alle andere beroepswerkzaamheden van de FG verenigbaar zijn met zijn taken en verplichtingen als FG en niet tot een belangenconflict leiden. De FG kan wat betreft de uitoefening van zijn functie geen aanwijzingen ontvangen van de verantwoordelijke of van de organisatie die hem heeft benoemd. Hij ondervindt geen nadeel van de uitoefening van zijn taak. De verantwoordelijke stelt de functionaris in de gelegenheid zijn taak naar behoren te vervullen. FGs zijn gebonden tot geheimhouding wat betreft de identiteit vd betrokkenen en de omstandigheden aan de hand waarvan de betrokkenen geïdentificeerd kunnen worden, tenzij ze door de betrokkene van die verplichting zijn ontheven. De FG oefent zijn taken eerst uit nadat de verantwoordelijke of de organisatie die hem heeft benoemd, hem heeft aangemeld bij het College. Het College houdt een lijst bij van aangemelde functionarissen. De FG is verplicht tot geheimhouding van hetgeen hem op grond van een klacht of een verzoek van betrokkene is bekend geworden, tenzij de betrokkene in bekendmaking toestemt. IBPDOC2B, versie 1.3 Pagina 42 van 48

43 AVG Rechten en verplichtingen Toelichting Met ingang van de AVG is een functionaris voor gegevensverwerking verplicht in de publieke sector. Aanwijzing van een FG is verplicht voor verantwoordelijke en bewerker waarbij: 1. - de verwerking wordt uitgevoerd door een overheidsinstantie of orgaan; 2. - de verwerking wordt uitgevoerd door een rechtspersoon en betrekking heeft op meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden; 3. - een verantwoordelijke of bewerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doel regelmatige en stelselmatige observatie van betrokkenen vereisen; 4. - de kernactiviteiten van de verantwoordelijke of bewerker bestaan uit de verwerking van bijzondere persoonsgegevens, gegevens over de verblijfplaats of gegevens over kinderen of werknemers in grote bestanden. De verantwoordelijke en verwerker zorgen ervoor dat de FG naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens Verantwoordelijke en verwerker zorgen ervoor dat FG: - zijn plichten en taken onafhankelijk vervult - geen instructies ontvangt met betrekking tot de uitoefening van zijn functie. De FG brengt rechtstreeks verslag uit aan de leiding. De verantwoordelijke of verwerker wijst hiertoe een lid vd dagelijkse leiding aan als verantwoordelijke voor naleving van de bepalingen van deze verordening Verantwoordelijke en verwerker ondersteunen de FG bij de vervulling van zijn taken en zorgen voor alle middelen, met inbegrip van personeel, kantoren, uitrusting en alle andere benodigde middelen voor de vervulling van de in artikel 37 bedoelde plichten en taken om zijn/haar vakkennis op peil te houden. NEN7510 Rechten en verplichtingen Toelichting "De directie behoort informatiebeveiliging binnen de organisatie actief te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen. (ISO 27799; NVZ 2010)" De functionaris ziet toe op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Het toezicht strekt zich uit tot de verwerking van persoonsgegevens door de verantwoordelijke die hem heeft benoemd of door de verantwoordelijken die zijn aangesloten bij de organisatie die hem heeft benoemd. De functionaris kan aanbevelingen doen aan de verantwoordelijke die strekken tot een betere bescherming van de gegevens die worden verwerkt. In gevallen van twijfel overlegt hij met het College. De instellingen stellen een functieprofiel van de FG op, dat recht doet aan de hier genoemde taken. Aangezien de FG toeziet op naleving privacy by design & default en beveiliging van informatie, moet een overleg worden ingesteld tussen de FG, ISO en verantwoordelijke aanschaf en onderhoud informatiesystemen en/of informatiemanager. IBPDOC2B, versie 1.3 Pagina 43 van 48

44 AVG Rechten en verplichtingen Toelichting Taken van de FG zijn ten minste: 1. het bewust maken, informeren en adviseren van de verantwoordelijke en de bewerker over hun verplichtingen op grond van de wetgeving, met name wat betreft technische en organisatorische maatregelen en procedures, en het documenteren van deze activiteit en de ontvangen antwoorden 2. het toezien op de uitvoering en toepassing van het beleid, met inbegrip van de toewijzing van verantwoordelijkheden, de opleiding van het bij de verwerking betrokken personeel en de betreffende audits; 3. het toezien met name de vereisten inzake privacy by design, privacy by default en gegevensbeveiliging en met betrekking tot het informeren van betrokkenen en hun verzoeken in het kader van de uitoefening van hun rechten; 4. ervoor zorgen dat de juiste documenten worden bewaard; 5. het toezien op het documenteren, melden en meedelen van inbreuken in verband met persoonsgegevens; 6. het toezien op de uitvoering van de PIA op het verzoek om voorafgaande raadpleging; 7. medewerking aan de toezichthoudende autoriteit op diens verzoek of op eigen initiatief van de FG; 8. het optreden als contactpunt voor de toezichthouder; 9. het controleren op naleving van de wet; 10. het informeren van de werknemersvertegenwoordiging over de verwerking van gegevens van werknemers. NEN7510 Rechten en verplichtingen Toelichting "De directie behoort informatiebeveiliging binnen de organisatie actief te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen. (ISO 27799; NVZ 2010)" Iedere persoon die schade waaronder immateriële schade- heeft geleden als gevolg van een onrechtmatige verwerking of een handeling die met de wet strijdig is, heeft het recht om van de voor de verwerking verantwoordelijke of de verwerker vergoeding te eisen. De verantwoordelijke of de bewerker kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend IBPDOC2B, versie 1.3 Pagina 44 van 48

45 Het Cbp is bevoegd tot toepassing van bestuursdwang ter handhaving van de bij of krachtens deze wet gestelde verplichtingen zoals administratieve verplichtingen, maar ook algemene verplichtingen (schending beginselen, schending rechten betrokkenen, niet melden, doorgifte verboden landen, profilering, etc.) De hoogte van de bestuurlijke boete sluit aan op de bedragen die in het Strafrecht worden gebruikt en varieert van maximaal in de laagste categorie en maximaal in de hoogste categorie. Het CBP zal niet onmiddellijk een boete opleggen na het vaststellen van een overtreding, maar eerst een bindende aanwijzing geven die de overtreder de mogelijkheid geeft om een overtreding te herstellen. De boete volgt pas indien aanwijzing niet binnen een bepaalde termijn wordt opgevolgd. In het geval er sprake is van opzettelijk handelen of een ernstige verwijtbare nalatigheid kan het CBP een bindende aanwijzing achterwege laten en direct een boete opleggen. Sanctionering wordt met de wetswijziging uitgebreider en zwaarder. Een goede risico analyse, m.b.t. risico gebieden, is dus voor elke instelling van belang. Vooral voor onderzoekers is het noodzaak deze bepalingen goed in acht te nemen. Sancties vormen risico van materieel belang. Aandachtspunt i.v.m. financiële continuïteit. Relevant voor accountant bij controle jaarrekening en afgifte van samenstellingsverklaring. Zie voor meer informatie het document Stappenplan meldplicht datalekken?? AVG Rechten en verplichtingen Toelichting Zodra de AVG van kracht wordt zullen de hoogtes van de boetes nog verder oplopen. De toezichthoudende autoriteit legt een ieder die de verplichtingen krachtens de AVG niet naleeft, ten minste een van de volgende sancties op: 1. een schriftelijke waarschuwing in het geval van een eerste en niet-opzettelijke niet-naleving (bindende aanwijzing); 2. regelmatige, periodieke gegevensbeschermingsaudits; 3. een boete tot euro of tot 5% van de jaarlijkse wereldwijde omzet in het geval van een onderneming (welk bedrag hoger is) AVG Rechten en verplichtingen Toelichting De verantwoordelijke of de bewerker die namens de verantwoordelijke optreedt, voert uiterlijk twee jaar na uitvoering van een PIA een nalevingscontrole gegevensbescherming uit. Uit deze nalevingscontrole gegevensbescherming moet blijken dat de verwerkte gegevens zijn verwerkt overeenkomstig de PIA. De nalevingscontrole wordt periodiek, tenminste eens per twee jaar, uitgevoerd of anderszins onmiddellijk nadat de specifieke risico s in verband met de verwerkingen zijn gewijzigd. Nalevingscontrole wordt gedocumenteerd, en indien gevraagd overhandigd aan de toezichthoudende instantie. Ingeval de nalevingscontrole inconsistenties in de naleving laat zien, worden er in de nalevingscontrole tevens aanbevelingen opgenomen om tot volledige naleving te kunnen komen. Indien de voor de verwerking verantwoordelijke of de verwerker een FG heeft aangewezen, wordt deze betrokken bij de uitvoering van de nalevingscontrole. IBPDOC2B, versie 1.3 Pagina 45 van 48

46 Bijlage 2: Definities 1. Persoonsgegeven Alle informatie die een natuurlijk persoon kan identificeren, zowel direct (naam, BSN nummer, etc.) als indirect (adres gegevens, financiële status, etc.) 2. Verantwoordelijke Een natuurlijke of rechtspersoon, of ieder ander die alleen of samen met anderen, het doel van en de middelen voor verwerking van persoonsgegevens bepaalt. 3. Bewerker De natuurlijke of rechtspersoon die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder hiërarchische verhouding tussen de verantwoordelijke en de bewerker. 4. Verwerking Elke handeling die wordt uitgevoerd (al dan niet automatisch) met betrekking tot (een) persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, structureren, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. 5. Betrokkene Degene op wie een persoonsgegeven betrekking heeft, of wel de geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd. Dit kan bijvoorbeeld aan de hand van een naam, een identificatienummer, gegevens over de verblijfplaats, een unieke identificatiecode of van specifieke elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele, sociale of genderidentiteit van die persoon. 6. Toestemming van de betrokkene Een wilsuiting van de betrokkene, waarmee deze aanvaardt dat zijn/haar persoonsgegevens worden verwerkt. Deze wilsuiting dient in ieder geval voldoende specifiek te zijn, en op informatie te berusten (van de verantwoordelijke of bewerker). Toestemming kan worden gegeven door een verklaring (een opt-out verklaring is onvoldoende) of actieve handeling van de betrokkene en mag zowel mondeling als schriftelijk geschieden. 7. Uitdrukkelijke toestemming van de betrokkene Uitdrukkelijke toestemming impliceert toestemming waarmee een betrokkene expliciet zijn wil heeft geuit in woord, schrift of gedrag. 8. Derde Iedere natuurlijke of rechtspersoon die niet de betrokkene, de verantwoordelijke, de bewerker of enig ander persoon onder gezag van de verantwoordelijke/bewerker is, maar wel de persoonsgegevens verwerkt. 9. Bijzondere persoonsgegevens IBPDOC2B, versie 1.3 Pagina 46 van 48

47 Persoonsgegevens die betrekking hebben op iemands godsdienst of levensovertuiging, ras of etniciteit, politieke opvattingen, gezondheid, DNA of biometrische gegevens, seksuele gerichtheid of genderidentiteit, lidmaatschap van een vakvereniging dan wel betrekking hebben op strafrechtelijke persoonsgegevens, rechterlijke uitspraken of administratieve sancties. 10. Pseudonieme persoonsgegevens Gegevens die alleen indirect te herleiden zijn tot een betrokkene. 11. Anonieme persoonsgegevens Gegevens die met behulp van technische beschermingsmaatregelen zodanig ontkoppeld zijn van persoonsgegevens, dat deze gegevens niet meer herleidbaar zijn tot specifieke identificeerbare natuurlijke personen. 12. Profilering Iedere automatische wijze waarop persoonsgegevens van een persoon worden verwerkt met de bedoeling om bepaalde aspecten van zijn persoonlijkheid te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen. 13. Datalek Als persoonsgegevens in handen van derden vallen, die geen toegang tot die gegevens mogen hebben, hetzij per ongeluk hetzij onrechtmatig. IBPDOC2B, versie 1.3 Pagina 47 van 48

48 Bijlage 3: Framework Informatiebeveiliging en Privacy voor het MBO Verantwoordingsdocument informatiebeveiliging en privacy in het mbo onderwijs (IBPDOC1) Mbo referentie architectuur (IBPDOC4) Mbo roadmap informatiebeveiligingsbeleid en privacy beleid (IBPDOC5) Model Informatiebeveiligingsbeleid voor de mbo sector op basis van ISO27001 en ISO27002 (IBPDOC 6) Toetsingskader IB: clusters 1 t/m 6 (IBPDOC3) Toetsingskader Examinering Pluscluster 8 IBPDOC8 Handleiding BIV classificatie IBPDOC14 Starterkit Identity mngt mbo versie IBPDOC22 Toetsingskader Online leren Pluscluster 9 IBPDOC9 BIV classificatie Bekostiging IBPDOC15 Starterkit RBAC mbo versie IBPDOC23 Toetsingskader VMBO-MBO Pluscluster 10 IBPDOC10 BIV classificatie Indiensttreding IBPDOC16 Starterkit BCM mbo versie IBPDOC24 Benchmark mbo sector IBPDOC11 BIV classificatie Online leren IBPDOC17 Integriteit Code mbo versie IBPDOC25 Implementatievoorbeelden van kleine en grote instellingen Model Informatiebeveiligingsbeleid en Privacy voor de mbo sector (IBPDOC 18) Toetsingskader Privacy: cluster 7 (IBPDOC7) Functiewaardering IBP IBPDOC12 PIA Deelnemers Bekostiging IBPDOC19 Acceptable Use Policy mbo versie IBPDOC26 Positionering IBP IBPDOC13 PIA Personeel Indiensttreding IBPDOC20 Responsible Disclosure mbo versie IBPDOC27 Risico inventarisatie IBP IBPDOC29 PIA Onderwijs Online leren IBPDOC21 Leveranciers Overeenkomst mbo versie IBPDOC28 Technische quick scan (APK) IBPDOC30 Privacy Compliance kader mbo (IBPDOC2B) Normenkader Informatiebeveiliging mbo (IBPDOC2A) Hoe? Zo! Informatiebeveiligingsbeleid in het mbo en Hoe? Zo! Privacy in het mbo Taskforce IBP mbo Voorbeelden SCIPR IBPDOC2B, versie 1.3 Pagina 48 van 48