Europese privacywet: to do s en don ts

Vergelijkbare documenten
Wat moet je weten over... informatiebeveiliging en privacy (IBP)?

Wat moet je weten over... privacy en passend onderwijs?

Informatiebeveiliging en privacy (IBP)

Wat moet je weten over... privacy en passend onderwijs?

Privacy ontwikkelingen in het mbo Informatiebeveiliging en privacy in het mbo

Wat moet je weten over... privacy en passend onderwijs?

Nieuwe Europese privacywetgeving 2018 ben jij er klaar voor?

Afspraken leveranciers: verwerkersovereenkomsten. Leander Versleijen en Job Vos

Aandachtspunten AVG. Voldoen aan de AVG wat moet ik nu regelen?

Privacy op school in 10 stappen geregeld! Job Vos expert privacy en uitwisseling leerlinggegevens - Kennisnet

Aandachtspunten AVG. Voldoen aan de AVG wat moet ik nu regelen?

Privacy: bestuur aan zet?!

Protocol informatiebeveiligingsincidenten en datalekken

Steunpunt Passend Onderwijs 2019

Protocol informatiebeveiligingsincidenten en datalekken Clusius College

Protocol informatiebeveiligingsincidenten en datalekken. Minkema College

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates

Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken

Protocol Beveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Stichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker JE Heythuysen. Protocol informatiebeveiligingsincidenten en datalekken

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

IBP-rollen en functies: functionaris gegevensbescherming (FG) Magdalena Magala en Job Vos

Protocol informatiebeveiligingsincidenten en datalekken

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Bestuur. scholengemeenschap voor vmbo havo atheneum gymnasium. school voor praktijkonderwijs. Bezoekadres: Stationslaan CA Stadskanaal

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Scala College en Coenecoop College

Privacy dit moet je weten over de wet

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Protocol informatiebeveiligingsincidenten en datalekken VSNON

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

PRIVACY GOED GEREGELD. Voorjaar 2018

Voorwoord. Peter Truijens. directeur-bestuurder Samenwerkingsverband Passend Onderwijs IJmond

Accountant en AVG 3 december 2018

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

Openbaar Onderwijs Emmen, OOE. Protocol Informatiebeveiligingsincidenten en datalekken. Conform de Algemene Verordening Gegevensbescherming

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Privacy in de afvalbranche

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

Schoolvereniging Rehoboth PROTOCOL IBP INCIDENTEN EN DATALEKKEN

Privacy Policy van Stichting Het Rijnlands Lyceum

Informatiebeveiligings- en privacybeleid

Help een datalek! Wat nu?

Een nieuwe identiteit, voor je het weet heb je hem nodig! Anita van Nieuwenborg Kwartiermaker Privacydienstverlening KING

PROTOCOL BEVEILIGINGSINCIDENTEN EN DATALEKKEN SKOSO

Informatiebeveiligings- en privacy beleid.

Algemene verordening gegevensbescherming

Werken met persoonsgegevens: wat moet een school regelen? Job Vos jurist Kennisnet

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Protocol informatiebeveiligingsincidenten en datalekken

Privacy Officer. De toezichthouder en datalekken Nederlands Compliance Instituut 29 november 2017

Privacy in het mbo, verwerkersovereenkomsten Sebastiaan Wagemans, Contract-/ productmanager SURFmarket Leo Bakker, adviseur ibp Kennisnet

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

Handvatten bij de implementatie van de AVG

De Autoriteit Persoonsgegevens en de Meldplicht datalekken. Alex Commandeur 18 mei 2016

Privacy proof moet! Programma. Rechten van de ondernemingsraad. OR & beleid. Rol ondernemingsraad bij privacy AVG Plichten Checklist OR

Datalekprotocol binnen Reto

Informatiebeveiligings- en privacy beleid

Algemene Verordening Gegevensbescherming (AVG)

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Privacy ondersteuning VNG/KING/IBD

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Protocol Datalekken en beveiligingsincidenten LUCAS ONDERWIJS

Informatiebeveiliging en privacy. In kleine stapjes zonder grote woorden

Wat precies? Focus AVG voor de retail Klantgegevens. NAW gegevens (ook social media), e.d.

Vandaag Zorgvernieuwing

27 maart 2014 Advocaat mr. Eva N.M. Visser. Datalekken SURFacademy Seminar Meldplicht & Privacy in de praktijk

Privacy Maturity Scan (PMS)

Blockchain Smart Contracts AVG

Privacy wetgeving: Wat verandert er in 2018?

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Procedure meldplicht datalekken

Informatiebeveiligings- en privacy beleid (IBP)

Cursus privacyrecht Jeroen Naves 7 september 2017

Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming. Studiekeuze 123, 27 maart Sofie van der Meulen

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Internet Beveiliging en Privacy (IBP) Beleid Aloysius

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Gezondheidsmanagement, Bedrijfszorg, Verzuimpreventie & Advies

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Agenda. De AVG: wat nu?

Privacy en de meldplicht datalekken

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

vernieuwde privacywet

VERWERKERSOVEREENKOMST. tussen. Verwerkingsverantwoordelijke INFOGROEN SOFTWARE B.V.

Informatiebeveiligings- en privacy beleid Coöperatie SWV 25-05

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

Protocol Meldplicht Datalekken

Verwerkingsactiviteiten / dataregister. Elly Dingemanse

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Is uw bibliotheek klaar voor de nieuwe privacywetgeving?

Transcriptie:

Europese privacywet: to do s en don ts z Informatiebeveiliging en Privacy (IBP) Anne Goris (VO-raad) Job Vos (Kennisnet) 29 maart 2018

Hallo allemaal, wat fijn dat u er bent 2

Hallo allemaal, wat fijn dat u er bent en wie ben jij? 1. Stel jezelf eens voor aan je buurman/buurvrouw. Maar wacht even 2. Niet zomaar voorstellen wie ben jij in de digitale wereld? 3. Toon je Facebook, Twitter, LinkedIn, Instagram 4. Laat je Whatsapp eens zien 5. En geef je buurman/buurvrouw je telefoon 6. En deel je Tinder je Secondlove 3

Op uw school wordt KlassCow gebruikt 5

Informatiebeveiliging is een proces voor het beschermen tegen risico s en bedreigingen met betrekking tot informatie en ict. Samengevoegd tot: IBP

Waar gaat privacy over? 7

Wie gaat er over IBP? Verantwoordelijke (verwerkingsverantwoordelijke) 8

Met wie werk je samen? Bewerker (verwerker) 9

Regel IBP! Het bestuur is verantwoordelijk om informatiebeveiliging en privacy (IBP) te regelen Privacy: garandeer de privacy van leerlingen, hun ouders én medewerkers Informatiebeveiliging: onderwijs en begeleiding moet altijd door kunnen gaan Kaders: Wbp, AVG, onderwijswetgeving ISO 27001 en 27002 voor beveiliging 10

Aanpak IBP: https://kn.nu/ibponderwijs 25 mei 2018: invoering AVG 3. communiceren 2. realiseren 1. organiseren

Stap 1: organiseer een beleid De bestuurder stelt een beleidsplan op met daarin afspraken: Uitgangspunten Duidelijke doelen Vastgelegde verantwoordelijkheden: wie gaat wat wanneer doen Rapportage-afspraken: verslag aan bestuurder Het beleidsplan is de kapstok om IBP te regelen: en dan aan de slag!

Stap 2: realiseren (neem maatregelen) Scholen hebben onder de AVG een documentatieplicht. Dus je moet vooral vastleggen hoe je zorgt voor privacy: Inventariseer wat de grootste risico s voor de school zijn in het algemeen (risico-inventarisatie) Zet op een rij welke persoonsgegevens in welke systemen worden verwerkt, in een dataregister Bepaal welke systemen een hoog risico* hebben Bepaal voor in ieder geval voor die systemen dat je juiste maatregelen zijn getroffen, en voer zo nodig een DPIA uit. *systemen die bijzondere categorieën van persoonsgegevens hebben of vallen onder stelselmatige en grootschalige monitoring 13

Stap 3: communiceren Betrek medewerkers: vertel wat informatiebeveiliging en privacy zijn: Voorbeeld presenstatie bewustwording Online training IBP voor medewerkers Betrek leerlingen: 21e eeuwse vaardigheden zoals digitale geletterdheid (basis ict-vaardigheden) Betrek en informeer de ouders en (G)MR: hoe vertel je het de ouders? 14

AVG: 25 mei 2018 Versterking en uitbreiding privacyrechten Meer bevoegdheden voor Europese privacytoezichthouders Meer verantwoordelijkheden voor organisaties 15

Do 1: 2. Grondslag 1. Doelbepaling en doelbinding 3. Dataminimalisatie 4. Transparantie (rechten Betrokkene) 5. Data-integriteit Vuistregels privacy 2.0

Bewuster omgaan met privacy Bewuster omgaan met persoonsgegevens: gestructureerd en stelselmatig (zoals privacy by design en by default) DO 2: zorg voor een IBP-beleid 17

Privacy: uitgaan van context AVG gaat uit van risicobenadering Context relevanter: weet dus wat je risico s zijn Do 3: voer een risico-inventarisatie en classificatie uit 18

Documentatieplicht Documentatieplicht: bewijslast en privacy-administratie Geen bewijs, dan geen toestemming DO 4: maak een dataregister (welke gegevens van welke personen zitten in welke systemen met welke doelen) 19

Veilig en verantwoord omgaan met data DO 5: bewustzijn creëren en DO 6: actief voorlichting geven Meer transparantie: uitleggen wat je waarom doet met persoonsgegevens 20

DO 7: Privacyconvenant 3.0 1 april 2018 ingangsdatum, contracten leverancier vanaf 1 mei 2018 vragen Digitale onderwijsmiddelen Rolverdeling: schoolbestuur aan het stuur Gebruik model verwerkersovereenkomst 3.0 verplicht Doeleinden van de verwerkingen Prviacy by design en by default: keten-id / ECK-iD (pseudoniem) Informatieverplichtingen 21

DO 8: meldplicht datalekken 22

DO 9: Functionaris voor gegevensbescherming Functie (aanwijzing door bestuurder), mag extern zijn Onafhankelijke interne toezichthouder Gevraagd en ongevraagd advies Betrokken bij risico-inventarisatie, dataregister, DPIA Gesprekspartner bevoegd gezag Werk slim, werk samen! Regel samen een FG, of doe dit via het samenwerkingsverband 23

Do 10: samen werken, samen slim! NB: werkgroepen IBP po en IBP vo gaan verwerkersovereenkomsten toetsen van (de grootste) leveranciers 24

Europese privacywet: to do s en don ts CASUS

Op uw school wordt KlassCow gebruikt 26

Melding van teamleider KlassCow: begeleidingstool huiswerk met toets/poll Docenten gebruiken KlassCow in de les Leerlingen maken zelf een account aan Naam, klas, niveau school e-mailadres, taal, dyslexie/dyscalculie Dagelijks gebruikt: iedere dag een toets of het huiswerk gemaakt is Vakken worden gecombineerd in de app Advies over huiswerk en leergedrag 27

KlassCow Leverancier is gevestigd in de Verenigde Staten Leverancier verklaart niets over Europese wet- en regelgeving App wordt al 1,5 jaar gebruikt, naar volle tevredenheid van docenten 28

Vragen! U wordt gebeld, wat doet u? Wie belt u? Is er een team/collega/deskundige die kan meedenken? Zijn er afspraken over dit soort processen? Hoe kom je er achter of er een overeenkomst met de KlassCow is afgesloten? 29

Is er een datalek? 30

Datalek: toelichting Beveiligingslek er is een dreiging, of tekortkoming in de beveiliging Beveiligingsincident Datalek Melden bij AP een inbreuk op de beveiliging persoonsgegevens: de beveiligingsmaatregelen die waren genomen, hebben niet gewerkt (er is sprake van misbruik zoals hacken, malware-besmetting, of een verloren usb-stick met persoonsgegevens). (aannemelijk dat er) gevolgen zijn voor persoonsgegevens: bij het beveiligingsincident zijn persoonsgegevens verloren gegaan, of een onrechtmatige verwerking van persoonsgegevens kan redelijkerwijs niet kan worden uitgesloten. Aanzienlijke kans op ernstige nadelige gevolgen voor betrokkenen, of gaat het om gevoelige of bijzondere persoonsgegevens: binnen 72 uur melden bij AP (CBP) Melden aan betrokkene Betrokkene informeren indien datalek waarschijnlijk leidt tot (de aanzienlijke kans op) ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkenen, tenzij er zwaarwegende redenen zijn om de melding aan betrokkenen achterwege te laten 31

Wat moet je nu gaan regelen? Procedure datalekken Centraal meldpunt voor incidenten? Team dat IBP regelt: ook voor datalekken? Instructies voor docenten: Als docenten een nieuw boek of nieuwe lesmethode willen aanschaffen dan weten ze bij wie ze moeten zijn en wie er moet tekenen Afspraken maken met je leveranciers? Kijk naar het privacyconvenant! 32

Sectorbrede afspraken over privacy 33

Privacyconvenant 3.0 (m.i.v. 1 april 2018) Digitale onderwijsmiddelen Uitbreiding naar mbo (gegevens 15% Nederlandse bevolking) Rolverdeling: schoolbestuur aan het stuur Gebruik model verwerkersovereenkomst verplicht Doeleinden van de verwerkingen Prviacy by design en by default: keten-id / ECK-iD (pseudoniem) Informatieverplichtingen 34

Model verwerkersovereenkomst 3.0 Afspraken over gebruik persoonsgegevens in contractvorm Comply or explian: advies is om niet af te wijken Vanaf 1 mei 2018 contracten aangepast aan versie 3.0 Nu tekenen, ingangsdatum 25 mei 2018 Versie 2.0? Vervang deze in 2018 door 3.0 Aansprakelijkheid: school kan boete of betaalde schade verhalen Bijlage 1: privacybijsluiter Bijlage 2: beveiligingsbijlage VERWERKERSOVEREENKOMST IS VERPLICHT! 35

Certificeringsschema biedt transparantie Een eenvoudige rapportage laat zien: - De informatiebeveiliging en privacy van de toepassing is recent en kritisch beoordeeld - Maatregelen die de onderwijsketen ziet als best practices zijn toegepast Deze rapportage geeft invulling aan de documentatieplicht van genomen maatregelen ter bescherming van de privacy zoals bedoeld in de AVG. Vertrouwelijkheid Maatregelen: Integriteit Maatregelen: Beschikbaarheid Maatregelen: Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean commodo Lorem ipsum dolor sit amet, consectetuer adipiscin Lorem ipsum adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean ligula 36

Samen werken, samen slim! Werkgroepen IBP po en IBP vo gaan verwerkersovereenkomsten toetsen van (de grootste) leveranciers 37

Bedankt voor uw aandacht! Job Vos LinkedIN jobavos Twitter @jobavos Vragen over IBP? Mail naar de helpdesk IBP: ibp@kennisnet.nl https://kn.nu/ibponderwijs

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback